image

Minister: Meeste datalekken door menselijke fouten

woensdag 28 december 2016, 08:42 door Redactie, 18 reacties

De meeste datalekken die dit jaar bij de Autoriteit Persoonsgegevens werden gemeld zijn vooral het gevolg van menselijke fouten, zo laat minister Van der Steur van Veiligheid en Justitie weten. De minister reageerde op Kamervragen over de 300 datalekken die dit jaar door ziekenhuizen werden gemeld.

Zowel de PvdA als de SP wilden naar aanleiding van het aantal incidenten bij ziekenhuizen meer details over de aard en omvang van de datalekken, maar die worden niet door de minister gegeven. Wel geeft hij een opsomming van de datalekken die de Autoriteit Persoonsgegevens vooral te zien krijgt. Het gaat dan om brieven met persoonsgegevens die niet bij de ontvanger aankomen of geopend terugkomen. Klanten die in een klantportaal de gegevens van iemand anders zien. Een e-mail met persoonsgegevens die bij de verkeerde ontvanger terechtkomt. Iemand die een usb-stick kwijtraakt waarop persoonsgegevens staan en laptops waarop persoonsgegevens staan die worden gestolen.

"Er zijn verschillende potentiële oorzaken te benoemen voor het ontstaan van datalekken. Het gebruik van onbeveiligde verbindingen en menselijke fouten zijn er hier twee van", voegt Van der Steur toe. Wat betreft de impact van de datalekken zegt hij niet bekend te zijn met incidenten waarbij ziekenhuizen patiëntgegevens lekten en de betrokken hier vervolgens over geïnformeerd moesten worden. De Autoriteit Persoonsgegevens heeft in ieder geval nog geen boetes aan ziekenhuizen opgelegd wegens het niet tijdig melden van een datalek (pdf).

SP-Kamerleden Leijten en Van Gerven hadden ook vragen over het functioneren van de Autoriteit Persoonsgegevens. Zo wilden ze van minister Schippers van Volksgezondheid weten of het niet vreemd is dat de toezichthouder geen details over de meldingen bij ziekenhuizen wil geven en of de Autoriteit Persoonsgegevens wel doordrongen is van de ernst van de zaak. Verder moest de minister laten weten wat ze gaat doen om ervoor te zorgen dat de Autoriteit Persoonsgegevens haar rol als toezichthouder oppakt.

"De AP is een onafhankelijke toezichthouder. Het is niet aan mij om hier een oordeel over te vellen. Het is daarom aan de AP om te beoordelen en te besluiten over (de wijze van) het openbaar maken van meldingen van datalekken", reageert Schippers. Ook heeft de toezichthouder de zorgsectoren per brief en via verschillende gesprekken geinformeerd over de meldplicht datalekken, merkt ze op. "Overigens is de AP een onafhankelijke toezichthouder en bepaalt de AP haar eigen prioriteiten en agenda", laat de minister verder weten. Ze zegt geen reden te hebben om aan te nemen dat de autoriteit Persoonsgegevens haar rol als toezichthouder niet oppakt, of in de zorgsector op een andere wijze optreedt dan in andere sectoren (pdf).

Reacties (18)
28-12-2016, 08:51 door Anoniem
Zo lust ik er ook nog wel eentje. Het EPD (of hoe het deze week ook heten mag) een 'menselijke fout' noemen.
Op zich heeft hij natuurlijk geen ongelijk. Maar corrigeer die fout dan! (ofwel: schaf dat EPD in welke vorm dan ook gewoon af!)
28-12-2016, 09:04 door Anoniem
Feitelijk is de fout dat 'eenvoudig menselijk falen' het enige is wat nodig is voor een datalek.
Maar ja, dat is inherent aan een EPD - of heet het deze maand weer anders? Het grote voordeel van een papieren dossier is dat je er eerst fysiek nog bij moet komen. Dat lukt niet 'per ongeluk'. Wel 'targeted'. Maar dat lukt met een EPD ook prima - witte jas aan, ziekenhuis in, moet je eens kijken hoe ver je komt. Ondanks alle 'beveiligingen'....
28-12-2016, 09:23 door Anoniem
Wil je geen datalekken, stop dan met het gebruik van digitale portals waar allerhande persoonsgegveens in verzameld en gepresenteerd worden.
Als het er niet is, kan het ook niet lekken.

Dan maar terug naar de pre-historie van de jaren 80.
28-12-2016, 09:43 door PietdeVries
Het aandeel menselijke fouten zou best eens zo groot kunnen zijn omdat wij - security professionals- de systemen zo ontzettend dichttimmeren dat de gebruikers er nauwelijks nog efficiënt mee kunnen werken en dus "omweggetjes" verzinnen om alsnog voor elkaar te krijgen wat ze willen. Als je als arts bezig bent mensenlevens te redden, dan wil je niet op elke terminal en elk systeem opnieuw moeten inloggen met na elke 30 dagen een ander -jaja: complex- wachtwoord. Wij dwingen dat alsnog af via instellingen, met als gevolg dat er een post-it op het scherm zit met het wachtwoord... Wie z'n schuld?
28-12-2016, 10:08 door Anoniem
Door PietdeVries: Het aandeel menselijke fouten zou best eens zo groot kunnen zijn omdat wij - security professionals- de systemen zo ontzettend dichttimmeren dat de gebruikers er nauwelijks nog efficiënt mee kunnen werken en dus "omweggetjes" verzinnen om alsnog voor elkaar te krijgen wat ze willen. Als je als arts bezig bent mensenlevens te redden, dan wil je niet op elke terminal en elk systeem opnieuw moeten inloggen met na elke 30 dagen een ander -jaja: complex- wachtwoord. Wij dwingen dat alsnog af via instellingen, met als gevolg dat er een post-it op het scherm zit met het wachtwoord... Wie z'n schuld?

simpel.. besef jezelf dat je als security verantwoordelijke steken hebt laten vallen (of je directie bepaalde foute keuzes heeft gemaakt) en timmer de omwegen alsnog dicht
28-12-2016, 10:13 door Anoniem
Het Isala-ziekenhuis had de gegevens van zo'n 500 patiënten die bij een plastisch chirurg liepen gelekt, via de gestolen laptop van een co-assistent. Het lijkt mij dat dit wel degelijk een geval is waarbij de betrokkenen (personen waarvan de gegevens zijn gelekt) geïnformeerd dienen te worden. Het feit dat de AP hier geen boete voor oplegt betekent natuurlijk niet dat zulke gebeurtenissen hebben plaatsgevonden...
28-12-2016, 10:31 door ph-cofi
@PietdeVries misschien wel andersom. De gevolgen van privacywetgeving zijn bij organisaties nooit goed geimplementeerd in beveiligingsbewust gedrag en in systemen want "het hindert het gebruiksgemak". Patientendossiers achter 4 cijferige pincode en op internet aangesloten, dat soort spul. Nu er een datalek wet is, die blijkbaar wel wordt opgevolgd, komen meer tekortkomingen in beleidsimplementatie naar buiten?
28-12-2016, 12:03 door Anoniem
Blaming the victim.
28-12-2016, 13:20 door Anoniem
Tja dat is ook logisch,dat data lekken door menselijke fouten plaatsvinden.
De ICT is toch ook door mensen uitgevonden en gemaakt?.
Dus mijn conclusie is dat er overal fouten in kunnen zitten.
Die fouten worden later weggewerkt in patches.
28-12-2016, 15:37 door Anoniem
Als beveiliging de bedrijfsvoering hindert dan wordt het omzeild.

Mensen zijn bereid tot een klein beetje ongemak (bij het weggaan haal je de huissleutel uit je zak en doe je de deur op slot) maar niet teveel (bij het weggaan fiets je een kwartier naar de rand van het dorp, je meldt dat je weggaat, de portier komt mee om je deur te vergrendelen en vervolgens kun je naar je bestemming).

Het botte standpunt "ze moeten het maar doen want het moet omdat het moet" daar ga je het gewoon niet mee redden als beveiliger. Als je even doordenkt dan geldt dat immers voor de andere mensen in het bedrijf ook, dat ze mee zullen moeten denken met de afnemers van hun product of dienst. Niks mis mee. Gewoon aan de slag gaan en zorgen dat de beveiliging op orde is zonder de business te hinderen.
28-12-2016, 16:12 door Anoniem
Door Anoniem: Zo lust ik er ook nog wel eentje. Het EPD (of hoe het deze week ook heten mag) een 'menselijke fout' noemen.
Op zich heeft hij natuurlijk geen ongelijk. Maar corrigeer die fout dan! (ofwel: schaf dat EPD in welke vorm dan ook gewoon af!)
En hoe zie jij dit dan? Ieder ziekenhuis heeft wel een EPD tegenwoorden, al dan niet gekoppeld aan een internet portaal.

Door Anoniem: Wil je geen datalekken, stop dan met het gebruik van digitale portals waar allerhande persoonsgegveens in verzameld en gepresenteerd worden.
Als het er niet is, kan het ook niet lekken.

Dan maar terug naar de pre-historie van de jaren 80.
Lekker papier werk. Dan weet je zeker dat je totaal geen controle meer hebt over je dossier. Immers controle is 0, even een kopietje maken, is zo gedaan. Iemand neemt het even mee, en is daarna verdwenen, en niemand weet waar het meer is. Nee papier was echt een stuk veiliger.... Not.
28-12-2016, 18:07 door Anoniem
"Er zijn verschillende potentiële oorzaken te benoemen voor het ontstaan van datalekken. Het gebruik van onbeveiligde verbindingen en menselijke fouten zijn er hier twee van", voegt Van der Steur toe.

Ik denk dat er eerst even gedefinieerd moet worden wat nou precies een menselijke fout is en wat niet.
Want het gebruik van onbeveiligde verbindingen voor data die niet mag lekken is natuurlijk een menselijke fout.
Of bedoelt hij met mensen alleen gebruikers en worden de beheerders cq ontwerpers niet als mensen geteld?
28-12-2016, 20:19 door Anoniem
Simpele wijsheid : niet alles hoeft aan het internet gehangen omdat het kan

Doorgeslagen hype : dit is het iOT tijdperk, we hangen bij voorkeur juist alles aan het internet omdat het in de mode is en omdat de leverancier het aanbiedt en er mee zwaait.
Van dergelijke speeltjes wordt men opgewonden, vele voordelen : geen contact meer met de klant is goedkoper en beter voor het humeur.

Het bedrijfsleven en de overheid is volledig collectief verdwenen achter digitale portals, digitale communicatie en de bekende gehate callcenters.
Live contact is er niet meer bij, in het geval van zorginstellingen dus ook minder, minder, minder.
Daar krijg je op termijn ongelukken van, Hugo Borst kwam op voor de ene (sociale)kant, de andere kant is veel meer securityrisico op kosten van de klant.
Wat uiteindelijk grote sociale gevolgen kan hebben.

Hoe wordt het verkocht, nou net zoals de grootgrutters doen :'Het is de wil van de klant'.
Neen, het is niet de wil van de klant, de klant gaat gedwongen mee in het aanbod.
De leveranciers bepalen het aanbod, wat er niet meer is kan je ook niet voor kiezen.
Zo zit dat.

Centjes daar gaat het om, En niks anders, de klant heeft het nakijken!
Een bestuurder of ontwikkelaar neemt er geen cocktail op het lievelingsstrandje minder van.

Vraag de klant ! : maar als je de klant eerlijk zou vragen of ze liever live contact willen dan 'contact met een portal', emailcontact of een (student) callcentermedewerker,...
Dan zal het antwoord toch uitkomen op live contact met iemand die verstand van zaken heeft en geen portal en liever ook geen student.
Maar gebruik de student nooit als reden om dan maar helemaal geen goede service te verlenen!

Waarom wordt de klant niets gevraagd? : omdat men de beslissing al genomen heeft, we gaan digitaal, digitaal verschuilen voor de klant is goedkoper en minder gedoe!
28-12-2016, 21:42 door karma4 - Bijgewerkt: 28-12-2016, 21:46
Het AP onafhankelijk? Het is een overheidsinstelling die direct wordt aangestuurd door bzk een minister van de zelfde politiek als van Edith Schippers.
Met de NZA heeft ze eerder aangetoond eigen politiek veel belangrijker te vinden dan ethisch handelen en onafhankelijke controles.

Menselijke fouten op zich correct.
- het is het bestuur de CEO die faalt voor opzetten van een goede secùrity governance.
- het zijn de controleurs die niet mogen controleren
- het zijn It nerds die een onwerkbare situatie creëren door eigen dogma's boven het werkelijke doel te zetten.

Alles is veel te makkelijk af te doen als te moeilijk te technisch dus doe maar niets.
29-12-2016, 07:46 door Anoniem
Door Anoniem: Lekker papier werk. Dan weet je zeker dat je totaal geen controle meer hebt over je dossier. Immers controle is 0, even een kopietje maken, is zo gedaan. Iemand neemt het even mee, en is daarna verdwenen, en niemand weet waar het meer is. Nee papier was echt een stuk veiliger.... Not.

Maar ga jij een heel papieren archief kopieren zonder dat dit opvalt?
Als het betreffende EPD systeem open ligt, dan liggen alle dossiers op straat. Niet die paar dossiers (of paar velletjes van enkele dossiers) die misschien gekopieerd zijn.
Dus ja, het is wel een stuk veiliger.
29-12-2016, 08:24 door Anoniem
Door Anoniem: Zo lust ik er ook nog wel eentje. Het EPD (of hoe het deze week ook heten mag) een 'menselijke fout' noemen.
Waar wordt dat zo genoemd? De AP stelt volgens mij nergens dat een administratie met persoonsgegevens niet geautomatiseerd mag worden. Het is prima dat jij vindt dat patiëntendossiers niet elektronisch opgeslagen moeten worden maar dat betekent niet dat daarom AP de elektronische opslag zelf als menselijke fout bestempelt. Je vertroebelt de discussie door zaken op die manier te vermengen.
Door PietdeVries: Het aandeel menselijke fouten zou best eens zo groot kunnen zijn omdat wij - security professionals- de systemen zo ontzettend dichttimmeren dat de gebruikers er nauwelijks nog efficiënt mee kunnen werken en dus "omweggetjes" verzinnen om alsnog voor elkaar te krijgen wat ze willen.
Dat is net zo eenzijdig als alleen maar kankeren dat de "domme" gebruiker het fout doet.

Toen ik ooit bij een bank daaraan werkte merkte ik dat er volop mensen waren die een digipas waarop je zelf je challenge moest intypen en de response weer in de website moest overnemen veel te ingewikkeld vonden. Als ik zo iemand vroeg of hij er dan zelf helemaal niets voor over had om zijn banksaldo te beschermen tegen dieven kreeg ik als antwoord dat de bank daar maar voor moest zorgen. Die digipassen waren toen domweg de stand van de techniek (zoiets als de Rabo-scanner maakt het nu iets makkelijker) en dat is precies wat de bank deed om te zorgen dat het goed ging. Ik heb (nota bene van een IT'er die zelf bij een bank werkte) te horen gekregen dat hij het veel te veel gedoe vond om zo'n ding op vakantie mee te moeten nemen, die wilde in elk internetcafé (!) dat hij op vakantie tegenkwam zónder extra beveiliging zijn bankzaken kunnen regelen. Tegen zo'n mentaliteit valt niet goed op te beveiligen. Behalve dat er zaken zijn die inderdaad makkelijker kunnen is een deel van het probleem dat veel mensen tegenwoordig verwachten dat alles helemaal vanzelf gaat. Nee, dat klopt niet, soms moet je als gebruiker ook wat doen om het goed te laten gaan. Niet omdat het nooit beter zal kunnen maar omdat we nog niet zo ver zijn dat het vanzelf kan, en volledig haalbaar zal dat vermoedelijk nooit zijn.

Voor waar het hierom draait kan je denken aan RFID-pasjes (of polsbandjes) die zowel de toegang tot besloten delen van de instelling als tot werkstations regelen. Als het RFID-pasje van de aangelogde gebruiker niet waargenomen wordt wordt de sessie geblokkeerd. Veel makkelijker kan je het niet maken, maar ook zoiets werkt alleen als mensen de discipline hebben om pasjes/polsbandjes niet aan elkaar uit te lenen en als de organisatie bereid is om in die techniek te investeren én om het beheer ervan op een niveau te houden waarbij problemen altijd direct kunnen worden opgelost. Duurt dat lang genoeg om het ritme van tien minuten per patiënt te verstoren dan gaan mensen al omwegen zoeken. En dat probleem ligt dan niet bij securityprofessionals die het te moeilijk maken maar bij een bestuur dat geen rekening houdt met hoe zijn eigen medewerkers op situaties reageren en daarom onderschat hoeveel het waard is om sommige dingen soepel te laten blijven lopen. De directe kosten van concrete vertragingen worden waarschijnlijk niet over het hoofd gezien, maar de (niet goed te becijferen) kosten van het in de hand werken dat mensen om de procedures heen gaan werken vermoedelijk wel.
29-12-2016, 22:00 door Anoniem
Diezelfde personen die verantwoordelijk zijn voor het ontstaan van een van die 5500 meldingen zijn waarschijnlijk gewoon uw dochter de co-assistent, uw zwager de ICT-er, uw buurvrouw de receptioniste / financieel medewerkster, uw kennis de marketeer en uw achterbuurjongen de inbreker. Dezelfde mensen die u dus dagelijk in uw leven kunt tegen komen en u beter kent als persoon dan om de functie die ze vervullen. Of dacht u dat al die lekken veroorzaakt worden door mensen zonder familie, kennissen, buren enz? U kunt dus fijn hier gaan mokken dat het aan de hoge bestuurders of witte jassen ligt maar eigenlijk zegt u dan dat uw eigen omgeving niet altijd hoge prioriteit geven om zorgvuldig met de persoonsgegevens van anderen om te gaan als ze bezig zijn met het co-schap en die scriptie af moet, nog een berg andere ICT klusjes moeten afronden, nog 300 mails moeten beantwoorden en 25 adresgegevens moeten wijzigen, er nog wat targets gehaald moeten worden en de schuld nog moet worden afgelost. Het is vaak eigen belang voorop en dat risico dat het mis gaat als het een keer niet volgens de regels gaat zal toch niet gebeuren. Staan die gegevens toch zomaar op een eigen USB-stick om de scriptie thuis af te kunnen maken, staan de adresgegevens op een laptop die nog niet de laatste beveiligingsconfiguratie hadden en gestolen werden, staan de 5000 persoonsgegevens als bijlage in een mail aan de verkeerde personen, slingeren de mailadressen van de klanten via een google-cloud en dropbox naar het collega's, worden de gestolen laptop en het mobieltje verpatst bij een pandjeshuis. Het probleem is niet sector specifiek het is doordrongen in de diepste vaten van onze eigen samenleving om zo laks met andermans persoonsgegevens om te gaan.
03-01-2017, 10:32 door Anoniem
Net zo'n open deur als de uitspraak van de heer Trump.77Qfn@8
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.