image

Laptop met patiëntgegevens bij ziekenhuis OLVG gestolen

woensdag 25 januari 2017, 11:52 door Redactie, 26 reacties

Begin deze maand is er een laptop met patiëntgegevens bij het Amsterdamse ziekenhuis OLVG gestolen, zo heeft het ziekenhuis bekendgemaakt. Op de laptop staan gegevens van patiënten van de afdelingen radiologie en nucleaire geneeskunde, alsmede adresgegevens en eventuele afspraken.

Volgens het ziekenhuis staan er geen uitslagen op de computer. Ook is het volgens het ziekenhuis niet mogelijk om via de laptop in het elektronisch patiëntendossier van patiënten te komen. De gestolen laptop is een zogenaamde noodcomputer. Deze laptops staan op verschillende afdelingen en hebben een back-up van bepaalde patiëntgegevens. De noodcomputers zijn bedoeld om de continuïteit van de patiëntenzorg te waarborgen. Als het elektronisch patiëntendossier uitvalt kunnen medewerkers toch bij bepaalde gegevens door dergelijke noodcomputers te gebruiken.

"De gestolen computer stond uit het zicht en was bevestigd aan een beveiligingskabel, die met geweld kapot geknipt is. Wij houden er rekening mee dat de dief ook de inloggegevens heeft bemachtigd. Deze lagen ten behoeve van de snelheid van handelen bij nood in de buurt van de computer", aldus het ziekenhuis. OLVG stelt dat het in de buurt houden van inloggegevens bij computers nadrukkelijk in strijd met het ziekenhuisbeleid is, maar dit hier niet is nagevolgd.

Na de diefstal zijn alle noodcomputers op beide OLVG-locaties gecontroleerd om na te gaan of het beveiligingsbeleid wordt opgevolgd. Dit bleek het geval te zijn. De betrokken patiënten zijn inmiddels via een brief ingelicht. Verder is er aangifte gedaan bij de politie en is er een intern onderzoek gestart. Ook is er melding gedaan van een datalek bij de Autoriteit Persoonsgegevens.

Reacties (26)
25-01-2017, 12:24 door Anoniem
Net zoiets als dat de codes voor de nucleaire raketten van de US allemaal 00000000 waren. Dat stond zelfs zo in de instructies.

Het is toch schrikbarend hoe vaak het beveilingsbeleid met de voeten wordt getreden met als excuus nood, snel, en handig.
25-01-2017, 12:35 door linuxpro
Mooi stukje crisismanagement... "Deze lagen ten behoeve van de snelheid van handelen bij nood in de buurt van de computer" Ik vermoed het bekende gele post-it briefje aan de onderkant v/d gestolen notebook... Leuk gevonden, dat wel
25-01-2017, 12:40 door Anoniem
Tja... je mag het niet zeggen... maar WHAT THE F*CK deden die gegevens op een laptop?
25-01-2017, 12:56 door Anoniem
Ze hebben nu alle computers gecontroleerd om te zien of ze aan het beleid voldoen. Maar het bestaan van die computers is toch tegen het beleid? Zijn ze nu vernietigd? En hoe houd je de gegevens op die computers actueel en correct als het EPD uitvalt?
25-01-2017, 13:07 door Anoniem
Instructies...instructies.....maar waarom wordt dan niet nagetrokken of die instructies werkelijk worden doorgevoerd?
Nu is het een laptop met medische gegevens, straks een laptop met gevoelige defensiegeheimen. Waneer houdt dit op?
25-01-2017, 13:20 door Anoniem
I'm f*cked: ik zit in het systeem van het OLVG.
Ga ze maar eens benaderen hoe het zit....
25-01-2017, 13:34 door Anoniem
Ik lees niks over "Encryptie". Ik ben van mening dat alle computers/devices die zich niet in een fysiek beveiligd datacenter bevinden versleuteld dienen te zijn.
25-01-2017, 13:37 door SecOff
Door Anoniem:Maar het bestaan van die computers is toch tegen het beleid?
Het bestaan van die computers is juist WEL volgens beleid. Het is namelijk wel zo fijn dat men de informatie die nodig is om te zorgen dat je goede en niet de verkeerde behandeling of medicijnen ook kan raadplegen als het EPD systeem of netwerk is uitgevallen. De tijd van de map met al je gegevens op papier aan het voeteneinde van je ziekenhuisbed ligt al een tijd achter ons. Of ga jij liever het hoekje om dan dat je gegevens ook buiten de centrale computerruimte opgeslagen worden?

Dat praat natuurlijk niet goed dat de inlog gegevens er bij lagen.
25-01-2017, 13:48 door Anoniem
Door Anoniem: Tja... je mag het niet zeggen... maar WHAT THE F*CK deden die gegevens op een laptop?
Staat in de tekst he. Bij uitval centraal systeem. NOOD laptop ;-)
25-01-2017, 14:06 door Anoniem
Door Anoniem: Tja... je mag het niet zeggen... maar WHAT THE F*CK deden die gegevens op een laptop?
Gokje, omdat in geval van een calamiteit (denk aan uitval van stroom) zonder problemen een aantal uur met de accu kunnen doen?

Wordt met een vaste PC wat lastiger, losse PC met scherm is minder vriendelijk qua energieverbruik, UPS'en zijn doorgaans niet geschikt om die permanent aan de praat te houden en een stuk onderhoudsgevoeliger. Komt bij dat een laptop makkelijker dicht te klappen is, om nog langer op de accu te doen.
25-01-2017, 14:09 door Anoniem
Door Anoniem: Tja... je mag het niet zeggen... maar WHAT THE F*CK deden die gegevens op een laptop?
Dat staat gewoon in het artikel en het persbericht. Als je het er niet mee eens bent is dat prima, maar wat zijn dan jouw uitstekende alternatieve ideeën voor het waarborgen van de continuïteit van de patientenzorg?
Door Anoniem: Instructies...instructies.....maar waarom wordt dan niet nagetrokken of die instructies werkelijk worden doorgevoerd?
Je weet helemaal niet of dat nooit gebeurt, misschien gebeurt het niet frequent genoeg, maar dat terzijde. Ik denk dat het probleem is dat bij IT-beveiliging (met reden!) wantrouwen een centrale peiler is onder de manier waarop je over situaties nadenkt, en dat bij medische zorg en arts-patiëntrelaties (met net zoveel reden!) het juist vertrouwen is dat een centrale peiler vormt. Dat tegelijkertijd in de lucht houden vormt een mentale spagaat, het gelijktijdig kunnen functioneren volgens tegenovergestelde uitgangspunten, die vermoedelijk voor de meeste mensen niet vol te houden is.
25-01-2017, 14:12 door Anoniem
Door SecOff:
Door Anoniem:Maar het bestaan van die computers is toch tegen het beleid?
Het bestaan van die computers is juist WEL volgens beleid. Het is namelijk wel zo fijn dat men de informatie die nodig is om te zorgen dat je goede en niet de verkeerde behandeling of medicijnen ook kan raadplegen als het EPD systeem of netwerk is uitgevallen. De tijd van de map met al je gegevens op papier aan het voeteneinde van je ziekenhuisbed ligt al een tijd achter ons. Of ga jij liever het hoekje om dan dat je gegevens ook buiten de centrale computerruimte opgeslagen worden?

Dat praat natuurlijk niet goed dat de inlog gegevens er bij lagen.

Je hebt gelijk, ik had het niet goed gelezen.
25-01-2017, 14:57 door Anoniem
Door Anoniem: Ik lees niks over "Encryptie". Ik ben van mening dat alle computers/devices die zich niet in een fysiek beveiligd datacenter bevinden versleuteld dienen te zijn.
Dat is een heel goed punt hier. Of ze vonden het benoemen niet waard, Of...er was geen encryptie.
25-01-2017, 14:58 door Anoniem
Door Anoniem: I'm f*cked: ik zit in het systeem van het OLVG.
Ga ze maar eens benaderen hoe het zit....
Heb je dan geen brief van ze ontvangen? Laat het even weten op dit forum.
25-01-2017, 15:01 door Anoniem
Tja... je mag het niet zeggen... maar WHAT THE F*CK deden die gegevens op een laptop?

Indien de data goed is beveiligd, en de credentials niet voor handen liggen, dan maakt dat niet zo heel veel uit. Een desktop is net zo draagbaar.
25-01-2017, 15:57 door Anoniem
Eventuele encryptie wordt hier teniet gedaan doordat de login gegevens binnen handbereik lagen.
25-01-2017, 16:25 door Anoniem
Door Anoniem: Eventuele encryptie wordt hier teniet gedaan doordat de login gegevens binnen handbereik lagen.
Alleen voor de login ja, maar als individuele bestanden ook zijn versleuteld heb je weinig aan login-gegevens.
25-01-2017, 16:41 door Anoniem
Kanttekeningen bij

"De gestolen computer stond uit het zicht en was bevestigd aan een beveiligingskabel, die met geweld kapot geknipt is. Wij houden er rekening mee dat de dief ook de inloggegevens heeft bemachtigd. Deze lagen ten behoeve van de snelheid van handelen bij nood in de buurt van de computer"

Met geweld
Dit soort kabeltjes kan je doorknippen, niet met een schaar maar wel met het juiste tangetje.
Dat is geen kwestie van geweld maar een kwestie van het juiste kabelkniptangetje op zak hebben. Dit soort kabeltjes hebben niet de dikte waar je een fiets (ook beter van niet) mee op slot zet.
De knipper was dus duidelijk voorbereid door een kabelkniptangetje op zak te hebben.

Geen gevangenis maar een openbaar ziekenhuis
Het OLVG is een open en zeer druk bezocht ziekenhuis midden in het hart van een drukke volkswijk tegen Amsterdam centrum aan.
Dat ziekenhuis is vergeven van de thin clients in de orde van grootte hp en compaq bakjes, laptops zul je daar eigenlijk niet zien.

De betreffende afdeling is ergens achterin het ziekenhuis op de eerste verdieping waar je langs een imposante balie moet en mogelijk inderdaad met een beetje bluf langs kan glippen als personeel niet oplet of iemand de smoes heeft te wachten bij radiologie.

Doen wat je kan
100 % dicht krijg je een dergelijk open ziekenhuis niet en met de genoemde maatregelen had dat ziekenhuis haar best gedaan.

Blijft over de vraag of de laptop encrypted was, wat niet heel relevant meer is als je het bijbehorende password hebt.
En hoe nood-zakelijk deze noodcomputer is op die afdelingen, het is immers o.a. de rontgenfoto-afdeling en veronderstelde bestralingsafdeling.

Als de elektriek het niet doet, maak je geen foto's of bestraal je niet.
Waar is dan die noodlaptop met gegevens voor nodig?
Beter gesteld, wat voor acute situaties treden daar dan bij op die vereisen dat er in data gekeken kan worden?
En als het zo acute noodvoorziening is, waar was die laptop dan precies?
Als bezoeker kom je niet zo maar in een ok of radiologie ruimte, die zijn met dubbele om beurten afgesloten deuren tegen inloop beschermd.

Rondzwervende pappenheimers
Op de afdeling radiologie is sinds enige tijd blauw licht aangebracht op het toilet.
Dat zegt iets over het soort bezoek dat kennelijk ook het ziekenhuis inloopt tot desgewenst ergens achterin op de eerste verdieping aan toe.
Dit soort volk is niet uit op patiëntendata maar heeft eerder behoefte aan snelle inruilcontanten voor dit soort spul. *
Op de inruillocatie zal er per omgaande een schoon fris geïnstalleerd os op worden gezet en worden doorgeschoven naar iedereen die op zoek is naar tweedehands voordeel.

De les
Wat denk ik de belangrijkste les van het afgelopen jaar voor ziekenhuizen is is :

- data beschermen voor ongewilde encryptie via malware
- data afschermen voor diefstal

- Je in je beleid niet afhankelijk maken van goed gedrag van medewerkers.
Zorg dus dat die laptops niet makkelijk te stelen zijn, zorg ervoor dat de data die erop staat of de wijze waarop het toegang geeft tot data goed is afgeschermd tegen uitlezen door derden en tegen datarecovery.

Complimentje waard
Dat OLVG heeft het wat dat betreft behoorlijk goed voor elkaar.
Communicatie: In de eerste plaats zonder al te veel omhaal gewoon vertellen wat er gebeurd is

Hardware: Nergens laptops in zicht, wel thin clients.
Die thin clients zitten overigens niet massaal vast met een kabeltje, maar de meeste stop je dan ook niet makkelijk onder je jas en voor de meeste krijg je er ook voor op inruil.
Ga die nieuwe kleinere muc-varianten svp wel goed zekeren en in ieder geval goed encrypten.

EPD
Ook hier valt het woord EPD weer.
Onbekend is hoe dit EPD reilt en zeilt buiten intern gebruik, wat overigens breed is op te vatten door fusies met andere locaties.


* Geen cybercrime maar iets met vrachtwagens en niet moeilijk doen
6 mei 2013 (flash, html5 kennen ze niet bij de npo)
http://www.npo.nl/rambam/06-05-2013/VARA_101310547
Weet wat je koopt en waar.
25-01-2017, 16:48 door Anoniem
Door Anoniem:
Door Anoniem: Ik lees niks over "Encryptie". Ik ben van mening dat alle computers/devices die zich niet in een fysiek beveiligd datacenter bevinden versleuteld dienen te zijn.
Dat is een heel goed punt hier. Of ze vonden het benoemen niet waard, Of...er was geen encryptie.

Encryptie heeft helemaal geen zin als het gebruikersnaam en wachtwoord op een post-it staan.
25-01-2017, 17:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik lees niks over "Encryptie". Ik ben van mening dat alle computers/devices die zich niet in een fysiek beveiligd datacenter bevinden versleuteld dienen te zijn.
Dat is een heel goed punt hier. Of ze vonden het benoemen niet waard, Of...er was geen encryptie.

Encryptie heeft helemaal geen zin als het gebruikersnaam en wachtwoord op een post-it staan.
Dat is gewoon niet waar wat je zegt. Mijn systeem heeft HD encryptie, maar ook individuele bestands-encryptie. Zou iemand de HD weten de decrypten, dan is ie nog niet binnen in het versleutelde bestandssysteem waar de gevoelige informatie staat.
25-01-2017, 17:16 door Anoniem
Het is nog het meest verontrustend dat we kennelijk geen essentiële zorg meer kunnen verlenen zonder een EPD. Kijk als de computer van het röntgen apparaat niet werkt dan snap ik dat een foto'tje er even niet inzit maar een backup van patiëntengegevens .... hmmm.
25-01-2017, 17:30 door Anoniem
Door Anoniem:
Door Anoniem: I'm f*cked: ik zit in het systeem van het OLVG.
Ga ze maar eens benaderen hoe het zit....
Heb je dan geen brief van ze ontvangen? Laat het even weten op dit forum.

Nee, ik heb geen brief ontvangen, maar op de site van het OLVG https://www.olvg.nl/over_het_olvg/nieuwsberichten/laptop_gestolen_uit_olvg lees ik onderstaande, dus in mijn geval is er (voorlopig) niets aan de hand:

"Laptop gestolen uit OLVG

Amsterdam, dinsdag 24 januari 2017

Op maandag 9 januari 2017 is geconstateerd dat er een computer is gestolen uit OLVG.

Op deze laptop bevindt zich een bestand met een aantal gegevens van patiënten van de afdelingen radiologie en nucleaire geneeskunde, opgeslagen in de periode 31 december 2016 tot en met 7 januari 2017. Op de gestolen computer staan adresgegevens en eventuele afspraken die zijn gemaakt met patiënten van radiologie en nucleaire geneeskunde. Er staan geen uitslagen op deze computer. Ook is het niet mogelijk om via de laptop in het elektronisch patiëntendossier te komen. OLVG heeft de betrokken patiënten middels een brief ingelicht. Er is aangifte gedaan bij de politie en OLVG is bovendien een intern onderzoek gestart. Ook is er melding gedaan van een datalek bij de Autoriteit Persoonsgegevens.
Noodcomputer

De gestolen laptop is een zogenaamde noodcomputer. Deze laptops staan op verschillende afdelingen en hebben een back-up (reserve kopie) van bepaalde patiëntgegevens.

Noodcomputers zijn bedoeld om de continuïteit van de patiëntenzorg te waarborgen. Als het elektronisch patiëntendossier (EPD) om welke reden dan ook onverhoopt uitvalt, kunnen onze medewerkers toch bij bepaalde gegevens door dergelijke noodcomputers te gebruiken.

De gestolen computer stond uit het zicht en was bevestigd aan een beveiligingskabel, die met geweld kapot geknipt is. Wij houden er rekening mee dat de dief ook de inloggegevens heeft bemachtigd. Deze lagen ten behoeve van de snelheid van handelen bij nood in de buurt van de computer. Het in de buurt van computers houden van inloggegevens is nadrukkelijk in strijd met het beleid van OLVG, maar dit beleid is hier helaas niet nagevolgd. Wij betreuren dit ten zeerste. Na de ontdekking van de diefstal zijn direct alle noodcomputers op beide locaties gecontroleerd om na te gaan of het beveiligingsbeleid wordt gevolgd. Dit bleek het geval."
25-01-2017, 18:06 door Anoniem
Door Anoniem:
Door Anoniem: Tja... je mag het niet zeggen... maar WHAT THE F*CK deden die gegevens op een laptop?
Gokje, omdat in geval van een calamiteit (denk aan uitval van stroom) zonder problemen een aantal uur met de accu kunnen doen?

Wordt met een vaste PC wat lastiger, losse PC met scherm is minder vriendelijk qua energieverbruik, UPS'en zijn doorgaans niet geschikt om die permanent aan de praat te houden en een stuk onderhoudsgevoeliger. Komt bij dat een laptop makkelijker dicht te klappen is, om nog langer op de accu te doen.

Nou, toevallig heb ik dat soort zaken geregeld toen ik een nieuw EPD installeerde bij een groot ziekenhuis. Dus JA. Ik heb daar over nagedacht.
Gezien je antwoord haal ik eruit dat jij dat niet gedaan hebt...
Weet je wel hoe een EPD werkt?
En hoe een (goed) ziekenhuis de (door de fabrikant verplichte setup) zooi ingericht heeft op hardware, stroom en datacenter niveau?
Nee dus...
Anders had je niet zo'n dom antwoord gegeven.
Dat een laptop op een accu kan draaien heeft nul komma niets nut in een EPD wat op een netwerk draait.


#1 EPD gegevens mogen NOOIT fysiek op de laptop. never nooit niet.

Het zijn persoonsgegevens van de een na hoogste categorie.. mogen nooit buiten een datacenter en al helemaal niet unenctrypted.

Afgezien van dat geen enkel EPD wat ik de afgelopen 10 jaar geinstalleerd heb offline synching kent zijn de systemen daar al helemaal niet opgebouwd.
Waarom niet?
Omdat simpelweg de EPD systemen zodanig zijn gebouwd dat je #1 2 datacentra nodig hebt waarbij het EPD over twee datacentra realtime gesyncht loopt #2 de hardware zelf drievoudig uitgevoerd is #3 de stroom drievoudig redundant is (no-break, noodstroom en daarna generatoren). Deze stroom is voldoende om het hele datacenter in de lucht te houden inclusief OK's en de meeste poli's waar actief zaken gedaan worden zoals de SEH, Eerste Hartbewaking enzovoorts.
(ter informatie, het laatste ziekenhuis waar ik een EPD ingericht heb heeft zoveel backupstroom capaciteit dat mijn dorp daar 3x de stroom van kan trekken... maarja, het cluster aan datacenter switches die ik daar neergezet heb trok ook al 12.000 watt per stuk

Dus even niet denken in de tweakers categorie van een 500 Voltampere UPSje wat je laptop net 15 minuten in de lucht kan houden maar meer richting 12.000.000.000 VA UPSje
25-01-2017, 18:08 door Anoniem
Door Anoniem: Het is nog het meest verontrustend dat we kennelijk geen essentiële zorg meer kunnen verlenen zonder een EPD. Kijk als de computer van het röntgen apparaat niet werkt dan snap ik dat een foto'tje er even niet inzit maar een backup van patiëntengegevens .... hmmm.
Eigenlijk net zo iets, als dat je papieren dossier kwijt/verkeer opgeborgen / niet afgeleverd is op de juiste locatie.
25-01-2017, 20:16 door karma4
Door Anoniem: Het is nog het meest verontrustend dat we kennelijk geen essentiële zorg meer kunnen verlenen zonder een EPD. Kijk als de computer van het röntgen apparaat niet werkt dan snap ik dat een foto'tje er even niet inzit maar een backup van patiëntengegevens .... hmmm.
hmmm wat dacht van alle intensieve zorg die bijvoorbeeld na een operatie nodig is.
Genoemd is hier de afspraken voor medicatie in een zeer specialistisch terrein dat je niet zomaar verzet wegens de impact.

Dat ze een DR er voor hebben ingericht is eerder goed te noemen.
Voor de rest zie ik bar weinig behoorlijke achtergrondinformatie. Dat dit net de enige plek waar het zo liep was is onwaarschijnlijk. Dat langs de fysieke controles gegaan is, dat is vreemd maar niet onmogelijk.
26-01-2017, 09:40 door PietdeVries
Mooi he? Dat de eerste 15 of zo reacties van die one-liners zijn van mensen die vooral niet lezen maar vooral bovenaan in de reacties willen staan. Een beetje "first" a la 4chan. En daarna zie je reacties waar wel wordt gereageerd op de inhoud. Van mensen die wel het artikel hebben gelezen. Die zich ook kunnen indenken dat je niet dringend hulp nodig wil hebben en een zuster die roept dat ze d'r wachtwoord moet wijzigen naar een complexe string van 12 karakters en daarna eerst de security patches moet installeren voordat ze je kan helpen.

Zie daar de reden dat hackers zo goed hun gang kunnen gaan. Wij als security community krijgen het kennelijk niet voor elkaar om met een oplossing te komen die en veilig is en mensen gewoon hun werk laat doen. In plaats daarvan komen we met lapmiddelen die dagelijkse activiteiten nodeloos complex maken (welke niet-security persoon gaat nou in hemelsnaam op vrijdag avond de firmware van z'n webcam updaten? Of kijken in de logs van z'n adsl router? dat doet toch niemand voor z'n plezier?!?).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.