Zo lust ik er ook nog wel eentje. Het EPD (of hoe het deze week ook heten mag) een 'menselijke fout' noemen.
Op zich heeft hij natuurlijk geen ongelijk. Maar corrigeer die fout dan! (ofwel: schaf dat EPD in welke vorm dan ook gewoon af!)

Feitelijk is de fout dat 'eenvoudig menselijk falen' het enige is wat nodig is voor een datalek.
Maar ja, dat is inherent aan een EPD - of heet het deze maand weer anders? Het grote voordeel van een papieren dossier is dat je er eerst fysiek nog bij moet komen. Dat lukt niet 'per ongeluk'. Wel 'targeted'. Maar dat lukt met een EPD ook prima - witte jas aan, ziekenhuis in, moet je eens kijken hoe ver je komt. Ondanks alle 'beveiligingen'....

Wil je geen datalekken, stop dan met het gebruik van digitale portals waar allerhande persoonsgegveens in verzameld en gepresenteerd worden.
Als het er niet is, kan het ook niet lekken.

Dan maar terug naar de pre-historie van de jaren 80.

Het aandeel menselijke fouten zou best eens zo groot kunnen zijn omdat wij - security professionals- de systemen zo ontzettend dichttimmeren dat de gebruikers er nauwelijks nog efficiënt mee kunnen werken en dus "omweggetjes" verzinnen om alsnog voor elkaar te krijgen wat ze willen. Als je als arts bezig bent mensenlevens te redden, dan wil je niet op elke terminal en elk systeem opnieuw moeten inloggen met na elke 30 dagen een ander -jaja: complex- wachtwoord. Wij dwingen dat alsnog af via instellingen, met als gevolg dat er een post-it op het scherm zit met het wachtwoord... Wie z'n schuld?

simpel.. besef jezelf dat je als security verantwoordelijke steken hebt laten vallen (of je directie bepaalde foute keuzes heeft gemaakt) en timmer de omwegen alsnog dicht

Het Isala-ziekenhuis had de gegevens van zo'n 500 patiënten die bij een plastisch chirurg liepen gelekt, via de gestolen laptop van een co-assistent. Het lijkt mij dat dit wel degelijk een geval is waarbij de betrokkenen (personen waarvan de gegevens zijn gelekt) geïnformeerd dienen te worden. Het feit dat de AP hier geen boete voor oplegt betekent natuurlijk niet dat zulke gebeurtenissen hebben plaatsgevonden...

@PietdeVries misschien wel andersom. De gevolgen van privacywetgeving zijn bij organisaties nooit goed geimplementeerd in beveiligingsbewust gedrag en in systemen want "het hindert het gebruiksgemak". Patientendossiers achter 4 cijferige pincode en op internet aangesloten, dat soort spul. Nu er een datalek wet is, die blijkbaar wel wordt opgevolgd, komen meer tekortkomingen in beleidsimplementatie naar buiten?

Blaming the victim.

Tja dat is ook logisch,dat data lekken door menselijke fouten plaatsvinden.
De ICT is toch ook door mensen uitgevonden en gemaakt?.
Dus mijn conclusie is dat er overal fouten in kunnen zitten.
Die fouten worden later weggewerkt in patches.

Als beveiliging de bedrijfsvoering hindert dan wordt het omzeild.

Mensen zijn bereid tot een klein beetje ongemak (bij het weggaan haal je de huissleutel uit je zak en doe je de deur op slot) maar niet teveel (bij het weggaan fiets je een kwartier naar de rand van het dorp, je meldt dat je weggaat, de portier komt mee om je deur te vergrendelen en vervolgens kun je naar je bestemming).

Het botte standpunt "ze moeten het maar doen want het moet omdat het moet" daar ga je het gewoon niet mee redden als beveiliger. Als je even doordenkt dan geldt dat immers voor de andere mensen in het bedrijf ook, dat ze mee zullen moeten denken met de afnemers van hun product of dienst. Niks mis mee. Gewoon aan de slag gaan en zorgen dat de beveiliging op orde is zonder de business te hinderen.

En hoe zie jij dit dan? Ieder ziekenhuis heeft wel een EPD tegenwoorden, al dan niet gekoppeld aan een internet portaal.

Lekker papier werk. Dan weet je zeker dat je totaal geen controle meer hebt over je dossier. Immers controle is 0, even een kopietje maken, is zo gedaan. Iemand neemt het even mee, en is daarna verdwenen, en niemand weet waar het meer is. Nee papier was echt een stuk veiliger.... Not.

"Er zijn verschillende potentiële oorzaken te benoemen voor het ontstaan van datalekken. Het gebruik van onbeveiligde verbindingen en menselijke fouten zijn er hier twee van", voegt Van der Steur toe.

Ik denk dat er eerst even gedefinieerd moet worden wat nou precies een menselijke fout is en wat niet.
Want het gebruik van onbeveiligde verbindingen voor data die niet mag lekken is natuurlijk een menselijke fout.
Of bedoelt hij met mensen alleen gebruikers en worden de beheerders cq ontwerpers niet als mensen geteld?

Simpele wijsheid : niet alles hoeft aan het internet gehangen omdat het kan

Doorgeslagen hype : dit is het iOT tijdperk, we hangen bij voorkeur juist alles aan het internet omdat het in de mode is en omdat de leverancier het aanbiedt en er mee zwaait.
Van dergelijke speeltjes wordt men opgewonden, vele voordelen : geen contact meer met de klant is goedkoper en beter voor het humeur.

Het bedrijfsleven en de overheid is volledig collectief verdwenen achter digitale portals, digitale communicatie en de bekende gehate callcenters.
Live contact is er niet meer bij, in het geval van zorginstellingen dus ook minder, minder, minder.
Daar krijg je op termijn ongelukken van, Hugo Borst kwam op voor de ene (sociale)kant, de andere kant is veel meer securityrisico op kosten van de klant.
Wat uiteindelijk grote sociale gevolgen kan hebben.

Hoe wordt het verkocht, nou net zoals de grootgrutters doen :'Het is de wil van de klant'.
Neen, het is niet de wil van de klant, de klant gaat gedwongen mee in het aanbod.
De leveranciers bepalen het aanbod, wat er niet meer is kan je ook niet voor kiezen.
Zo zit dat.

Centjes daar gaat het om, En niks anders, de klant heeft het nakijken!
Een bestuurder of ontwikkelaar neemt er geen cocktail op het lievelingsstrandje minder van.

Vraag de klant ! : maar als je de klant eerlijk zou vragen of ze liever live contact willen dan 'contact met een portal', emailcontact of een (student) callcentermedewerker,...
Dan zal het antwoord toch uitkomen op live contact met iemand die verstand van zaken heeft en geen portal en liever ook geen student.
Maar gebruik de student nooit als reden om dan maar helemaal geen goede service te verlenen!

Waarom wordt de klant niets gevraagd? : omdat men de beslissing al genomen heeft, we gaan digitaal, digitaal verschuilen voor de klant is goedkoper en minder gedoe!

Het AP onafhankelijk? Het is een overheidsinstelling die direct wordt aangestuurd door bzk een minister van de zelfde politiek als van Edith Schippers.
Met de NZA heeft ze eerder aangetoond eigen politiek veel belangrijker te vinden dan ethisch handelen en onafhankelijke controles.

Menselijke fouten op zich correct.
- het is het bestuur de CEO die faalt voor opzetten van een goede secùrity governance.
- het zijn de controleurs die niet mogen controleren
- het zijn It nerds die een onwerkbare situatie creëren door eigen dogma's boven het werkelijke doel te zetten.

Alles is veel te makkelijk af te doen als te moeilijk te technisch dus doe maar niets.

Maar ga jij een heel papieren archief kopieren zonder dat dit opvalt?
Als het betreffende EPD systeem open ligt, dan liggen alle dossiers op straat. Niet die paar dossiers (of paar velletjes van enkele dossiers) die misschien gekopieerd zijn.
Dus ja, het is wel een stuk veiliger.

Waar wordt dat zo genoemd? De AP stelt volgens mij nergens dat een administratie met persoonsgegevens niet geautomatiseerd mag worden. Het is prima dat jij vindt dat patiëntendossiers niet elektronisch opgeslagen moeten worden maar dat betekent niet dat daarom AP de elektronische opslag zelf als menselijke fout bestempelt. Je vertroebelt de discussie door zaken op die manier te vermengen.
Dat is net zo eenzijdig als alleen maar kankeren dat de "domme" gebruiker het fout doet.

Toen ik ooit bij een bank daaraan werkte merkte ik dat er volop mensen waren die een digipas waarop je zelf je challenge moest intypen en de response weer in de website moest overnemen veel te ingewikkeld vonden. Als ik zo iemand vroeg of hij er dan zelf helemaal niets voor over had om zijn banksaldo te beschermen tegen dieven kreeg ik als antwoord dat de bank daar maar voor moest zorgen. Die digipassen waren toen domweg de stand van de techniek (zoiets als de Rabo-scanner maakt het nu iets makkelijker) en dat is precies wat de bank deed om te zorgen dat het goed ging. Ik heb (nota bene van een IT'er die zelf bij een bank werkte) te horen gekregen dat hij het veel te veel gedoe vond om zo'n ding op vakantie mee te moeten nemen, die wilde in elk internetcafé (!) dat hij op vakantie tegenkwam zónder extra beveiliging zijn bankzaken kunnen regelen. Tegen zo'n mentaliteit valt niet goed op te beveiligen. Behalve dat er zaken zijn die inderdaad makkelijker kunnen is een deel van het probleem dat veel mensen tegenwoordig verwachten dat alles helemaal vanzelf gaat. Nee, dat klopt niet, soms moet je als gebruiker ook wat doen om het goed te laten gaan. Niet omdat het nooit beter zal kunnen maar omdat we nog niet zo ver zijn dat het vanzelf kan, en volledig haalbaar zal dat vermoedelijk nooit zijn.

Voor waar het hierom draait kan je denken aan RFID-pasjes (of polsbandjes) die zowel de toegang tot besloten delen van de instelling als tot werkstations regelen. Als het RFID-pasje van de aangelogde gebruiker niet waargenomen wordt wordt de sessie geblokkeerd. Veel makkelijker kan je het niet maken, maar ook zoiets werkt alleen als mensen de discipline hebben om pasjes/polsbandjes niet aan elkaar uit te lenen en als de organisatie bereid is om in die techniek te investeren én om het beheer ervan op een niveau te houden waarbij problemen altijd direct kunnen worden opgelost. Duurt dat lang genoeg om het ritme van tien minuten per patiënt te verstoren dan gaan mensen al omwegen zoeken. En dat probleem ligt dan niet bij securityprofessionals die het te moeilijk maken maar bij een bestuur dat geen rekening houdt met hoe zijn eigen medewerkers op situaties reageren en daarom onderschat hoeveel het waard is om sommige dingen soepel te laten blijven lopen. De directe kosten van concrete vertragingen worden waarschijnlijk niet over het hoofd gezien, maar de (niet goed te becijferen) kosten van het in de hand werken dat mensen om de procedures heen gaan werken vermoedelijk wel.

Diezelfde personen die verantwoordelijk zijn voor het ontstaan van een van die 5500 meldingen zijn waarschijnlijk gewoon uw dochter de co-assistent, uw zwager de ICT-er, uw buurvrouw de receptioniste / financieel medewerkster, uw kennis de marketeer en uw achterbuurjongen de inbreker. Dezelfde mensen die u dus dagelijk in uw leven kunt tegen komen en u beter kent als persoon dan om de functie die ze vervullen. Of dacht u dat al die lekken veroorzaakt worden door mensen zonder familie, kennissen, buren enz? U kunt dus fijn hier gaan mokken dat het aan de hoge bestuurders of witte jassen ligt maar eigenlijk zegt u dan dat uw eigen omgeving niet altijd hoge prioriteit geven om zorgvuldig met de persoonsgegevens van anderen om te gaan als ze bezig zijn met het co-schap en die scriptie af moet, nog een berg andere ICT klusjes moeten afronden, nog 300 mails moeten beantwoorden en 25 adresgegevens moeten wijzigen, er nog wat targets gehaald moeten worden en de schuld nog moet worden afgelost. Het is vaak eigen belang voorop en dat risico dat het mis gaat als het een keer niet volgens de regels gaat zal toch niet gebeuren. Staan die gegevens toch zomaar op een eigen USB-stick om de scriptie thuis af te kunnen maken, staan de adresgegevens op een laptop die nog niet de laatste beveiligingsconfiguratie hadden en gestolen werden, staan de 5000 persoonsgegevens als bijlage in een mail aan de verkeerde personen, slingeren de mailadressen van de klanten via een google-cloud en dropbox naar het collega's, worden de gestolen laptop en het mobieltje verpatst bij een pandjeshuis. Het probleem is niet sector specifiek het is doordrongen in de diepste vaten van onze eigen samenleving om zo laks met andermans persoonsgegevens om te gaan.

Net zo'n open deur als de uitspraak van de heer Trump.77Qfn@8