CDA stelt Kamervragen over ernstig datalek bij Jeugdzorg
Het CDA heeft minister De Jonge van Volksgezondheid Kamervragen gesteld naar aanleiding van het ernstige datalek bij Bureau Jeugdzorg Utrecht. Door een domeinnaam die de instantie had laten verlopen kwamen de dossiers van duizenden kinderen in handen van onbevoegden.
CDA-Kamerlid Peters wil nu van De Jonge weten waarom de oude website van Jeugdzorg Utrecht "niet beveiligd is afgesloten" nadat deze offline is gehaald. Ook moet de minister duidelijk maken of het binnen de jeugdzorg gebruikelijk is om dossiers van patiënten onbeveiligd en geautomatiseerd door te sturen naar e-mailadressen van werknemers.
"Deelt u de mening dat het niet zo kan zijn dat zorginstellingen patiëntendossiers onbeveiligd en zonder authenticatie worden rondgestuurd? (sic) Zo nee, waarom niet? Zo ja, op welke wijze denkt u te kunnen waarborgen dat dit in het vervolg wel goed wordt gedaan?", vervolgt Peters zijn vragen.
De klokkenluiders die het datalek ontdekten stelden dat er nog tientallen soortgelijke zorgorganisaties zijn waarvan de oude domeinnaam is verlopen, en die door kwaadwillenden zijn over te nemen of reeds zijn overgenomen. De Jonge is nu door Peters gevraagd of hij bereid is om te inventariseren welke websites dit betreft en die zo snel mogelijk af te sluiten.
Als laatste moet de minister laten weten op welke wijze het datalek van Bureau Jeugdzorg Utrecht is gedicht en wat hij eraan gaat doen om dit soort fouten in de toekomst te voorkomen. De Jonge heeft drie weken de tijd om de vragen te beantwoorden.
Beter: hoe staat het met toezicht op ICT normen zoals email beveiliging (DKIM DMARC Dane etc.)
Je kan hem opheffen of behouden. Zodra iemand m heeft heb je controle over de ontvangst van alle data die erheen gaat.
Met min VWS en de NEN is net de NTA 7516 uit welke partijen verplichten zorgdata versleuteld te versturen.
@Karma4 DKIM DMARC DANE zijn effectief verplicht in de NTA 7516. Echter het gebruik hiervan had het lek van Jeugdzorg niet voorkomen. Dan was er toch echt end-to-end versleuteling nodig geweest zoals met X.509 S/MIME , of IDE, of PGP
Danwel een veilig portal MET sidechannel gebaseerde multi factor authenticatie
@Karma4 DKIM DMARC DANE zijn effectief verplicht in de NTA 7516. Echter het gebruik hiervan had het lek van Jeugdzorg niet voorkomen. Dan was er toch echt end-to-end versleuteling nodig geweest zoals met X.509 S/MIME , of IDE, of PGP
Danwel een veilig portal MET sidechannel gebaseerde multi factor authenticatie
Vervolgens zie je velen gaan emmeren over dat mail per definitie onveilig is. De genoemde standaarden zijn al jaren als open standaard verplicht en toch niet 100% doorgevoerd, 70% voldoet toch wel (ahum).
Dan hebben we het over de eenvoudige afhandelingen.
Ik geef altijd aan dat echt gevoelige data niet op de desktop thuishoort.
Een veilig protla met 2fa is dan de weg. Het zal je niet helpen tegen het opzettelijk delen van informatie daar moet je achteraan met telemetry ..monitoring. Zijn we het een heel eind met elkaar eens.
NTA 7516 https://www.nen.nl/NEN-Shop/Nieuwsberichten-Zorg-Welzijn/NTA-7516-Veilige-email-in-de-zorg-goedgekeurd-voor-publicatie.htm
Digitaal zullen de aantallen groter zijn en is het makkelijker om dit "pand" in bezit te nemen door de domeinnaam te registreren maar het principe is hetzelfde. Als je verhuist, fysiek of digitaal, moet je er goed voor zorgen dat er geen post verloren gaat.
Er wordt overigens alleen gerept over kinderen (patiënten) in de Jeugdzorg.
Er zal ook veel informatie over pleeggezinnen bij zitten (onderzoeksrapporten etc). Laat potentiële pleegouders dat maar niet horen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
