image

Tandartspraktijk krijgt patiëntendatabase niet terug van leverancier

zaterdag 24 november 2018, 10:22 door Redactie, 22 reacties

Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd voor een mogelijk datalek omdat de softwareleverancier die de patiëntendatabase beheerde die niet wil teruggeven nu het contract is beëindigd. De Key Dental Group ontving naar eigen zeggen een bericht van MOGO, een leverancier van elektronische medische dossiers, dat het de database met medische dossiers van de tandartspraktijk niet zal teruggeven.

Dit stond echter wel in de licentieovereenkomst vermeld, aldus de tandartspraktijk. Volgens de Key Dental Group lijkt de beslissing van MOGO dan ook in strijd met de gebruikerslicentie en delen van de Health Insurance Portability and Accountability Act (HIPAA), de Amerikaanse wetgeving voor de gezondheidssector.

De tandartspraktijk stelt dat het niet langer meer de database kan monitoren om te voorkomen dat ongeautoriseerde partijen er toegang toe krijgen. De database bevat namen, adresgegevens, geboortedata, gezondheidsverleden, diagnoses, testuitslagen, behandelinformatie, medicatie, verzekeringsgegevens en in bepaalde gevallen ook social security nummers. Patiënten krijgen dan ook het advies om alert te zijn op identiteitsdiefstal en fraude.

Reacties (22)
24-11-2018, 10:37 door Anoniem
Dat zou in Nederland natuurlijk echt nooooooit kunnen gebeuren met al die cloud oplossingen. Echt nooit...
24-11-2018, 17:07 door Anoniem
Door Anoniem: Dat zou in Nederland natuurlijk echt nooooooit kunnen gebeuren met al die cloud oplossingen. Echt nooit...

Grappig genoeg staat er in de AVG wel het een en ander over vendor lock in. Dat je dat als verwerker moet vermijden, bijvoorbeeld. Wat logisch is omdat het nogal wat consequenties kan hebben voor de beschikbaarheid van de data, zoals in bovengenoemd voorbeeld.
24-11-2018, 18:15 door Anoniem
Toch maar weer op papier alles bijhouden?
24-11-2018, 19:01 door VilaNova
Ik denk alleen maar aan het elektronisch patiëntendossier.
Club failliet, curator verkoopt het serverpark doodleuk aan de vereniging van zorgverzekeraars. Ook gaf minister Schippers toestemming dat zorgverzekeraars inzage in patiëntendossiers krijgt, en nu dus heeft, om fraude op te sporen. Dus de privacy is er niet meer.
Dank u minister Schippers.
24-11-2018, 22:13 door Anoniem
De eigenaar van persoonsgegevens hoort gewoon de persoon te zijn en blijven waar die gegevens van zijn. Is dat nou zo moeilijk? Zal ik het anders in braille tikken, dat iedereen het beter kan zien?
25-11-2018, 04:31 door Anoniem
Daarom vertrouw ik online boekhoudprogrammas ook niet. Dat is net zoiets.
25-11-2018, 08:33 door karma4
Door VilaNova: Ik denk alleen maar aan het elektronisch patiëntendossier.
Club failliet, curator verkoopt het serverpark doodleuk aan de vereniging van zorgverzekeraars. Ook gaf minister Schippers toestemming dat zorgverzekeraars inzage in patiëntendossiers krijgt, en nu dus heeft, om fraude op te sporen. Dus de privacy is er niet meer.
Dank u minister Schippers.
Een landelijk EPD mocht niet, in dat geval zou er namelijk een zware overheidstaak zijn.
De keus was dat elke zorgleverancier elek ziekenhuis het als ondernemer in de vrije markt moest oplossen.
Dat daarbij niets voorzien is als de ondernemer failliet gaat of anderszins ophoudt te bestaan is het korte termijn denken.
25-11-2018, 09:54 door Briolet - Bijgewerkt: 25-11-2018, 09:56
Ik zou het hele artikel met wantrouwen bekijken. Je hoort nu slechts één kant van het verhaal. De redactie heeft alleen naar het artikel gekeken dat deze tandartspraktijk zelf geschreven heeft. Het is niet eens een journalist die het verhaal van deze praktijk opschrijft.

Misschien is er en onenigheid over de betalingen. Of misschien wil de praktijk de database terug met software om er zelf mee te kunnen werken, i.p.v. een kaal cvs bestand. (of een andere versie van ruwe data)

Zonder twee kanten gehoord te hebben, kun je geen mening vormen over bovenstaande. En verhaal van één kant, bij twee ruziënde partijen, zal altijd heel gekleurd opgeschreven zijn.
25-11-2018, 13:49 door Anoniem
Door Briolet: Ik zou het hele artikel met wantrouwen bekijken. Je hoort nu slechts één kant van het verhaal..
Je slaat de spijker op z'n kop! Vooral in kranten en elektronische media kom je heel vaak de slechts-één-kant-verhalen tegen, en soms ook vooral om de schuld van de andere partij - die geen wederhoor krijgt - groter te maken dan ze in werkelijkheid is. Sommigen hebben het zó bont gemaakt, dat die bij mij op een zwarte lijst zijn komen te staan. Ik lees ze daarom niet meer.
25-11-2018, 18:50 door Eric-Jan H te D
Wat gek dat niemand ooit voor dit soort taferelen heeft gewaarschuwd bij al die data in de cloud of anderszins extern beheerd. … Oh wacht eens, ik zie hier dat dat wel is gebeurt maar er is slechts sporadisch naar geluisterd.

Andere variant is: U wil uw gegevens; dat kan. Hier heeft u de database. Maar daar kan ik niks mee!. Het zijn uw gegevens nu; u zoekt het maar uit. Voor de database software van fabrikant X willen wij u er wel op attent maken dat wanneer u die wilt aanschaffen, u de versie van 4,5 jaar geleden moet hebben. Het kan wat moeilijk zijn om die op dit moment nog te vinden, want fabrikant X is inmiddels helaas failliet en de software werd slechts door enkele gekkies in de wereld gebruikt. Jaja wij zijn zelf ook een gekkie. Bovendien hebben wij aan de database software nog wat stored procedures toegevoegd welke intellectueel van ons zijn en die de inhoud van bepaalde cruciale velden versleutelen. Die kunnen wij u natuurlijk wel in licentie geven, maar daar hangt een stevig prijskaartje aan. Zo stevig dat u uw praktijk misschien beter gelijk kunt sluiten. Goedenmiddag!

Zover de "fictie". Nu de harde realiteit:

Pas nadat ik de eigenaar achter Centis na weken bij zijn nieuwe werkgever had weten op te sporen en hij daar een beetje zenuwachtig van werd, kreeg ik uiteindelijk mijn backup's toegespeeld. Centis was een backup leverancier met, zoals na informeren bij Ahsay bleek, een illegale copy/trial versie van het Ahsay backup programma.
De site zag er goed uit. De backups zouden zelfs fysiek op twee verschillende plaatsen worden gerepliceerd. De contracten zagen er ook professioneel uit. Volgens mij was het uiteindelijk allemaal een bordkartonnen façade.
Ik hoop de backups nooit nodig te hebben. Over een jaar of tien slaap ik pas weer rustig. Dan kunnen de oude backups door de shredder.


Ahsay backup, wordt door diverse partijen in de markt gebruikt om hun backup diensten aan te bieden en is in mijn ogen een mooi product. Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.
26-11-2018, 08:38 door Anoniem
Door Eric-Jan H te A:Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.

Want Microsoft is we te vertrouwen?
26-11-2018, 08:40 door Anoniem
Door Anoniem:Grappig genoeg staat er in de AVG wel het een en ander over vendor lock in. Dat je dat als verwerker moet vermijden, bijvoorbeeld.

Dan zouden alle gemeenten in Nederland een probleem hebben. En de rijksoverheid ook.
Als er ergens sprake is van "vendor lock in" dan is het wel bij gemeenten (Pink, Centric, etc)
26-11-2018, 10:11 door Anoniem
Een landelijk EPD mocht niet, in dat geval zou er namelijk een zware overheidstaak zijn.

LOL. Alsof het feit dat het een zware overheidstaak zou zijn de reden is dat het landelijke EPD niet door ging.
26-11-2018, 10:12 door Anoniem
Want Microsoft is we te vertrouwen?

Onderbouw eens inhoudelijk waarom Microsoft OneDrive *niet* te vertrouwen is, en geef eens 1-2 praktijk voorbeelden ?
26-11-2018, 10:30 door Anoniem
Door Anoniem:
Door Eric-Jan H te A:Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.

Want Microsoft is we te vertrouwen?
Is Microsoft dan niet te vertrouwen? Onedrive heeft een goede uptime, werkt goed, en zakelijk gezien kan Onedrive gewoon bij O365 afnemen, inclusief de SLA afspraken hierover.

Dus of je hebt andere feiten waarop je jouw conclusie kan trekken?

Daarnaast MOGO draait gewoon in Azure.
26-11-2018, 12:37 door Anoniem
Door Anoniem: Dat zou in Nederland natuurlijk echt nooooooit kunnen gebeuren met al die cloud oplossingen. Echt nooit...

Als je je data in de cloud zet via een standaard <X>aaS model, dan ben jij nog steeds verantwoordelijk voor de beveiliging van de gegevens.
Dit is deels geoutsourced and afgedekt via contractuele clausules, maar geen enkele cloud provider voorziet standaard backups. (Bijvoorbeeld voor als een gebruiker belangrijke gegevens verwijderd.)

Jij dient nog steeds een backup van je data te maken, al dan niet via een andere cloud provider.
26-11-2018, 15:23 door Anoniem
De tandartspraktijk stelt dat het niet langer meer de database kan monitoren om te voorkomen dat ongeautoriseerde partijen er toegang toe krijgen.

Haha, dit konden/deden ze vroeger al niet (want de database stond bij de leverancier), en nu nog steeds niet. What changed?
Dat ze moeilijk verantwoordelijk gehouden kunnen worden. Heerlijk toch! Geniet ervan inplaats van smadelijke berichten naar buiten te brengen ;)
27-11-2018, 19:59 door -karma4 - Bijgewerkt: 27-11-2018, 20:02
Door Anoniem:
Door Anoniem:
Door Eric-Jan H te A:Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.

Want Microsoft is we te vertrouwen?
Is Microsoft dan niet te vertrouwen? Onedrive heeft een goede uptime, werkt goed, en zakelijk gezien kan Onedrive gewoon bij O365 afnemen, inclusief de SLA afspraken hierover.

Dus of je hebt andere feiten waarop je jouw conclusie kan trekken?

Daarnaast MOGO draait gewoon in Azure.

Altijd, bij eender welke cloud provider, je gegevens eerst zelf versleutelen en dan pas naar de cloud sturen. Zelf gebruik ik het open source en gratis Restic programma - https://restic.net/.

Te gebruiken voor/met: Local; SFTP; REST Server; Amazon S3; Minio Server; OpenStack Swift; Backblaze B2; Microsoft Azure Blob Storage; Google Cloud Storage; Other Services via rclone; Password prompt on Windows.

Docs: https://restic.readthedocs.io/en/stable/
27-11-2018, 21:57 door Eric-Jan H te D
Als reactie op diverse commentaren:
- Microsoft schopt niet zomaar de stoelpoten onder je Onedrive contract vandaan. Sterker nog als je stopt met betalen kun je nog een tijd je gegevens lezen.
- Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld
- En in het slechtste geval heb ik nog een lokale back-up op een Enterprise grade WD Gold drive die met SMART gemonitord wordt en elke vier jaar door een nieuwe wordt vervangen. (De bron schijf is trouwens van dezelfde kwaliteit)


Voor een kleine praktijk lijkt mij dat afdoende
28-11-2018, 10:20 door -karma4
Door Eric-Jan H te A: - Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld

Natuurlijk? Je moest eens weten voor hoevelen dat helemaal niet zo natuurlijk is.
29-11-2018, 10:13 door Anoniem
Door The FOSS - a free radical:
Door Eric-Jan H te A: - Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld

Natuurlijk? Je moest eens weten voor hoevelen dat helemaal niet zo natuurlijk is.
Je moet ook eens weten, hoeveel met een versleutelde backup, de recovery keys niet meer hebben. En daar kom je altijd achter als je de backup nodig hebt.....

Door voor vele is het, om geen versleuteling te gebruiken.
29-11-2018, 20:20 door -karma4
Door Anoniem:
Door The FOSS - a free radical:
Door Eric-Jan H te A: - Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld

Natuurlijk? Je moest eens weten voor hoevelen dat helemaal niet zo natuurlijk is.
Je moet ook eens weten, hoeveel met een versleutelde backup, de recovery keys niet meer hebben. En daar kom je altijd achter als je de backup nodig hebt.....

Door voor vele is het, om geen versleuteling te gebruiken.

Het is inderdaad veel beter dat persoonlijke gegevens (meestal die van anderen) op straat komen te liggen. Als men persoonlijke gegevens van anderen wil verwerken maar niet in staat is om fatsoenlijke maatregelen te nemen om die te beschermen, dan kan men beter ander werk gaan zoeken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.