image

Schippers: Informatiebeveiliging in de zorg moet beter

vrijdag 17 februari 2017, 13:24 door Redactie, 12 reacties

De informatiebeveiliging in de zorg moet beter, maar het kabinet is niet van plan om verdere wet- en regelgeving op te stellen die hiervoor moet zorgen. Dat heeft minister Schippers van Volksgezondheid op Kamervragen van de PvdA over beveiligde verbindingen bij ziekenhuissites laten weten.

Uit recent onderzoek bleek dat een kwart van de onderzochte ziekenhuissites geen beveiligde verbinding aanbiedt. Verder bleek dat 11 van de 97 ziekenhuizen de https-verbinding niet goed had geconfigureerd. Volgens de minister blijkt uit ander onderzoek dat het bewustzijn in ziekenhuizen over de omgang en verwerking van privacygevoelige gegevens de afgelopen jaren is toegenomen. "Tegelijkertijd lijkt het bewustzijn nog niet bij iedereen in dezelfde mate aanwezig en dat is onwenselijk", merkt ze op.

De minister laat verder weten dat ziekenhuizen zelf verantwoordelijk zijn voor passende technische en organisatorische maatregelen op hun websites, zoals het aanbieden van een beveiligde verbinding. Of er door het gebruik van onbeveiligde verbindingen gegevens zijn gelekt kan Schippers niet zeggen. "Meldingen worden bij de Autoriteit Persoonsgegevens gedaan. Het is mij niet bekend of hierover meldingen zijn gedaan", antwoordt ze op de vragen van PvdA-Kamerlid Oosenbrug.

Oosenbrug had de minister ook gevraagd of ze van plan is aanvullende wet- en regelgeving op te stellen om datalekken te voorkomen. Schippers wijst wederom naar het onderzoek dat ze heeft laten uitvoeren en waaruit naar voren komt dat aanvullende regels niet nodig zijn. "Uit de interviews en enquêtes bij het onderzoek blijkt wel dat er behoefte is aan het begrijpelijker maken van de huidige en komende wet- en regelgeving en het vertalen ervan naar concrete handvatten voor de praktijk." (pdf)

Reacties (12)
17-02-2017, 13:58 door Anoniem
Dit is zo'n kul! Dus je eist dat alles veilig is. En ze (ziekenhuizen) zeggen dat ze veilig zijn. Echter keer op keer komt er na onderzoek uit dat het niet zo is. En dan zegt de overheid niet ons probleem.

Maar ik als burger zit er wel mee dat mijn data niet veilig is. En dat ik zelf als burger niet kan controleren of het veilig is. Dit maakt echt duidelijk dat de overheid dus echt niets van ICT en veiligheid snapt. Hoe kun je een systeem opdringen, terwijl de overheid daar geen controle over heeft. Het gaat om zeer zeer zeer gevoelige data (medische data).

En aangezien de verzekeraar ook nog eens bepaald in veel gevallen naar welk ziekenhuis je moet, kun je niet eens veranderen van ziekenhuis, als je huidige een potje maakt van de beveiliging. Dus je zit als burger totaal vast! Kunt geen kant op!

Daarom, 15 maart stem op de Piratenpartij. Daar zit tenminste mensen die dit wel snappen.

TheYOSH
17-02-2017, 15:03 door Anoniem
Er is reeds aangetoon door ( Renske Leijten, SP Tweede Kamerlid) dat Schipper in de zak van Philips zit. En Philips-medical de grootste boef is als het gaat om illegaal patiënten data verzamelen en voor eigen commercie te misbruiken.

Dus shippers is gewoon zwaar hypocriet en in overtreding van een aantal wetten.
En Renske zelf durft ook niets meer van zich te laten horen over 't onderwerp, in afwachting van haar eigen carriere kansen ism de industrie. :(
17-02-2017, 15:11 door Anoniem
GDPR is al aangenomen en als het goed is wordt dit vanaf januari 2018 ook gehandhaafd.
CQ men heeft gelijk, het heeft geen zin om extra regelgeving te maken, aangezien deze er al is.
Misschien moet men alleen besluiten om, gezien de gevoeligheid van de gegevens die buitgemaakt kunnen worden, de handhaving voor ziekenhuizen en soortgelijk instellingen te versnellen?

Eens kijken hoe zo'n ziekenhuis piept als men 10% van de jaaromzet als boete opgelegd wordt
17-02-2017, 15:47 door Anoniem
Boete is goed zolang het wordt afgetrokken van het salaris van de leden van college van bestuur van foute ziekenhuizen.

Aka slechte beveiliging staat gelijk aan inleveren bonus + korting jaarsalaris van deze mispunten.
Natuurlijk mogen deze mispunten niet deze vorderingen op het budget van het ziekenhuis of aanvechten of als het wordt aangevochten en deze mispunten verliezen zo'n zaak gelijk 20% extra boete op het jaarsalaris doorvoeren op de reeds 10% welke zij eerder moesten betalen.

Uiteindelijk mocht zo'n mispunt door blijven procederen en weer verliezen dan maar gelijk ontslag op staande voet.
De kosten worden volledig op de mispunt verhaald desnoods moet deze het afbetalen met bloed- en/of orgaan-donaties.
17-02-2017, 17:19 door Anoniem
Het is maar de vraag wat je veilig wilt zien? Een standaard website met informatieve informatie is niet per definitie nodig deze via https aan te bieden doch wenselijk.
Wanneer men diensten aanbiedt, patient gerelateerde informatie vind ik het een heel ander verhaal.
Als deze diensten een autorisatie door een DigID oplossing gebruiken zijn de organisaties verplicht een jaarlijkse digid audit te doorlopen en aan de door Logius gestelde richtlijnen te voldoen.

Kortom ik vraag me af wat de betreffende minister nou precies bedoelt.
17-02-2017, 17:50 door potshot
als ik het gemekker hier zo altijd volg is er GEEN middel of maatregel voldoende om de heren 'deskundigen' hier tevreden te stellen...
en als men het ook niet meer weet dan is het
'alles is te kraken' en dan klopt men zich weer voldaan op de borst.
17-02-2017, 19:02 door karma4
Even eenvoudig. E.Schippers beweert dat wel maar door haar daden heeft ze getoond zich er niet voor te interesseren.
Het belangrijkste voor haar zijn de financiën en wel zo dat bestaande machten niets te kort komen maar de zorg naar degenen die het nodig hebben ontoegankelijk worden omdat het te duur zou zijn.

De regels en aanwijzingen rond B. V. Nen7510 zijn helder. Als je niets aan controle en handhaving doet moet je niet raar kijken als het ondermaats blijft.
18-02-2017, 12:42 door Anoniem
Volkomens eens met potshot 17:50:
Als het gehalte hier niet boven het nivo van Piratenpartij en the Yosh uitstijgt.
Nuance is ver te zoeken.
Men weet het alleen allemaal beter.
Zo werkt het niet in een moderne maatschappij.
18-02-2017, 18:13 door karma4
Door Anoniem: Volkomens eens met potshot 17:50:
Als het gehalte hier niet boven het nivo van Piratenpartij en the Yosh uitstijgt.
Nuance is ver te zoeken.
Men weet het alleen allemaal beter.
Zo werkt het niet in een moderne maatschappij.
Wat feiten? uit 2004 , 2008 gerapporteerd 8 jaar later nog geen echte voortgang. https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rapporten/rap_2008_informatiebeveiliging_ziekenhuizen.pdf
19-02-2017, 14:24 door Anoniem
Nuace of geen nuance....De beste stuurlui staan immer aan de wal, of niet dan?
Het feit blijft onverheeld, dat de veiligheid van de complete infrastructuur vanaf het begin van de eeuw onveilig is en blijft.
Ondanks alle verbeteringen, ondanks alle nieuwe veiligheidslaagjes en toevoegingen.

Daar hoef je geen tokkie of beveiligingsexpert voor te zijn. De data breaches en hacks spreken elke dag boekdelen.

En deze algemene brakke infrastructuur is dus ook aanwezig in de zorg, binnen ziekenhuizen en binnen gezondheidsopleidingsinstituten, omdat het een 1 op 1 afspiegeling is van onze alledaagse digitale werkelijkheid.

Er is iets mis, als ik op een algemeen netwerk van een ziekenhuis moet inloggen via mijn facebook account. Ik sta toch niet op Schiphol om naar Amerika te vliegen. Daar moet ik ook mijn social media account gegevens ophoesten.

Wat kan een "Mitnickie" binnen een ziekenhuisomgeving bewerkstelligen door bijvoorbeeld een fysiek contact met een toegankelijk algemeen klok account? Een microfoon en een dropbox accountje? Waarom hebben sommige medewerkers toegang tot accounts vanaf thuis?

Waarom gaat men studenten opleiden voor een diploma, waar ze later niets mee kunnen en hen veroordeelt tot werkeloos thuiszitten? Leg het allemaal eens uit minister Schippers? Maar er wordt wel dik en dik aan verdiend. Helaas niet door een ieder.

Ik denk niet dat het ligt aan het gehalte van de IT stafleden. Ik ken ze uit 2001 met de algemene uitrol in ziekenhuizen en transportsector van Microsoft NT4 en de kernel. Dat moest zo van het management. Fijn om M$ te benaderen met de kennis van de doorgewinterde linux mannetjes (met jaren ervaring),. De MS event viewer zag bepaalde zaken niet eens voorbij komen. Veel geleerd van die jongens (we hadden toen nog geen meisjes) destijds, bij een super opleidingsinstituut en een grandioze Officiële Microsoft Opleider (bestaat helaas niet meer).

De manuals staan bij me nog thuis en ik put nog steeds uit de kennis van het in de lucht tillen van servertjes uit die tijd.
Je blijft opfrissen, dat wel, maar een goede basis is goud waard. Diploma's en ervaring spreiden helaas tegenwoordig geen bedjes meer, netwerken wel.

Ik vind het veiligheidsgericht denken heden ten dage "prut". Die de beslissingen nemen, weten niets van de risico's en die de risico's moeten mitigeren, beslissen niets.

De security chief heeft evenveel gezag als de overheidsambtenaar buiten, hij spreekt fluisterend en onder zijn stem. Hij brengt alleen maar elke avond zijn schoenen thuis of zit ergens bij op een kissie naast. Hij houdt wel ondertussen Nederland op de digitale kaart.

Een beetje respect voor dit soort mensen, zou ons allen niet misstaan, ook mevrouw Schippers niet.

groet, luntrus
20-02-2017, 07:45 door karma4
Kritische post luntus, mag ik wel. Herkenbaar wat er voor verbetering vatbaar is en hoe een en ander loopt.
20-02-2017, 10:44 door Anoniem
Door Anoniem: GDPR is al aangenomen en als het goed is wordt dit vanaf januari 2018 ook gehandhaafd.
CQ men heeft gelijk, het heeft geen zin om extra regelgeving te maken, aangezien deze er al is.
Misschien moet men alleen besluiten om, gezien de gevoeligheid van de gegevens die buitgemaakt kunnen worden, de handhaving voor ziekenhuizen en soortgelijk instellingen te versnellen?

Eens kijken hoe zo'n ziekenhuis piept als men 10% van de jaaromzet als boete opgelegd wordt

Bijna goed: de GDPR wordt 25 mei 2018 actief.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.