image

CDA stelt Kamervragen over ernstig datalek bij Jeugdzorg

vrijdag 12 april 2019, 15:26 door Redactie, 4 reacties

Het CDA heeft minister De Jonge van Volksgezondheid Kamervragen gesteld naar aanleiding van het ernstige datalek bij Bureau Jeugdzorg Utrecht. Door een domeinnaam die de instantie had laten verlopen kwamen de dossiers van duizenden kinderen in handen van onbevoegden.

CDA-Kamerlid Peters wil nu van De Jonge weten waarom de oude website van Jeugdzorg Utrecht "niet beveiligd is afgesloten" nadat deze offline is gehaald. Ook moet de minister duidelijk maken of het binnen de jeugdzorg gebruikelijk is om dossiers van patiënten onbeveiligd en geautomatiseerd door te sturen naar e-mailadressen van werknemers.

"Deelt u de mening dat het niet zo kan zijn dat zorginstellingen patiëntendossiers onbeveiligd en zonder authenticatie worden rondgestuurd? (sic) Zo nee, waarom niet? Zo ja, op welke wijze denkt u te kunnen waarborgen dat dit in het vervolg wel goed wordt gedaan?", vervolgt Peters zijn vragen.

De klokkenluiders die het datalek ontdekten stelden dat er nog tientallen soortgelijke zorgorganisaties zijn waarvan de oude domeinnaam is verlopen, en die door kwaadwillenden zijn over te nemen of reeds zijn overgenomen. De Jonge is nu door Peters gevraagd of hij bereid is om te inventariseren welke websites dit betreft en die zo snel mogelijk af te sluiten.

Als laatste moet de minister laten weten op welke wijze het datalek van Bureau Jeugdzorg Utrecht is gedicht en wat hij eraan gaat doen om dit soort fouten in de toekomst te voorkomen. De Jonge heeft drie weken de tijd om de vragen te beantwoorden.

Reacties (4)
13-04-2019, 15:13 door karma4
Jammer weer een boel geld over de balk met weinig inhoudelijke terzake kundige vragen.
Beter: hoe staat het met toezicht op ICT normen zoals email beveiliging (DKIM DMARC Dane etc.)
13-04-2019, 19:03 door Anoniem
Het kamerlid begrijpt overduidelijk niet dat er niet zoiets bestaat als het veilig afsluiten van een domein.
Je kan hem opheffen of behouden. Zodra iemand m heeft heb je controle over de ontvangst van alle data die erheen gaat.

Met min VWS en de NEN is net de NTA 7516 uit welke partijen verplichten zorgdata versleuteld te versturen.


@Karma4 DKIM DMARC DANE zijn effectief verplicht in de NTA 7516. Echter het gebruik hiervan had het lek van Jeugdzorg niet voorkomen. Dan was er toch echt end-to-end versleuteling nodig geweest zoals met X.509 S/MIME , of IDE, of PGP
Danwel een veilig portal MET sidechannel gebaseerde multi factor authenticatie
14-04-2019, 18:36 door karma4
Door Anoniem: ...
@Karma4 DKIM DMARC DANE zijn effectief verplicht in de NTA 7516. Echter het gebruik hiervan had het lek van Jeugdzorg niet voorkomen. Dan was er toch echt end-to-end versleuteling nodig geweest zoals met X.509 S/MIME , of IDE, of PGP
Danwel een veilig portal MET sidechannel gebaseerde multi factor authenticatie
Er wordt gebracht dat iedereen de mails had kunnen lezen. Zoals je zegt het laten verlopen van een domein dat door gebruikers nog steeds actief benut werd is het werkelijke issue.

Vervolgens zie je velen gaan emmeren over dat mail per definitie onveilig is. De genoemde standaarden zijn al jaren als open standaard verplicht en toch niet 100% doorgevoerd, 70% voldoet toch wel (ahum).
Dan hebben we het over de eenvoudige afhandelingen.

Ik geef altijd aan dat echt gevoelige data niet op de desktop thuishoort.
Een veilig protla met 2fa is dan de weg. Het zal je niet helpen tegen het opzettelijk delen van informatie daar moet je achteraan met telemetry ..monitoring. Zijn we het een heel eind met elkaar eens.

NTA 7516 https://www.nen.nl/NEN-Shop/Nieuwsberichten-Zorg-Welzijn/NTA-7516-Veilige-email-in-de-zorg-goedgekeurd-voor-publicatie.htm
15-04-2019, 13:55 door Anoniem
Als een organisatie naar een ander pand verhuist heb je toch hetzelfde probleem, dat de post nog een tijdje naar het oude adres gaat en daar geopend kan worden door de nieuwe bewoners?
Digitaal zullen de aantallen groter zijn en is het makkelijker om dit "pand" in bezit te nemen door de domeinnaam te registreren maar het principe is hetzelfde. Als je verhuist, fysiek of digitaal, moet je er goed voor zorgen dat er geen post verloren gaat.
Er wordt overigens alleen gerept over kinderen (patiënten) in de Jeugdzorg.

Er zal ook veel informatie over pleeggezinnen bij zitten (onderzoeksrapporten etc). Laat potentiële pleegouders dat maar niet horen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.