image

Computer met patiëntdata gestolen bij Antoni van Leeuwenhoek

dinsdag 2 mei 2017, 09:50 door Redactie, 18 reacties

Vorige maand is bij het Antoni van Leeuwenhoek een vaste computer van de afdeling Nucleaire Geneeskunde gestolen waarop patiëntgegevens stonden. Het gaat om gegevens van 1683 patiënten die voor een nucleair geneeskundig onderzoek naar het Antoni van Leeuwenhoek kwamen.

De patiëntgegevens, zoals naam en patiëntennummer, stonden in e-mails die op de computer waren opgeslagen. Op de gestolen computer stonden geen medische dossiers. Volgens het ziekenhuis was de diefstal waarschijnlijk niet op de patiëntgegevens gericht. Tot op heden is de gestolen computer niet teruggevonden en de kans dat dit alsnog gebeurt lijkt "uitermate klein", aldus het ziekenhuis. De computer was met een wachtwoord beveiligd, maar in de melding wordt nergens over het gebruik van encryptie gesproken.

Alle betrokken patiënten zijn inmiddels per brief ingelicht. Verder is er een informatienummer geopend waarnaar patiënten met vragen kunnen bellen. Het ziekenhuis heeft de inbraak en de vermissing van de computer bij de politie en de Autoriteit Persoonsgegevens gemeld. Ook heeft er een analyse plaatsgevonden van de bestanden en e-mails die op de gestolen computer stonden. Het ziekenhuis zegt ook "extra beveiligingsmaatregelen" te hebben getroffen, maar laat niet weten wat die precies zijn.

Reacties (18)
02-05-2017, 10:14 door Anoniem
Toch lijkt mij dit niet helemaal juist. Tegenwoordig zijn toch alle gegevens verborgen achter intranet? Je zult eerst moeten inloggen wil je überhaupt gegevens kunnen raadplegen en die staan dan ook nog decentraal opgeslagen.

Ik ben werkzaam in de zorgverlening en als ik mijn laptop kwijtraak, kom je niet verder dan het inlogscherm van de intranetomgeving. Gegevens worden niet op de laptop maar op de server benaderd en verwerkt. Hetzelfde geldt voor de gegevensstroom via email.

Ben ik nou zo slim of...?

Ik snap wel dat dit soort dingen gemeld moeten worden maar of het nou echt relevant is?
02-05-2017, 10:15 door Anoniem
Helaas is veel specialistische medische software niet of erg moeilijk op een Citrix- of VmWare-gebaseerd netwerk uit te rollen. Vaak steken leveranciers hier zelf een stokje voor i.v.m. licencering-model (buy once, use on one computer vs. buy once, use everywhere). Dan krijg je situaties waarbij patiëntengegevens op een lokale PC worden opgeslagen. Een Kensington-slot van een tientje of twee kan nog wel eens helpen tegen de gelegenheidsdief. En/of de PC in een afgesloten kast plaatsen. Camerabewaking en de deur met een goed slot afsluiten indien er geen medisch personeel aanwezig is. Fysieke beveiligingsmaatregelen dus.
02-05-2017, 10:47 door Anoniem
Wanneer gaat de overheid eens ingrijpen in de zorgsector? Het ene na het andere datalek in de zorg, wat mij doet denken dat er iet structureel mis is in die sector.
02-05-2017, 11:22 door karma4
Door Anoniem: ....
Ik ben werkzaam in de zorgverlening en als ik mijn laptop kwijtraak, kom je niet verder dan het inlogscherm van de intranetomgeving. Gegevens worden niet op de laptop maar op de server benaderd en verwerkt. Hetzelfde geldt voor de gegevensstroom via email. ....
Als het volledig serverbased zou was er geen reden voor drukte.
Omdat server bases vaak te traag onbetrouwbaar etc is wordt er vaak een lokale copie van alles opgeslagen waarmee je een constante synchronisatie in gang zet.
Dan lijkt het voor de gebruiker dat alles centraal staat maar er is wel degelijk veel lokaal. Zeker bij een afsprakenbalie kun je zoiets verwachten.
02-05-2017, 12:15 door Anoniem
Door Anoniem: Wanneer gaat de overheid eens ingrijpen in de zorgsector? Het ene na het andere datalek in de zorg, wat mij doet denken dat er iet structureel mis is in die sector.

Het betreft hier diefstal ten gevolge van een inbraak. Als er bij jouw thuis wordt ingebroken en diefstal plaatsvindt is er bij jouw thuis iets structureel mis of zie ik deze vergelijking fout?
02-05-2017, 14:10 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer gaat de overheid eens ingrijpen in de zorgsector? Het ene na het andere datalek in de zorg, wat mij doet denken dat er iet structureel mis is in die sector.

Het betreft hier diefstal ten gevolge van een inbraak. Als er bij jouw thuis wordt ingebroken en diefstal plaatsvindt is er bij jouw thuis iets structureel mis of zie ik deze vergelijking fout?

Die vergelijking gaat inderdaad mank.

Ten eerste: waarom staat er lokaal patiëntendata op die laptop? Waarom zit dat niet in het ziekenhuis EPD?
En ten tweede: Als er dan toch patiëntendata op moet staan, waarom heeft men dan geen encryptie toegepast?

Ofwel mist er een goed beleid, ofwel wordt deze in de praktijk niet gehandhaafd. In beide gevallen dus werk aan de winkel voor de CISO van het ziekenhuis.
02-05-2017, 14:48 door Anoniem
En het wachtwoord was zeker - zoals gebruikelijk in dit soort omgevingen - op een post-it aan het beeldscherm geplakt.
02-05-2017, 14:58 door Anoniem
Dat het apparaat gestolen is vind ik niet zo spannend. Waar ik eerder nieuwsgierig naar ben is hoe ze die data hebben beveiligd. Werd / word er gebruik gemaakt van sterke wachtwoorden? Is de hdd encrypt. Wanneer je met zulke gevoelige informatie werkt dan hoop ik voor deze organisaties dat ze hun veiligheid op orde hebben. Al ben ik bang dat ik hierin teleurgesteld ga worden. Omdat ik verwacht dat men weer naïef is en er weer vanuit is gegaan dat dit scenario zich niet voor zal doen.
02-05-2017, 15:08 door Anoniem
Door Anoniem: Wanneer gaat de overheid eens ingrijpen in de zorgsector? Het ene na het andere datalek in de zorg, wat mij doet denken dat er iet structureel mis is in die sector.
Ik vermoed dat er veel meer datalekken zijn, ook in andere (commerciele) sectoren.
Maar die melden het niet.
Het is niet iets dat alleen maar speelt in de zorgsector.
02-05-2017, 16:13 door Anoniem
Het gaat alleen om contactgegevens vanuit E-mails....

Bedenk eens hoeveel PC's/Laptops het mooie Outlook Cached Exchange Modes enabled hebben... Lokale kopie van je mailbox, daar gaat het in geval over.
02-05-2017, 16:33 door Anoniem
Door Anoniem: Wanneer gaat de overheid eens ingrijpen in de zorgsector? Het ene na het andere datalek in de zorg, wat mij doet denken dat er iet structureel mis is in die sector.

Waarschijnlijk pas als ze door Timbukhackistan worden gehackt op een manier dat alle treinen en een paar ziekenhuizen een dag of 2 eruit liggen. Dan komt er vast geld uit de mouwen van Haagse pakken. Tot die tijd is het cyberwarfare team van defensie of NL / EU een salonfaehige bedoeling.
02-05-2017, 16:37 door karma4 - Bijgewerkt: 02-05-2017, 18:34
Door Anoniem: Het gaat alleen om contactgegevens vanuit E-mails....

Bedenk eens hoeveel PC's/Laptops het mooie Outlook Cached Exchange Modes enabled hebben... Lokale kopie van je mailbox, daar gaat het in geval over.
Niet alleen outlook welke mail cliënt wil niet goed performen en evrntueel zonder de server nog verder kunnen.
Notes. .. Juist aan de balies doen de argumenten beschikbaarheid performance het goed.
03-05-2017, 08:08 door Anoniem
Ik ben werkzaam op de IT afdeling in een ander ziekenhuis.

1. Het probleem met veel ziekenhuis software is dat het van slechte kwaliteit is, vaak door ontwikkeld vanuit oude software. Daardoor voldoen ze niet meer aan de norm van vandaag. Gevolg is dat het onmogelijk is de data op het netwerk, share of server op te slaan. De software moet (helaas) soms lokaal draaien en de data moet dan ook lokaal opgeslagen worden. Vaak is er voor de afdeling geen andere keus dan om deze software aan te schaffen, er is simpelweg geen alternatief. Voor ons als IT is het dan geen andere keus om deze software te installeren. Back-up wordt dan vaak dmv script toegepast, zodat data bij een crash veilig staat.

2. Er is structureel gebrek aan geld. Dit betekent dat er bezuinigd moet worden op personeel en security. Wij hebben helaas niet de financiën als een commercieel bedrijf, triest maar waar. Gevolg is dat er te weinig geld, tijd en expertise is om bijv. goede encryptie toe te passen. Gevolg is dat er op sommige PC's lokale data staat, welke niet encrypt is, wat je eigenlijk niet wilt. Omdat wij +500 applicaties beheren en alle ballen maar net omhoog kunnen houden, is er geen tijd / geld voor extra zaken. Gevolg is dat als er een PC of laptop wordt gejat je dit soort taferelen krijgt.

Conclusie, het is vaak een geld kwestie. Als de RvB bezuinigd moeten we roeien met de riemen die we hebben.
03-05-2017, 08:10 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer gaat de overheid eens ingrijpen in de zorgsector? Het ene na het andere datalek in de zorg, wat mij doet denken dat er iet structureel mis is in die sector.
Ik vermoed dat er veel meer datalekken zijn, ook in andere (commerciele) sectoren.
Maar die melden het niet.
Het is niet iets dat alleen maar speelt in de zorgsector.
Inderdaad. AP-voorzitter Aleid Wolfsen heeft dat in een interview met NRC bevestigd:
https://www.nrc.nl/nieuws/2016/12/28/meeste-melding-van-datalekken-uit-zorgsector-5934186-a1538645
Daarin wordt er ook op gewezen dat niet alle lekken betekenen dat data in verkeerde handen zijn gevallen.
03-05-2017, 09:18 door sjonniev
Vandaar dat je ook de harde schijven van desktops moet versleutelen. Is ook handig wanneer de machine uitgefaseerd moet worden.
03-05-2017, 09:39 door Anoniem
Door Anoniem: Dat het apparaat gestolen is vind ik niet zo spannend. Waar ik eerder nieuwsgierig naar ben is hoe ze die data hebben beveiligd. Werd / word er gebruik gemaakt van sterke wachtwoorden? Is de hdd encrypt.
Je kan je wel druk maken over diefstal achteraf.
Maar hoe zit het met diefstal vooraf?

Wachtwoorden en een encrypted schijf is water naar zee dragen als je er Billdow$ op draait.
If you catch the un-encrypted drift ...

Omdat ik verwacht dat men weer naïef is en er weer vanuit is gegaan dat dit scenario zich niet voor zal doen.
Van Naïviteit is dus al ruim sprake met het kiezen van het verkeerde trackende besturingssysteem.
Kies een systeem dat op totale veiligheid is ingericht, een systeem dat niet al gevoelige data onder je gat vandaan graait.
Van een leverancier die niet meer dan 50 pagina's nodig heeft om te laten zien wat het allemaal uit systemen leegtrekt.

Ergo : software dat al ruim privacy lek is patchen is een onzinnige excercitie.

Klagen over geld gebrek is ook onzinnig, Billdow$ draaien is geen wettelijke verplichting.
03-05-2017, 15:40 door Anoniem
Door Anoniem: Ik ben werkzaam op de IT afdeling in een ander ziekenhuis.

1. Het probleem met veel ziekenhuis software is dat het van slechte kwaliteit is, vaak door ontwikkeld vanuit oude software. Daardoor voldoen ze niet meer aan de norm van vandaag. Gevolg is dat het onmogelijk is de data op het netwerk, share of server op te slaan. De software moet (helaas) soms lokaal draaien en de data moet dan ook lokaal opgeslagen worden. Vaak is er voor de afdeling geen andere keus dan om deze software aan te schaffen, er is simpelweg geen alternatief. Voor ons als IT is het dan geen andere keus om deze software te installeren. Back-up wordt dan vaak dmv script toegepast, zodat data bij een crash veilig staat.

2. Er is structureel gebrek aan geld. Dit betekent dat er bezuinigd moet worden op personeel en security. Wij hebben helaas niet de financiën als een commercieel bedrijf, triest maar waar. Gevolg is dat er te weinig geld, tijd en expertise is om bijv. goede encryptie toe te passen. Gevolg is dat er op sommige PC's lokale data staat, welke niet encrypt is, wat je eigenlijk niet wilt. Omdat wij +500 applicaties beheren en alle ballen maar net omhoog kunnen houden, is er geen tijd / geld voor extra zaken. Gevolg is dat als er een PC of laptop wordt gejat je dit soort taferelen krijgt.

Conclusie, het is vaak een geld kwestie. Als de RvB bezuinigd moeten we roeien met de riemen die we hebben.

Ik ben ook werkzaam bij een IT afdeling in een ander ziekenhuis en deel je mening!
Je slaat de spijker op zijn kop betreft de scripts....software is vaak zo oud dat je iets moet verzinnen om het spul draaiend te houden.

Zorg == bezuinigen op postzegel niveau

Vaak merk je dat als het fout gaat het opeens wel allemaal kan omdat er dan een instantie bij betrokken is.
Jammer dat het tegenwoordig de manier van werken is.
03-05-2017, 18:29 door karma4
Door Anoniem:
.....
Klagen over geld gebrek is ook onzinnig, Billdow$ draaien is geen wettelijke verplichting.
Wat met je om tegen nultarief de It overal te gaan verzorgen waarbij jij zelf de hardware doneert en aansprakelijk bent voor eventuele schade.

Managers kunnen uitstekend rekenen. Een software licentie van 100eu in drie jaar af te schrijven is vele malen goedkoper dan te huren ict support voor een uurtje.
Besef dan ook eens welke salarissen uitbetaald worden aan leiding etc. Er is geen geldtekort. Het is een budget kwestie dat aangeeft dat men het niet belangrijk vindt.

Inderdaad de opmerking dat indien er een externe instantie bij betrokken is het zoontje van ... iets mag doen er wel mogelijkheden zijn.

De beeldvorming dat ict iets is van de basisschool er wat pubers zijn die van alles schreeuwen dat helpt niet echt voor een professionele ict insteek.

Enig idee hoeveel miljoenen er aan his software besteed wordt met het extern inkopen en uitbesteden? Dat lijkt er meer op dat de top onderling zit te snoeven voor hoeveel zij uitgegeven hebben. Hoe meer hoe hoger de status is lijkt het wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.