Inmiddels helemaal geen EPD meer nodig om data te jatten...
En in het EPD was alles nogwel zo goed beveiligd. Toch?

Alleen onderzoek naar Ziekenhuizen? Ik zou verder gaan dan alleen ziekenhuiszen...

Veilig EPD of geen veilig EPD, de meeste dossiers worden nog altijd via fax of e-mail verstuurd. Een verkeerd faxnummer of een tap tussen e-mailverkeer is zo gemaakt.

Standaardwachtwoorden zijn minder erg dan het verlies van een leven doordat een medisch medewerker het wachtwoord niet meer weet. Ik heb vooruitziend al medelijden met slachtoffers van securityfetisjisten die denken dat hun wachtwoordprocedures belangrijker zijn dat het functioneel gebruik van een apparaat.

Privacy en malware, dat zijn twee erg belangrijke zaken in ziekenhuizen. Als je weet hoe weinig IT ziekenhuismedewerkers worden betaald, dan houd ik mijn hart vast bij de kwaliteit van het ontwerp en beheer.

Het hangt niet af van de betaling van ict medewerkers.
Ik heb jarenlang in ziekenhuis gewerkt.
Ik merkte meer een gebrek aan interesse bij met name verplegend personeel t.a.v. Veilgheid en welke dingen te doen en laten.
Bijv. gewoon de hele dag via je smartphone bezig kunnen zijn via het ziekenhuis net.
Kunnen surfen naar allerlei sites onder werktijd ,pc's die dag en nacht ingelogd staan etc.etc.

Dan hoort er geen wachtwoord gebruikt te worden voor zo'n apparaat.

Je beschrijft precies het meest zorgelijke. Die lage waardering voor IT-ers moet te maken hebben met een bepaald beeld. Zoals:
- niet betrokken bij het bedrijfsdoelstellingen
-zijn alleen maar met hun technisch hobbyisme bezig. Fetisjten een fraaie aanduiding, die onthoud ik.
- je hebt er geen echte opleiding of ervaring voor nodig.
Met het beeld dat het enige wat er toe doet de medische wereld met de machtspositie is (ergo geldelijke beloning). Dan heb je wat er echt moet veranderen voor een change.

Overigens zijn er al vele jaren ict voorschriften voor ziekenhuizen de hele zorgwereld. N'EN 7510 gebaseerd op de iso27k reeks. Echte handhaving en controles blijven uit omdat de meeste instanties er niet aan voldoen. Een kromme redenering die niet door de beugel kan. In de voedselketen gebeurt ook het nodige, daar zijn controles wel aan de orde.

Zijn levens die verloren gaan doordat een apparaat niet meer functioneert door een malwareinfectie of een hack minder erg?

Natuurlijk is dat standaardwachtwoord op zich minder erg dan het verlies van een leven. Maar voor het behoud van dat leven is de integriteit van het apparaat essentieel, en om die integriteit te bewaren is het niet bepaald snugger om standaardwachtwoorden actief te laten. Da's geen fetisjisme, dat is gezond verstand. Dat wordt zelfs voor je thuisroutertje aangeraden, al is dat toch heel wat minder kritisch dan bijvoorbeeld een bestralingsapparaat.
Snap je dit wel maar niet dat het wijzigen van standaardwachtwoorden onderdeel van dat kwalitatief goede beheer is? Of heb ik jou niet begrepen?

Wat een generaliserende reacties zeg. Ik heb zelf lange tijd gewerkt binnen ICT in een ziekenhuis. Zowel ICT medewerkers als ook het verplegend personeel zijn zich bewust van privacy en het beveiligen van patientgegevens. Maar zoals hierboven al terecht aangegeven bevindt je je in een omgeving waar de beschikbaarheid van gegevens ook van groot belang is. Je moet constant een afweging maken tussen beveiligen en beschikbaar hebben. Medewerkers die bezig zijn met een patient wil je liever niet in de weg zitten met het ingeven van een wachtwoord of swipen met een badge wanneer ze net steriel zijn. Een ziekenhuis moet dan goed kijken naar zijn inrichting van fysieke toegang om met andere maatregelen de toegang tot de gegevens te regelen.

En ICT personeel wordt misschien wel minder betaald, maar dat betekent echt nog niet dat ze automatisch van een lager niveau zijn. Het zijn vaak mensen die bewust kiezen voor de combinatie werk-privé en die graag in de zorg werken om wat te betekenen voor de medemens. Er werken in de ziekenhuizen veel goed opgeleide ICTers, vaak oud consultants die het zat zijn om elke dag in de file te gaan staan. en als ik zo naar wat voorbeelden kijk bij bijvoorbeeld onze overheid, dan is een goed salaris nou ook niet altijd een garantie voor kwaliteit!

Wat wel een probleem is dat de zorg altijd moet bezuinigen en dat dan vaak wordt gekeken naar ondersteunende afdelingen. Een onderbezette ICT afdeling is helaas meer regel dan uitzondering.

En wat betreft handhaving en controle, de Autoriteit Persoonsgegevens doet regelmatig steekproeven om de beveiliging van persoonsgegevens te controleren. Ziekenhuizen hebben zichzelf georganiseerd en laten opgeleide interne auditoren meedraaien in uitwisselingsprogramma's om de status van de NEN7510 te meten.
Ziekenhuizen zijn sowieso gewend om onderwerp van tal van controles te zijn. In veel van de kwaliteitseisen die gelden voor ziekenhuizen is ook de omgang met gevoelige gegevens meegenomen.

" Ziekenhuizen hebben zichzelf georganiseerd en laten opgeleide interne auditoren meedraaien in uitwisselingsprogramma's om de status van de NEN7510 te meten" ... jammer he dat die alleen naar het administratieve systeem kijken. MRI scanners draaien soms nog op Windows 3.11 of NT, infuuspompen hangen aan de WiFi met een default wachtwoord; de WiFi liefst onder WEP. Hartbewaking draait mee in Kazaa. Nog even en uw hartritme wordt gestuurd op de beat van een door een tiener beluisterde illegale download.
Niets aan de hand dus ... slaap zacht.

De Tweede Kamervragen hebben een klokje in de verte gehoord maar pakken niet echt door met het vragen om een echt onderzoek en grote schoonmaak onder slapende, te hoog betaalde bestuurders.

Aan de hand van deze voorbeelden is het duidelijk dat u van een vergevorderde leeftijd bent, en (hopelijk) al een hele poos niet meer in een ziekenhuis bent geweest... tenminste dat mag ik hopen als de gebruikte termen een goede afspiegeling van uw recente IT kennis betreft.