Natuurlijk is het een zooitje; niet minder dan bij andere bedrijven die dezelfde gare software gebruiken en waar de ICTers ook maar MBOers zijn die vooral kunnen herstarten en herinstalleren en dat was het wel zo'n beetje. Alleen gaat het hier natuurlijk om extra-gevoelige data, en meer nog dan elders moet veiligheid altijd buigen voor snel beschikbaar hebben van de data. Dat er dan wel eens iets lekt, tsja.... Geen enkel regelboekje is echt waterdicht en beter dan regelboekjes opstellen die vervolgens grotendeels genegeerd worden komen zelfs de techneuten niet dus waarom zouden ziekenhuizen het beter doen?

Je doet nu wel een heleboel aannames op basis van een document met instructies voor het personeel. Het is vrij standaard dat je (bijvoorbeeld bij in dienst treding) een dergelijk document krijgt met richtlijnen. Per slot van rekening is personeel met toegang tot gegevens vaak niet IT savvy en mag je niet verwachten dat ze uit zich zelf goed ermee omgaan. Bovendien lijkt het omgekeerde (dat je helemaal niks kan vinden over security policies) me een veel groter probleem. Er valt nog wel meer te zeggen over je verhaal, maar dit raakt de kern wel. Niet teveel typen met deze hitte :-)

Ik moet zeggen dat ik het nog wel mee vind vallen, als je het vergelijkt met het aantal ziekenhuizen vs personeel..... Laat ik wel zeggen dat ieder lek er 1 te veel is.


Wat is gemakkelijk? Gemakkelijk is een groot woord.
Veel van de problemen zijn gewoon kebbek problemen. Daar kan je toch echt weinig tegen doen

Techniek gaat daar niet heel veel mee oplossen. Daarnaast gebruikers moeten ook kunnen werken, dat moet je niet vergeten. Zodra gebruikers niet meer kunnen werken door beveiligingen, dan gaat men er omheen werken.

Het is altijd gemakkelijk langs de zijlijn te staan, en commentaar te leveren.

Daarnaast, hoe denk je dat het bij de overheid verder is geregeld? Je hebt daar exact de zelfde issues kan ik je zeggen.

Ik ben zelf werkzaam in een groot ziekenhuis en zeer regelmatig komt de IGZ langs. Dan gaat het over van alles en nog wat, bijv. toediening risicovolle medicatie, handenwasprotocollen en naleving van kledingvoorschriften, maar nooit gaat het over veilig omgaan met patientgegevens en digitaal gedrag. volgens mij leeft het nog niet zo...

Patiënten data is booming business. Zie mijn post op het nieuwsartikel op deze site over hetzelfde onderwerp (net geschreven en ga het niet opnieuw swypen:)

Kan zomaar zijn dat de mensen die aangifte doen dader zijn en betaald worden voor data. Een aangifte dekt zo iemand in.
Je weet het nooit natuurlijk maar dit is wel iets om rekening mee te houden voor AIVD bijvoorbeeld. Zeker met die dreiging uit het Oosten enz.
Politie kan nl. weinig en daar heb je dus weinig aan.

Data over mensen is nu eenmaal geld waard en dat wordt alleen nog maar meer. Ik vind het al normaal geworden..

Linkje?!

Misschien niet helemaal jouw onderwerp, maar minstens zo belangrijk:

Een uitslag van een onderzoek is mij eens per brief gestuurd omdat ik telefonisch onbereikbaar was.
(idioot is dan ook wel weer dat ze vanuit het ziekenhuis anoniem bellen, zodat ik niet weet wie er wanneer heeft gebeld)
Probleem met deze brief: geheel onnodig BSN vermeld, en ook geboortedatum was niet nodig.

Bij een andere simpele nieuwe afspraak nog erger:
Het ziekenhuis hanteert intern stickers met je:

Voorletter(s) en achternaam
Patiëntnummer
Geboortedatum
Geslacht
BSN
Huisadres incl. postcode en woonplaats
Telefoonnummer
Ziektekosten verzekeraar
Huisarts en tel.nummer huisarts
Streepjescode

Die sticker was dus eens gemakzuchtig en heel onnozel snel op de brief geplakt voor alleen een simpele afspraak!
Deze brief was dus in een enveloppe gestuurd naar mijn huisadres, in een herkenbare ziekenhuisenveloppe.
Dit zijn onodige risico's (op ID-fraude) die men een patiënt hier laat lopen: één keer verkeerd bezorgd bij de "verkeerde" persoon of een "zieke" postbode die zijn carriere op het spel zet, en het ziekenhuis heeft de patiënt alleen maar zieker gemaakt.
En daarbij: het mag niet van Autoriteit Persoonsgegevens!

Voeg daaraan toe het bedrijfsleven met exact de zelfde issues.
Bedenk het hele management gedoe wordt overal met de zelfde uitgangspunten en met de zelfde adviezen van een beperkt aantal adviesbureaus's gedaan.

Die administratie dient een zeker onderbouwd doel, daarmee mag het het van de AP. Verdiep je eens wat ze exact zeggen.
Met de ID-fraude is het nog triester gesteld. Er is voorgeschreven dat een ieder een gedegen controle moet uitvoeren of de persoon voor hem en de bsn bij elkaar horen. BZK weigert daar echter een behoorlijk invulling aan te geven en schuift de problemen terug naar de slachtoffers die zo meerdere keren een slachtoffer worden.

Even wat nauwkeuriger dan nog wat AP in ieder geval zegt:

(bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn#faq)

Standpunt AP is altijd geweest: "niet meer dan nodig".
Dat is het hele eiereten met verwerken van persoonsgegevens: dat je niet meer persoonsgegevens verwerkt dan om het beoogde doel te bereiken, en niet meer dan dat.

De "herkenbare enveloppen-kwestie" is niet zozeer een zaak als ziekenhuizen bovenstaande maar in acht nemen.
Doen zij dat niet, dan is een speciale ziekenhuis-enveloppe een extra risico, ook al zijn zulke enveloppen toegestaan.

Daar zijn ze behoorlijk rekkelijk in, overigens. Want wat is "nodig"? Als jij maar heel hard huilt dat het echt moet dan laten hoe-heten-ze-deze-week je wel met rust.

Voorbeeldje? Ook hier is de ov-faalkaart gedienstig: Ze schrijven onterecht geld af van je anonieme kaart. Terugkrijgen? Heel formulier invullen met veel informatie waaronder je bankrekeningnummer. Want contant teruggeven of zelfs maar het bedrag terug op je kaart schuiven, "dat kan niet". Natuurlijk kan het wel en dat TLS het vertikken zou subiet dikke boetes moeten opleveren. Maar ze komen ermee weg. Waarom? Waarom moet hun abjecte onkunde en/of onwil mij weer privacy kosten?

Je ziet het zo vaak, en deze "autoriteit" laat er dus nogal veel bedrijven en bedrijfjes mee wegkomen. En overheden helemaal natuurlijk.

Contant terug betalen? Dat heb ik een bedrijf nog nooit zien doen op afstand.
Jij weet dus ook hoe de huidige infra structuur van TLS in elkaar zit? Aangezien jij aangeeft "Natuurlijk kan het wel".

Ik zie ook niet waarom dit een boete zou moeten opleveren, afgezien dat jij dat graag zou willen.


Wie zegt dat jou "foute" transactie gekoppeld wordt aan jouw kaart? Als dit gewoon niet gedaan wordt, ben je nog steeds anoniem.
En als je werkelijk zo anoniem wilt blijven, dan moet je ook gewoon niet de teveel geclaimde rit terug vragen.

Als heel Nederland hierover een klacht indient bij AP dan gebeurt er misschien eens wat.

Jaren terug (nog met treinkaartjes) ook eens een akkefietje gehad.
Moest voor een bepaalde tijd in Utrecht zijn, om met collega naar Duitsland in trein te kunnen meereizen.(zakelijk)
Collega had treinkaartjes voor trein naar Duitsland geregeld. Ook voor mij.
Kwam ik op station om met trein naar Utrecht te gaan, werd meteen omgeroepen: geen trein, wisselstoring.
Volgende trein kwam ook niet. Derde trein kwam na vertraging. Kiele kiele of ik Utrecht nog op tijd kon halen.
Van spanning en of trein naar Utrecht nog wel op tijd zou gaan treinkaartje niet gestempeld, maar er was geen controle. Bleek ik helaas net een minuutje te laat in Utrecht aan te komen. Trein naar Duitsland gemist door rot-NS.
Ben weer teruggereisd, maar nooit meer aan stempelen van treinkaartje gedacht. Ik wist niet eens dat ik het niet had gestempeld. Was alleen gefrustreerd door dit alles en boos op NS.
Terugreis wel controle. Conducteur: u moet kaartje bij mij kopen voor dubbele prijs, is niet gestempeld.
Geprobeerd uit te leggen: weinig gehoor. Kon geld terug krijgen door ongestempelde kaartje met ingevuld formulier op te sturen, maar moest wel nieuw kaartje kopen voor dubbele prijs.
Geen 100% gratie wegens omstandigheden, hoewel NS was de schuld van alles en zakelijke reis daardoor gemist!
En ook kaartje alsnog stempelen bij conducteur en normale prijs van één kaartje aan conducteur betalen (komt op hetzelfde neer) kon niet. Zeker te gemakkelijk. NS wilde weer moeilijk doen. Suffe conducteur.

Die slechte conducteur heeft nu dus veroorzaakt voor NS dat als het even kan ik niet met de trein reis, whole my life.
En steek die ca. 50 euro van dubbele prijs treinkaartje en ticket trein naar duitsland dan maar in je....
Treinkaartje Duitsland heb ik ook maar contant aan collega vergoed om niet op te zadelen met formulieren.
Heb zelf geen formulier ingevuld etc. om geld van ongestempelde kaartje terug te krijgen.
Maar NS heeft toch winst verloren doordat ik hierom zelden nog met de trein ga, whole my life.

Waarmee ik maar wil zeggen: NS doet vaker nodeloos ingewikkeld. Dat ben ik met je eens. Anoniem 11:59

Pech hebben we allemaal wel eens.
Wissels worden beheerd door ProRail en niet de NS. Als er dus een wisselstoring is, kan de NS daar niets aan doen.
Daarnaast stempel jij je kaartje niet af. Terwijl je volgens mij voldoende tijd had om dit te doen? De controleur doet daarna netjes zijn werk. En jij bent daarna kwaad op de NS? Terwijl jij en ProRail de schuldige zijn?
Voor anoniem van 11:59: Terug betaling, en OV Chipkaart wordt gedaan door TLS en niet de NS.

En Openbaar vervoer is zeker niet ideaal. Maar als je het vergelijkt met veel andere landen, dan doen wij het nog niet zo slecht (maar ook zeker niet goed). En gelukkig staan er nooit files, of is de weg nooit afgesloten, en kunnen we altijd overal parkeren.
Trein is soms best gemakkelijk hoor kan ik je zeggen, al ga ik veel liever met mijn eigen auto overal naar toe.

Maar van al jouw problemen komt er niet 1 door de NS, en kan de NS er dus eigenlijk helemaal niets aan doen. Misschien moet je je keuzes een her-evalueren met juiste feiten?

Zelfde verhaal gehad met de NS.
Verkeerd in- of uitchecken bij Conexxion: storten ze gewoon terug op je OV kaart, dus volgende keer haal je dat bedrag op bij een automaat.
Zo niet NS, die willen mijn geboortedatum ter controle (waartegen dan. als ik met een anonieme kaart voor het eerst bel?) en mijn bankrekeningnummer en adres en kortom ongeveer alles dat helemaal niet nodig is. Bel ik nog een keer over een andere kaart, krijg ik te horen dat het nummer niet klopt met de kaart op mijn naam (pardon, dus die gegevens bewaren jullie, die mag deze dame aan de telefoon gewoon inzien, en ik moet me gaan verantwoorden dat ik twee anonieme OV chipkaarten heb??).

En to add insult to injury: achteraf kreeg ik op mijn werk e-mail een berichtje van de NS of ik tevreden was over het contact. Want mijn werkgever laat ons allen op een NS kaart reizen en vindt het nodig om alle persoonsgegevens van alle medewerkers, ook als ze nooit op die kaart reizen, via een intermediair aan de NS te verstrekken.

En de NS koppelt dus alle gegevens over mij aan elkaar. Ik zie dat nut niet zo.

En je argument "vraag het dan niet terug" is natuurlijk flauwekul. NS moet een fatsoenlijke service leveren, net zoals de andere vervoerders dat wel kunnen.

Als ze nou 'ns een nieuwe feature op die OV-Chipkaart-automaten zetten: saldo overzetten van kaart 1 naar kaart 2 ?

Lijkt me technisch niet ingewikkeld, en stelt klanten in staat die een anonieme chipkaart hebben die bijna gaat verlopen en waar nog wat saldo op staat, deze over te zetten naar een nieuwe chipkaart...

Ik heb ook nog 3 verlopen anonieme kaarten liggen, waar bij elkaar nog 'n euro of 50 op staat, maar de gigantische waslijst aan gegevens die je moet invullen om dit saldo terug te krijgen houdt mij tegen om dit saldo terug te claimen... ;-(

ICT Beleid en toetsing hiervan is bij veel bedrijven (en ook Ziekenhuizen) onderdeel geworden van de audits die samenhangen met de goedkeuring van de jaarrekening. Wat opzich gunstig is omdat die vaak hoger in de orginsatie leeft en dus daar ook op de agenda komt.

Het begint (iig in Nederland) bij steeds meer Ziekenhuizen ook daadwerkelijk te leven - waarbij de technische maatregellen gemaximaliseerd worden. Hoever dit is hangt dan weer af van het specifieke budget van de ziekenhuis groep.

Naast 'de gebruiker/het gebruik' zijn wel veel problemen oplosbaar. Maar waar de welwillende ziekenhuizen nu tegenaanlopen is het gebruik van software/hardware die bepaalde keurmerken vanuit de leverancier meekrijgen (vaak ook nog vanuit de USA). Wat opzich goed is omdat hiermee het medisch process enigzins gewaardborgt wordt (en de leverancier zich kan indekken). Probleem met keurmerken is uiteraard dat deze geld en tijd kosten. Hierdoor blijven software leveranciers lang op oude stacks hangen.

Dus in veel ziekenhuizen wordt de omslag de afgelopen jaren gemaakt - en nu is het aan de leverende partijen hier ook echt werk van gaan maken. En dit gebeurt alleen als Ziekenhuizen meer gaan afdwingen ipv zoals vroeger alles maar naar binnen te laten.

Heb je het nu niet over de NS Business Card?


Zou inderdaad wel moeten kunnen. Maar hoe anoniem ben je dan nog?


Tja... Keuzes....

Persoonlijk vind ik dat je hier veel te veel moeite voor moet doen. Dit zou veel gemakkelijkers moeten kunnen. Idem voor het aanschaffen van zo'n kaart. Ik vind dit behoorlijke kosten.

Zit er aan te denken om een gratis NS Business Card aan te vragen, en die gewoon koppelen aan mijn prive rekeningen. Ben ik in 1 keer van al het gezeur af.

Was een tijd geleden (jaren terug) zei ik. Was dacht ik nog vóór ontstaan ProRail. En nu ik er over nadenk waarschijnlijk zelfs nog in de "gulden"-tijd. Anyway: de conducteur was van NS. Heb kritiek op conducteur.
Ten eerste: laat me nog kaartje dubbel betalen voor per ongeluk vanwege de hele situatie niet gestempeld kaartje.
Ze hadden het ook wel heel bont gemaakt omdat ik twee of drie treinen eerder had genomen en nog haal ik het niet op tijd.
Ten tweede: doen zo moeilijk. Moest nieuw kaartje dubbel betalen en kon oude kaartje inleveren met formulier om nog eens situatie uit te leggen en geld voor oude kaartje terug te krijgen. Kost veel tijd, privacy, etc. en moet maar afwachten of het allemaal goed gaat. Nieuw kaartje bij conducteur kopen voor gewone prijs en gedoe met formulier vermijden kon niet.

Was belangrijke zakenreis voor mij, en moest collega in de steek laten. Veel stress. Kaartje vergeten te stempelen
misschien stom, maar ik had wel wat anders aan mijn hoofd. Slechte conducteur die daar geen begrip voor heeft.
Maar uiteindelijk ben ik niet alleen de dupe maar ook NS. Ga met NS reizen mijn hele verdere leven vermijden vanwege dit incident. Vangen juist minder geld van mij daardoor. Zeikerds.