Nieuws
image

Geen zicht op it-incidenten bij ziekenhuizen en zorgorganisaties

donderdag 17 maart 2016, 10:29 door Redactie, 5 reacties

Minister Schippers van Volksgezondheid heeft geen inzicht in het aantal zorgorganisaties en ziekenhuizen dat de afgelopen vijf jaar te maken heeft gekregen met problemen in de beveiliging van hun digitale systemen en apparaten, waardoor de privacy en privédata van patiënten in gevaar zijn geweest.

Dat laat de minister weten op Kamervragen van SP-Kamerlid Leijten. Aanleiding voor de Kamervragen was een FBI-waarschuwing dat gezondheidszorgsystemen en medische apparatuur een groter risico lopen om voor financieel gewin te worden gehackt. Leijten wilde weten of ziekenhuizen en zorgorganisaties de afgelopen jaren zijn gehackt of met andere incidenten te maken hebben gekregen en of daarbij persoonlijke gegevens in handen van criminelen terecht zijn gekomen. Ook moest Schippers laten weten hoe vaak dit gebeurde, wat criminelen met de informatie zouden hebben gedaan en of er een trend zichtbaar is.

De minister zegt echter geen informatie over dergelijke incidenten met de it-beveiliging te hebben. "Ook navraag bij het Openbaar Ministerie leert dat geen gegevens bekend zijn over persoonlijke medische gegevens die in handen van criminelen terecht gekomen zijn", aldus Schippers. Wel wordt er gewerkt aan de ontwikkeling van een ZORG-Cert, een Computer Emergency Response Team, dat zich richt op het voorkomen en herstellen van netwerk-gerelateerde veiligheidsincidenten. "Dit is één van de uitkomsten van de bespreking in het Informatieberaad om het risico dat gegevens in verkeerde handen komen te beperken", zo laat de minister weten (pdf).

Reacties (5)
17-03-2016, 10:45 door Matthias Huisman
Dus de claim dat LSP veilig is (deze wordt ook benoemd in het document) hoort te zijn "we weten het niet. Ik kan het niet bevestigen noch ontkennen dat je informatie in verkeerde handen is gevallen of zal vallen".

Dat is toch een ander verhaal over de veiligheid en is niet hoe het EPD/LSP voorgespiegeld werd.
17-03-2016, 13:10 door Anoniem
Risicoanalyse is dus heel simpel: 50% kans dat je data in verkeerde handen valt. Want het gebeurt of het gebeurt niet ;-).
17-03-2016, 14:35 door Anoniem
Toen ik er 5 jaar geleden werkte was het betreffende ziekenhuis nog niet eens begonnen om compliant te zijn met de toen geldende norm (een afgeleide van iso 27002?).

Het zou mij verbazen als ze monitoring hebben welke een aanval op het netwerk detecteerd. Ieder ziekenhuis moet ook weer het wiel uitvinden wat niet bijdraagt aan de veiligheid.
17-03-2016, 15:00 door Anoniem
Knap staaltje hogere wiskunde weer. *zucht*

https://nl.wikipedia.org/wiki/Schr%C3%B6dingers_kat
17-03-2016, 20:51 door karma4
De risicoanalyse is eenvoudig.
a/ Er zijn datalekken geconstateerd, deze hebben het nieuws gehaald. 100% zekerheid dat er wat aan de hand is.
b/ De verantwoordelijke minister zegt nergens wat van te weten, vreemd als het in het nieuws geweest is. Die spreekt voor 100% zekerheid niet de waarheid.
c/ Er wordt door de verantwoordelijke controleinstanties (verantwoordelijkheid minister) toezicht gehouden op b.v. invulling NEN7510 (afgeleide ISO27002). http://wetten.overheid.nl/BWBR0033572/2013-03-01
d/ Er zijn geen resultaten van de controleinstanties (aantallen uitgevoerd / resultaat) bekend. De enige reden (100%) daarvoor kan zijn dat ze niet uitgevoerd zijn.

Ergo de zorg handelt op eigen inzicht naar eigen normen en waarden in het specialisme van ICT. Dat is met 100% zekerheid vragen om "uitdagingen".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure