image

Kamervragen over datalekken bij ziekenhuizen

zaterdag 26 november 2016, 07:58 door Redactie, 11 reacties

Zowel de PvdA als SP hebben Kamervragen aan minister Schippers van Volksgezondheid gesteld over het nieuws dat ziekenhuizen sinds begin dit jaar 304 datalekken bij de Autoriteit Persoonsgegevens hebben gemeld. Veel van de datalekken zouden door onbeveiligde verbindingen en menselijke fouten zijn veroorzaakt, zo liet de toezichthouder weten. Namen van de ziekenhuizen in kwestie werden niet gegeven.

PvdA-Kamerleden Oosenbrug en Bouwmeester willen nu weten of er door één van de gemelde datalekken patiëntgegevens zijn gelekt en of deze patiënten daarvan op de hoogte zijn gesteld en wat er is gedaan om de gevolgen van het lek te beperken. Ook moet Schippers laten weten of de Autoriteit Persoonsgegevens boetes aan zorginstellingen heeft gegeven wegens het niet tijdig melden van een datalek. Ook vragen de Kamerleden naar de omvang van de verkoop van patiëntgegevens op zwarte markten en wat de minister hier aan doet (pdf).

Naast de PvdA-Kamerleden hebben ook SP-Kamerleden Leijten en Van Gerven het nieuws aangegrepen om vragen te stellen. Zo vragen ze de minister of er ziekenhuizen in het overzicht van het aantal meldingen zijn oververtegenwoordigd en of die door de Autoriteit Persoonsgegevens hierop zijn aangesproken. Verder moet Schippers duidelijk maken of er ziekenhuizen zijn die geen enkele melding hebben gedaan en of de gelekte gegevens ook op zwarte markten zijn aangeboden.

Leijten en Van Gerven richten zich ook op de rol van de Autoriteit Persoonsgegevens. "Vindt u het niet vreemd dat de AP geen details wil geven over de aard van de meldingen vanwege de traceerbaarheid naar individuele ziekenhuizen?", zo vragen ze Schippers. Verder vragen de Kamerleden aan de minister of de Autoriteit Persoonsgegevens wel voldoende van de ernst van de zaak is doordrongen en wat Schippers gaat doen om ervoor te zorgen dat de Autoriteit Persoonsgegevens zijn rol als toezichthouder oppakt. De minister heeft drie weken de tijd om de vragen (pdf) te beantwoorden.

Reacties (11)
26-11-2016, 09:17 door karma4
Als je de controle op richtlijnen (NEN7510) tot een wassen neus maakt omdat het te moeilijk zou zijn, dan moet je ook niet raar opkijken als het resultaat nergens op lijkt.
https://zbc.nu/security/nen-7510-informatiebeveiliging-in-de-zorg/verwarring-over-revisie-en-certificering-nen-7510/
https://zbc.nu/security/nen-7510-informatiebeveiliging-in-de-zorg/wanneer-is-informatiebeveiliging-volgens-nen-7510-of-iso-27001-te-certificeren/
https://www.nictiz.nl/SiteCollectionDocuments/Boeken/Wet-%20en%20regelgeving%20in%20de%20zorg.pdf

Schippers is dat niet die minister die verdiensten van de vrije markt laat prevaleren boven de sociale (NZA) en fysieke gezondheid. Het laatste de verzekeraar wordt de beslisser voor medische behandelingen.
26-11-2016, 09:30 door Anoniem
Door karma4:
Schippers is dat niet die minister die verdiensten van de vrije markt laat prevaleren boven de sociale (NZA) en fysieke gezondheid. Het laatste de verzekeraar wordt de beslisser voor medische behandelingen.
En mentale gezondheid, was Schippers niet ook diegene die een extra eigen bijdrage voor de GGZ invoerde zodat zoveel mogelijk, weinig draagkrachtige want dat zijn vaak diegene die het het hardst nodig hebben, zouden afzien van de broodnodige zorg?
27-11-2016, 16:33 door waxx - Bijgewerkt: 27-11-2016, 16:34
en niet te vegeten de fysieke gezondheid.
Was niet een van de eerste 'wapenfeiten' van deze minister het afschaffen van STIVORO
http://www.stivoro.nl
en daarnaast haar innige en bij wet verboden band met de tabaksindustrie
http://www.npo.nl/zembla/21-10-2011/VARA_101266822
etc

(edit: typo's)
28-11-2016, 09:35 door Anoniem
De NEN7510 is totaal niet uitvoerbaar. Instanties die zeggen dat ze een certificering hebben dat is pas een wassenneus. Er is in NL geen enkele zorginstelling die de NEN7510 normering op orde heeft. Vaak krijgt de IT afdeling hier van de schuld, terwijl het juist het bestuursorgaan is dat zijn zaken niet op orde heeft. NEN7510 begint dan ook met BELEID, iets dat vreemd is voor bestuurders in de zorg.
En de eerste alinea dekt de lading volledig: menselijke fouten. Kortom, mensen die met deze gegevens werken weten niet hoe ze er mee moeten omgaan.
28-11-2016, 09:52 door Anoniem
Door Anoniem: Er is in NL geen enkele zorginstelling die de NEN7510 normering op orde heeft.

Waar komt deze wijsheid vandaan? Steeds meer zorginstellingen hebben hun informatiebeveiliging op orde. Maar fouten voorkom je daar niet mee. De mens is feilbaar. De ziekenhuizen melden deze fouten netjes bij de Autoriteit Persoonsgegevens en nemen maatregelen om de fouten in de toekomst te voorkomen. De Autoriteit Persoonsgegevens ziet daar op toe en controleert of daadwerkelijk maatregelen genomen zijn en of als dat nodig was de betrokkenen geïnformeerd zijn. Er wordt netjes over het aantal meldingen gerapporteerd en vervolgens worden de ziekenhuizen aan de schandpaal genageld. Als dat het doel gaat zijn van deze meldplicht dan zal dat er toe leiden dat er niks meer gemeld wordt.
28-11-2016, 12:29 door Anoniem
Het wordt tijd dat er een CERT komt speciaal voor de zorgsector.
28-11-2016, 15:24 door Anoniem
Door Anoniem:
Door Anoniem: Er is in NL geen enkele zorginstelling die de NEN7510 normering op orde heeft.

Waar komt deze wijsheid vandaan? Steeds meer zorginstellingen hebben hun informatiebeveiliging op orde. Maar fouten voorkom je daar niet mee. De mens is feilbaar. De ziekenhuizen melden deze fouten netjes bij de Autoriteit Persoonsgegevens en nemen maatregelen om de fouten in de toekomst te voorkomen. De Autoriteit Persoonsgegevens ziet daar op toe en controleert of daadwerkelijk maatregelen genomen zijn en of als dat nodig was de betrokkenen geïnformeerd zijn. Er wordt netjes over het aantal meldingen gerapporteerd en vervolgens worden de ziekenhuizen aan de schandpaal genageld. Als dat het doel gaat zijn van deze meldplicht dan zal dat er toe leiden dat er niks meer gemeld wordt.

Budget voor informatiebeveiliging is niet sexy. Dit geldt niet alleen voor zorginstellingen overigens......
Wat je wel veel ziet binnen de zorg is de afweging tussen samenwerken en afschermen. De hele Wbp is overigens ongeschikt gebleken in het kader van ketenzorg.

Wel vrees ik met je mee dat het zo 'aan de schandpaal' hangen van zorginstellingen niet ten goede komt aan de bereidwilligheid om te melden. Ik heb zelf het idee dat zorginstellingen juist heel erg bewust omgaan met de gevoelige informatie die zij in handen krijgen en juist daarom ook zeer bereid zijn om datalekken te melden waardoor het lijkt alsof zij heel veel datalekken melden.
Ik denk dat er nog heel veel bedrijven zijn die je meewarig aankijken wanneer het gaat om datalekken. Om nog maar niet te spreken over alle eisen die de AVG straks stelt aan organisaties.....
28-11-2016, 15:36 door Anoniem
Door Anoniem: Het wordt tijd dat er een CERT komt speciaal voor de zorgsector.
Beste, via o.a. de NVZ wordt gewerkt aan het inrichten van een Z-CERT en een groot aantal zorginstellingen hebben zich al gecommitteerd om dit te financieren en zich daarbij aan te sluiten.
28-11-2016, 17:10 door karma4
Door Anoniem: Maar fouten voorkom je daar niet mee. .... De Autoriteit Persoonsgegevens ziet daar op toe en controleert of daadwerkelijk maatregelen genomen zijn ...
De AP controleert niet pro-active. Ik heb zoiets nergens zien gebeuren. Als onderscheid in de fysieke bouwwereld is er wel een onafhankelijke controle.
Als een rdp procedure met informatie ontbreekt, er geen eigen lokaal cert team is, de medici achter externe leveranciers aanlopen Hoe mooi die producten zijn en wat het allemaal kan, dan heb je aardig wat signalen dat het niet echt goed zit.
Nee fouten kan je niet altijd voorkomen net als een risicoloos bestaan een illusie is. Je mag wel verwachten dat risico's teruggebracht worden tot iets begrijpelijk.
On de medische wereld zijn er vele historische grote stappen welk door zittende machthebbers lang geblokkeerd zijn. Semmelweis.
28-11-2016, 21:54 door Anoniem
Hahaha, de bestuurders, de wetmakers, die de touwtjes in handen hebben, gaan vast met maatregelen komen die voor eens en voor altijd de belangenverstrengelingen, de verkwanseling van burgerbelangen voor eigen gewin, en zo meer, HET verschil gaan maken voor de werkelijk belanghebbenden (zijnde NIET de aandeelhouders).

Droom vooral verder. Geld regeert. Niet menselijk en menswaardig belang. Of zelfs maatschappelijk.

Al het andere is slechts academisch wollige prietpraat. Ja maar, wetsartikel X, in lijn met algemene filosofische stellingname Y, is al jaren juridisch beproefd in precedenten Z en boe, blah, braak, hier en daar.

Allemaal leuk naleesmateriaal, maar niet hoe het werkt in de praktijk.

In de praktijk belt baasje A met baasje B en zegt: he joh ja jij, zeg euuuuuhhhh, ik zit effe in een, eeeeuuuuhhhh, situatie, en jij, oude krentenbol, gaan mij daar effe uithelpen. jaaaaaaaaaaaaa? Jaaahhhhh? Mooi, oude pik van me. Ik zie, spreek je later, en tot de volgende, eeeeeeeeeeeeehhhhhhhhhh?

Zolang dat "onder de tafel", "ouwe jongens, krentenbrood", "broekzak, vestzak", "jij wast mijn rug, ik de jouwe", nog bestaat zal er altijd een "rechtspraak" bestaan naar de "zogenaamde" "geldt voor iedereen" rechtspraak. En zolang dat verschil bestaat is alles academische theorie, en zeker niet praktijk.

Als de wet niet voor iedereen geldt, naar woord en zin en daad, dan rest slechts de weg naar revolutie.
Heel simplistisch, inderdaad, maar daar komt het wel op neer.

De gemiddelde burger, kleine zelfstandige, MKB'r, wordt doodgegooid met verstikkende regelgeving, en oplopende lasten, vaak met conflicterende regelgeving vanuit verschillende instanties, en bijbehorende sancties en boetes indien overtredingen worden geconstateerd door een of andere pennenlikker, en het is "allemaal prima geregeld zo?". Ik denk van niet.

Er is een hele sublaag in de samenleving gecreeerd, die eigenlijk geen ander doel heeft dan alles daaronder te verstikken. Ten favoure van het onkruid wat er boven welig tiert.

Kun je het mee oneens zijn, maar verklaar dan waarom het er erg sterk op lijkt dat sommigen schijnbaar met alles wegkomen (vaak in kringen van uitzonderlijke maatschappelijke posities), en anderen juist niet (vaak in kringen van veel voorkomende maatschappelijke posities).

Is dit mogelijk slechts een gevalletje "de uitzonderingen bevestigen de regels"? En zo ja waarom voelt juist dat zo onrechtvaardigd?
30-11-2016, 14:00 door Anoniem
Door Anoniem:
Door Anoniem: Er is in NL geen enkele zorginstelling die de NEN7510 normering op orde heeft.

Waar komt deze wijsheid vandaan? Steeds meer zorginstellingen hebben hun informatiebeveiliging op orde.

Noem er is eentje dan? En dan eentje waarvan je weet dat het op orde is, niet eentje die een certificaatje koopt via een andere organisatie omdat ze een aantal punten op orde hebben. En als je zelf iets zou weten van grote instellingen dan zou je weten dat dergelijke certificeringen heel veel voetjes in de aarde hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.