image

Kamervragen over veiligheid Nederlandse ziekenhuissystemen

zaterdag 4 juni 2016, 06:22 door Redactie, 11 reacties

D66 heeft minister Schippers van Volksgezondheid en minister Van der Steur van Veiligheid en Justitie Kamervragen over de veiligheid van Nederlandse ziekenhuissystemen gesteld. Aanleiding is een recent onderzoek naar de veiligheid van ziekenhuisapparatuur in Europa, het Midden-Oosten en Afrika.

Bij meer dan de helft van de 24 onderzochte ziekenhuizen worden standaardwachtwoorden gebruikt om apparatuur te beveiligen. Ook blijkt dat bijna de helft van de ziekenhuizen niet weet of hun apparatuur voldoet aan de aankomende Europese privacyregelgeving. Daarnaast geeft maar een vijfde van de onderzochte ziekenhuizen aan bij het merendeel van hun apparatuur gebruik te maken van een versleutelde verbinding met het netwerk om de betrouwbaarheid en vertrouwelijkheid van gegevens te borgen.

D66-Kamerleden Verhoeven en Dijkstra willen nu weten hoeveel besmettingsgevallen met malware erbij Nederlandse ziekenhuizen bekend zijn. Ook vragen ze of de ministers bereid zijn om onderzoek te doen onder Nederlandse ziekenhuizen en zorginstellingen naar het voldoen van apparatuur aan de privacyregelgeving, het gebruik van versleutelde verbindingen en beleid rondom het dichten van kwetsbaarheden in software van medische apparatuur. Ook vragen de Kamerleden of de ministers bereid zijn om een landelijke aanpak te organiseren om de cyberveiligheid van ziekenhuizen en andere zorginstellingen te verbeteren. De ministers hebben drie weken de tijd om de Kamervragen (pdf) te beantwoorden.

Reacties (11)
04-06-2016, 07:40 door Anoniem
Inmiddels helemaal geen EPD meer nodig om data te jatten...
En in het EPD was alles nogwel zo goed beveiligd. Toch?
04-06-2016, 14:58 door Anoniem
Alleen onderzoek naar Ziekenhuizen? Ik zou verder gaan dan alleen ziekenhuiszen...
04-06-2016, 14:58 door Anoniem
Veilig EPD of geen veilig EPD, de meeste dossiers worden nog altijd via fax of e-mail verstuurd. Een verkeerd faxnummer of een tap tussen e-mailverkeer is zo gemaakt.
04-06-2016, 16:40 door Anoniem
Standaardwachtwoorden zijn minder erg dan het verlies van een leven doordat een medisch medewerker het wachtwoord niet meer weet. Ik heb vooruitziend al medelijden met slachtoffers van securityfetisjisten die denken dat hun wachtwoordprocedures belangrijker zijn dat het functioneel gebruik van een apparaat.

Privacy en malware, dat zijn twee erg belangrijke zaken in ziekenhuizen. Als je weet hoe weinig IT ziekenhuismedewerkers worden betaald, dan houd ik mijn hart vast bij de kwaliteit van het ontwerp en beheer.
04-06-2016, 22:50 door Anoniem
Het hangt niet af van de betaling van ict medewerkers.
Ik heb jarenlang in ziekenhuis gewerkt.
Ik merkte meer een gebrek aan interesse bij met name verplegend personeel t.a.v. Veilgheid en welke dingen te doen en laten.
Bijv. gewoon de hele dag via je smartphone bezig kunnen zijn via het ziekenhuis net.
Kunnen surfen naar allerlei sites onder werktijd ,pc's die dag en nacht ingelogd staan etc.etc.
05-06-2016, 06:39 door Anoniem
Door Anoniem: Standaardwachtwoorden zijn minder erg dan het verlies van een leven doordat een medisch medewerker het wachtwoord niet meer weet. Ik heb vooruitziend al medelijden met slachtoffers van securityfetisjisten die denken dat hun wachtwoordprocedures belangrijker zijn dat het functioneel gebruik van een apparaat.

Dan hoort er geen wachtwoord gebruikt te worden voor zo'n apparaat.
05-06-2016, 08:36 door karma4
Door Anoniem: Standaardwachtwoorden zijn minder erg dan het verlies van een leven doordat een medisch medewerker het wachtwoord niet meer weet. Ik heb vooruitziend al medelijden met slachtoffers van securityfetisjisten die denken dat hun wachtwoordprocedures belangrijker zijn dat het functioneel gebruik van een apparaat.

Privacy en malware, dat zijn twee erg belangrijke zaken in ziekenhuizen. Als je weet hoe weinig IT ziekenhuismedewerkers worden betaald, dan houd ik mijn hart vast bij de kwaliteit van het ontwerp en beheer.

Je beschrijft precies het meest zorgelijke. Die lage waardering voor IT-ers moet te maken hebben met een bepaald beeld. Zoals:
- niet betrokken bij het bedrijfsdoelstellingen
-zijn alleen maar met hun technisch hobbyisme bezig. Fetisjten een fraaie aanduiding, die onthoud ik.
- je hebt er geen echte opleiding of ervaring voor nodig.
Met het beeld dat het enige wat er toe doet de medische wereld met de machtspositie is (ergo geldelijke beloning). Dan heb je wat er echt moet veranderen voor een change.

Overigens zijn er al vele jaren ict voorschriften voor ziekenhuizen de hele zorgwereld. N'EN 7510 gebaseerd op de iso27k reeks. Echte handhaving en controles blijven uit omdat de meeste instanties er niet aan voldoen. Een kromme redenering die niet door de beugel kan. In de voedselketen gebeurt ook het nodige, daar zijn controles wel aan de orde.
05-06-2016, 11:03 door Anoniem
Door Anoniem: Standaardwachtwoorden zijn minder erg dan het verlies van een leven doordat een medisch medewerker het wachtwoord niet meer weet. Ik heb vooruitziend al medelijden met slachtoffers van securityfetisjisten die denken dat hun wachtwoordprocedures belangrijker zijn dat het functioneel gebruik van een apparaat.
Zijn levens die verloren gaan doordat een apparaat niet meer functioneert door een malwareinfectie of een hack minder erg?

Natuurlijk is dat standaardwachtwoord op zich minder erg dan het verlies van een leven. Maar voor het behoud van dat leven is de integriteit van het apparaat essentieel, en om die integriteit te bewaren is het niet bepaald snugger om standaardwachtwoorden actief te laten. Da's geen fetisjisme, dat is gezond verstand. Dat wordt zelfs voor je thuisroutertje aangeraden, al is dat toch heel wat minder kritisch dan bijvoorbeeld een bestralingsapparaat.
Privacy en malware, dat zijn twee erg belangrijke zaken in ziekenhuizen. Als je weet hoe weinig IT ziekenhuismedewerkers worden betaald, dan houd ik mijn hart vast bij de kwaliteit van het ontwerp en beheer.
Snap je dit wel maar niet dat het wijzigen van standaardwachtwoorden onderdeel van dat kwalitatief goede beheer is? Of heb ik jou niet begrepen?
06-06-2016, 09:50 door Anoniem
Wat een generaliserende reacties zeg. Ik heb zelf lange tijd gewerkt binnen ICT in een ziekenhuis. Zowel ICT medewerkers als ook het verplegend personeel zijn zich bewust van privacy en het beveiligen van patientgegevens. Maar zoals hierboven al terecht aangegeven bevindt je je in een omgeving waar de beschikbaarheid van gegevens ook van groot belang is. Je moet constant een afweging maken tussen beveiligen en beschikbaar hebben. Medewerkers die bezig zijn met een patient wil je liever niet in de weg zitten met het ingeven van een wachtwoord of swipen met een badge wanneer ze net steriel zijn. Een ziekenhuis moet dan goed kijken naar zijn inrichting van fysieke toegang om met andere maatregelen de toegang tot de gegevens te regelen.

En ICT personeel wordt misschien wel minder betaald, maar dat betekent echt nog niet dat ze automatisch van een lager niveau zijn. Het zijn vaak mensen die bewust kiezen voor de combinatie werk-privé en die graag in de zorg werken om wat te betekenen voor de medemens. Er werken in de ziekenhuizen veel goed opgeleide ICTers, vaak oud consultants die het zat zijn om elke dag in de file te gaan staan. en als ik zo naar wat voorbeelden kijk bij bijvoorbeeld onze overheid, dan is een goed salaris nou ook niet altijd een garantie voor kwaliteit!

Wat wel een probleem is dat de zorg altijd moet bezuinigen en dat dan vaak wordt gekeken naar ondersteunende afdelingen. Een onderbezette ICT afdeling is helaas meer regel dan uitzondering.

En wat betreft handhaving en controle, de Autoriteit Persoonsgegevens doet regelmatig steekproeven om de beveiliging van persoonsgegevens te controleren. Ziekenhuizen hebben zichzelf georganiseerd en laten opgeleide interne auditoren meedraaien in uitwisselingsprogramma's om de status van de NEN7510 te meten.
Ziekenhuizen zijn sowieso gewend om onderwerp van tal van controles te zijn. In veel van de kwaliteitseisen die gelden voor ziekenhuizen is ook de omgang met gevoelige gegevens meegenomen.
06-06-2016, 10:13 door Anoniem
" Ziekenhuizen hebben zichzelf georganiseerd en laten opgeleide interne auditoren meedraaien in uitwisselingsprogramma's om de status van de NEN7510 te meten" ... jammer he dat die alleen naar het administratieve systeem kijken. MRI scanners draaien soms nog op Windows 3.11 of NT, infuuspompen hangen aan de WiFi met een default wachtwoord; de WiFi liefst onder WEP. Hartbewaking draait mee in Kazaa. Nog even en uw hartritme wordt gestuurd op de beat van een door een tiener beluisterde illegale download.
Niets aan de hand dus ... slaap zacht.

De Tweede Kamervragen hebben een klokje in de verte gehoord maar pakken niet echt door met het vragen om een echt onderzoek en grote schoonmaak onder slapende, te hoog betaalde bestuurders.
07-06-2016, 08:25 door Anoniem
Door Anoniem: MRI scanners draaien soms nog op Windows 3.11 of NT, infuuspompen hangen aan de WiFi met een default wachtwoord; de WiFi liefst onder WEP. Hartbewaking draait mee in Kazaa. Nog even en uw hartritme wordt gestuurd op de beat van een door een tiener beluisterde illegale download.
Niets aan de hand dus ... slaap zacht.

Aan de hand van deze voorbeelden is het duidelijk dat u van een vergevorderde leeftijd bent, en (hopelijk) al een hele poos niet meer in een ziekenhuis bent geweest... tenminste dat mag ik hopen als de gebruikte termen een goede afspiegeling van uw recente IT kennis betreft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.