image

Minister: meer zorginstellingen met verlopen domeinnamen

dinsdag 16 april 2019, 09:38 door Redactie, 14 reacties

Meer zorginstellingen in Nederland hebben domeinnamen laten verlopen waardoor er een risico op datalekken was. Dat heeft minister De Jonge van Volksgezondheid laten weten naar aanleiding van het datalek bij Bureau Jeugdzorg Utrecht. Tevens vindt de minister dat zorginstellingen gebruik moeten maken van beveiligde e-mail voor het uitwisselen van persoonsgegevens.

Bureau Jeugdzorg Utrecht had een domeinnaam laten verlopen, die vervolgens door een andere partij werd geregistreerd. Jeugdzorg bleek daarnaast dossiers van patiënten onbeveiligd en geautomatiseerd naar e-mailadressen te sturen, waaronder naar adressen die nog aan het oude verlopen domein waren gekoppeld. Daardoor kwamen 3278 dossiers van 2702 kinderen met zeer gevoelige persoonlijke informatie in handen van klokkenluiders.

CDA-Kamerlid Peters wilde van minister De Jonge weten of er nog meer zorginstellingen met verlopen domeinnamen waren. Volgens de minister circuleerden er inderdaad domeinnamen die eerder door zorginstellingen zijn gebruikt en daarna zijn vrijgegeven. Op verzoek van de minister zijn deze domeinnamen geregistreerd zodat die niet meer voor anderen beschikbaar zijn.

Verder stelt de minister dat zorginstellingen passende maatregelen moeten nemen om weerbaar te zijn tegen cyberaanvallen, om computerstoringen zoveel mogelijk te voorkomen en om te zorgen dat binnen hun organisaties goed met persoonsgegevens wordt omgegaan. "Daarbij past niet het via gewone mail versturen van gevoelige persoonsgegevens. Alle zorg -en jeugdhulpinstellingen zouden daarom tenminste gebruik moeten maken van beveiligde e-mailverbindingen, waarvoor ook een NEN-norm beschikbaar komt", aldus De Jonge.

Reacties (14)
16-04-2019, 09:53 door Anoniem
Tevens vindt de minister dat zorginstellingen gebruik moeten maken van beveiligde e-mail voor het uitwisselen van persoonsgegevens.

Is het niet gewoon simpelweg strafbaar, om dat niet te doen, met privacy gevoelige gegevens ?
16-04-2019, 09:59 door Anoniem
Misschien ook een idee om niet iedere paar jaar van naam te wisselen, en/of steeds namen te registreren voor kort
lopende activiteiten of projecten? Als die lui gewoon Jeugdzorg waren blijven heten ipv ineens een hippe naam
als "Samen Veilig" aan te nemen (die binnenkort natuurlijk weer in iets anders veranderd wordt) dan zouden ze ook
geen spoor van in onbruik geraakte namen trekken... hou die reclame/communicatie bureaus nou gewoon buiten de
deur als commerciele activtieiten niet je hoofddoel zijn.
16-04-2019, 10:37 door Anoniem
Door Anoniem: Is het niet gewoon simpelweg strafbaar, om dat niet te doen, met privacy gevoelige gegevens ?
Op het niveau van een overkoepelende wet als de AVG is men voorzichtig met stellige uitspraken over hoe dingen precies beschermd moeten worden. Encryptie wordt als mogelijke passende maatregel genoemd. Die voorzichtigheid is niet voor niets, ICT ontwikkelt zich sneller dan wetgeving en als men in zo'n wet heel specifiek is loopt men het risico dat men maatregelen verplicht stelt die achterhaald raken. En dan is zo'n verplichting opeens een blok aan je been en schadelijk.

Als de AP dit geval beoordeelt zal die wel degelijk een oordeel hebben of de genomen maatregelen passend zijn, en het ontbreken van encryptie zal dan vast ook beoordeeld worden.

Er kunnen naast de AVG nog allerlei andere wetten, maatregelen van bestuur en richtlijnen bestaan die op de situatie betrekking hebben. Wie weet wordt daar ergens encryptie verplicht gesteld voor e-mail, maar dat overzie ik niet.

Een aantal jaar terug had ik met een GGZ-instelling te maken (voor een autisme-test) en daar mochten gevoelige dingen helemaal niet per e-mail verstuurd worden. Er was een patiëntenportaal en je kreeg alleen e-mails om aan te geven dat daar iets nieuws voor je stond. Die vermijden daarmee het hele probleem dat alle partijen waarmee ze communiceren om moeten kunnen gaan met versleutelen van e-mail en dat voorkomt een hoop ellende.
16-04-2019, 10:55 door Anoniem
Door Anoniem:
Tevens vindt de minister dat zorginstellingen gebruik moeten maken van beveiligde e-mail voor het uitwisselen van persoonsgegevens.

Is het niet gewoon simpelweg strafbaar, om dat niet te doen, met privacy gevoelige gegevens ?
Er moeten passende maatregelen genomen worden om informatie te beschermen. Wat passend is, bepaalt de organisatie zelf. Je kunt er over soebatten of er voldoende maatregelen genomen worden, maar "privacygevoelige informatie via een niet-beveiligde e-mail versturen is illegaal" is veel te kort door de bocht.
16-04-2019, 11:26 door karma4
Door Anoniem: Misschien ook een idee om niet iedere paar jaar van naam te wisselen, en/of steeds namen te registreren voor kortlopende activiteiten of projecten?.... .
Heb je het verdienmodel van die hippe bureaus om zeep geholpen:
-nieuwe naam
- fantastische vernieuwingen
- disruptieve technologie (blockchain SOA micro services cloud etc)
- dat oude moet allemaal toch weg "war einmal" legacy etc.
16-04-2019, 11:32 door Happy Linux User
Door Anoniem: Misschien ook een idee om niet iedere paar jaar van naam te wisselen, en/of steeds namen te registreren voor kort
lopende activiteiten of projecten? Als die lui gewoon Jeugdzorg waren blijven heten ipv ineens een hippe naam
als "Samen Veilig" aan te nemen (die binnenkort natuurlijk weer in iets anders veranderd wordt) dan zouden ze ook
geen spoor van in onbruik geraakte namen trekken... hou die reclame/communicatie bureaus nou gewoon buiten de
deur als commerciele activtieiten niet je hoofddoel zijn.

Of gewoon je oude domeinnaam door laten linken naar je nieuwe.
Maar natuurlijk niet laten verlopen. Voor die paar euro per jaar mag dat volgens mij ook helemaal geen probleem zijn.
Bij beeindiging/faillissement van het bedrijf wat gevoelige info betreft zou deze domein naam op "non transferable" gezet moeten worden. De staat zou dit kunnen betalen als er geen bedrijf meer bestaat.
16-04-2019, 11:56 door Anoniem
Door Happy Linux User:
Of gewoon je oude domeinnaam door laten linken naar je nieuwe.
Maar natuurlijk niet laten verlopen. Voor die paar euro per jaar mag dat volgens mij ook helemaal geen probleem zijn.
Bij beeindiging/faillissement van het bedrijf wat gevoelige info betreft zou deze domein naam op "non transferable" gezet moeten worden. De staat zou dit kunnen betalen als er geen bedrijf meer bestaat.

Ja nu weet ineens iedereen dat, maar je moet begrijpen dat sommige dingen helemaal niet zo logisch zijn.
Als je wilt verhuizen houd je ook je oude adres (en huis) niet eeuwig aan omdat er nog post bezorgd zou kunnen worden.
Dus ik kan best snappen dat iemand van een jeugdzorg instelling dat over het hoofd ziet.

Je komt daarmee ook terecht op het punt "wiens taak is het om dat te weten".
Die instelling heeft ongetwijfeld de ICT uitbesteed, maar heeft die externe partij dan meteen ook de taak om ze op
dit soort dingen te wijzen? Die zal dat wellicht liever niet doen om niet in de hoek te komen waar de klappen vallen
als er fouten gemaakt worden.
En de ex-arts die nu tegen zijn pensioen aanloopt en directeur is geworden van zo iets, kun je daar van verwachten
dat ie dit soort dingen weet? Die krijgt een brief met "domainnaam moet verlengd worden" en laat de secretaresse
antwoorden dat dit niet meer hoeft omdat die niet meer gebruikt wordt.

Dan is er dus nog een derde (externe) security consultant nodig die dat allemaal monitort en stuurt.
Wellicht zal er na dit incident vaker zo iemand in de arm genomen worden, ja.
16-04-2019, 13:06 door Anoniem
"Daarbij past niet het via gewone mail versturen van gevoelige persoonsgegevens. Alle zorg -en jeugdhulpinstellingen zouden daarom tenminste gebruik moeten maken van beveiligde e-mailverbindingen, waarvoor ook een NEN-norm beschikbaar komt"

'Daarbij past niet' is wel heel voorzichtig geformuleerd.... 'ook een NEN-norm beschikbaar kom', klinkt voor mij heel vrijblijvend.

Op basis van mij ervaring weet ik dat (onbeveiligd) e-mailen met cliënten dagelijkse praktijk is in GGZ, of er nu wel beleid is of niet. Zelfs printversies van dossiers op verzoek van de cliënt worden gewoon per (onbeveiligde) e-mail verzonden.

E-mailen via een beveiligde verbinding zou gewoon afgedwongen moeten worden door de minister. Blijkbaar valt onbeveiligd e-mailen niet onder een datalek, wat ik heel bevreemdend vindt.
16-04-2019, 13:07 door Anoniem
Door Anoniem:
Door Anoniem:
Tevens vindt de minister dat zorginstellingen gebruik moeten maken van beveiligde e-mail voor het uitwisselen van persoonsgegevens.

Is het niet gewoon simpelweg strafbaar, om dat niet te doen, met privacy gevoelige gegevens ?
Er moeten passende maatregelen genomen worden om informatie te beschermen. Wat passend is, bepaalt de organisatie zelf. Je kunt er over soebatten of er voldoende maatregelen genomen worden, maar "privacygevoelige informatie via een niet-beveiligde e-mail versturen is illegaal" is veel te kort door de bocht.

Helpt natuurlijk niet mee dat er gewoon geen 'handig te gebruiken' variant is van 'beveiligde e-mail'.
PGP en S/MIME werken gewoon buiten je eigen bedrijf / clubje onhandig.
Als de overheid nou eens inzet om dit te ontwikkelen (compleet nieuw e-mailsysteem, als signal ofzo?!), net zoals internet.nl zich inzet op IPv6 en SPF/DKIM/DMARC dan wordt het land vanzelf veiliger.
16-04-2019, 13:58 door Anoniem
Door Anoniem:
Als je wilt verhuizen houd je ook je oude adres (en huis) niet eeuwig aan omdat er nog post bezorgd zou kunnen worden.

Je laat je post nog een tijdje doorsturen voor het geval het verhuisbericht nog niet alle organisaties heeft bereikt. Die schrijf je dan alsnog aan. Zoiets kan je hier ook toepassen, echter moet je daarvoor je "huis" (domein) nog wel een tijdje aanhouden.
16-04-2019, 13:59 door Briolet
Door Happy Linux User: Of gewoon je oude domeinnaam door laten linken naar je nieuwe…

Dat is ook fout. Je bevestigd de gebruikers nml dat de oude naam nog geldig is. Zij blijven die naam dan gebruiken, totdat het domein echt vervalt.

Het beste is om het domein nog enige jaren aan te houden en te laten wijzen naar een webpagina waar de nieuwe domeinnaam in staat. Bij voorkeur niet via een link, zodat de gebruikers die naam echt moeten intikken.

Verder ook met een mailserver op dat domein die een standaard mailtje terug stuurt met de veranderingen.
16-04-2019, 16:01 door Anoniem
Het zijn ook vaak van die zielig kortzichtige financieel controllers / boekhouders die dan denken slim te zijn doordat ze 10 euro denken te besparen door over te stappen (= een drama) danwel op te zeggen. Dan komen na de opzegging klachten en mag er weer 500- 2000 euro worden betaald aan een domeinnaam catcher. Tel uit je winst.

Boekhouders zouden mijn inziens niet dit soort ICT beslissingen mogen nemen. Dat hoort onder marketing & ict te vallen.
16-04-2019, 18:39 door Anoniem
Door Anoniem:
Helpt natuurlijk niet mee dat er gewoon geen 'handig te gebruiken' variant is van 'beveiligde e-mail'.
PGP en S/MIME werken gewoon buiten je eigen bedrijf / clubje onhandig.
Als de overheid nou eens inzet om dit te ontwikkelen (compleet nieuw e-mailsysteem, als signal ofzo?!), net zoals internet.nl zich inzet op IPv6 en SPF/DKIM/DMARC dan wordt het land vanzelf veiliger.

Ik weet niet waar je dat beeld vandaan hebt maar binnen de zorg bestaan er verschillende aanbieders die het beveiligd
mailen voor je regelen inclusied 2nd factor authenticatie bij het lezen van de mail, beperking van de bewaartermijn, etc.
De ontvanger krijgt niet de mail zelf maar een link naar een site waar hij/zij de mail kan lezen na de juiste authenticatie.
Het probleem van PGP en S/MIME dat je eerst veilig sleutels moet uitwisselen en opslaan is er dan dus niet.
16-04-2019, 23:10 door Anoniem
Er bestaan ook domeinnamen met verlopen zorginstellingen. Kan de minister daar ook eens naar kijken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.