image

Flevoziekenhuis lekt gegevens duizenden patiënten via usb-stick

dinsdag 3 maart 2020, 19:23 door Redactie, 18 reacties

Het Flevoziekenhuis in Almere heeft via een verloren usb-stick de gegevens van duizenden patiënten gelekt. Een zorgverlener van het ziekenhuis had tegen de regels in patiëntgegevens op een usb-stick opgeslagen. De medewerker verloor de datadrager op een parkeerterrein in de buurt van het ziekenhuis. Een gebruiker van het parkeerterrein vond de usb-stick op 9 oktober en nam die mee naar huis en opende die.

Op de usb-stick stonden gegevens van 4300 patiënten die van 2014 tot en met 2017 in behandeling waren bij de gipskamer. Het gaat om namen, geboortedata, patiëntnummer en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. "Dit had echt niet mogen gebeuren", zegt Anita Arts, voorzitter van de raad van bestuur. "Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Beide was hier niet het geval."

De vinder van de usb-stick bracht die vervolgens terug naar het ziekenhuis. Dat heeft alle patiënten die het betreft met een brief geïnformeerd. Tevens is het datalek bij de Autoriteit Persoonsgegevens gemeld. Naar aanleiding van het incident heeft het Flevoziekenhuis bestaande regels en protocollen rond het bewaren en het gebruik van patiëntengegevens verder aangescherpt.

Het is voortaan verboden om usb-sticks te gebruiken voor het opslaan van herleidbare persoonsgegevens. Het gebruik van onbeveiligde usb-sticks is sowieso niet meer toegestaan. Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde usb-sticks die nog aanwezig waren in het ziekenhuis, in te leveren. Vanaf de zomer wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een usb-stick.

Reacties (18)
04-03-2020, 00:19 door Anoniem
Dit keer lag de data werkelijk op straat!
04-03-2020, 01:07 door Anoniem
"Het Flevoziekenhuis heeft alle patiënten die het betreft met een brief op het huisadres geïnformeerd."
Excuses konden er niet vanaf?
04-03-2020, 08:04 door DDK
"Vanaf de zomer wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een usb-stick."

Serieus ? Als dit soort bassale zaken nog steeds niet op orde hebt mankeert er IMHO toch echt iets aan het ICT beleid. Dit zou bij de AP ook een belletje moeten laten rinkelen. Als dit al niet op orde is wat is er dan nog meer niet op orde ?
04-03-2020, 08:13 door Anoniem
Anita Arts, voorzitter van de raad van bestuur
Mevrouw heeft een beroep gekozen wat bij haar naam past.
04-03-2020, 08:19 door Anoniem
Waarom had deze betreffende persoon uberhoud deze gegevens op een usb-stick?
04-03-2020, 08:34 door Anoniem
Door DDK: "Vanaf de zomer wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een usb-stick."

Serieus ? Als dit soort bassale zaken nog steeds niet op orde hebt mankeert er IMHO toch echt iets aan het ICT beleid. Dit zou bij de AP ook een belletje moeten laten rinkelen. Als dit al niet op orde is wat is er dan nog meer niet op orde ?

95% van de bedrijven gebruikt nog open USB poorts, LOL
04-03-2020, 08:41 door Anoniem
waarom stonden die uberhaubt op een usb stick?

Dat hoort in de cloud, waar iedereen erbij kan....
04-03-2020, 08:47 door Anoniem
Door DDK: "Vanaf de zomer wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een usb-stick."

Serieus ? Als dit soort bassale zaken nog steeds niet op orde hebt mankeert er IMHO toch echt iets aan het ICT beleid. Dit zou bij de AP ook een belletje moeten laten rinkelen. Als dit al niet op orde is wat is er dan nog meer niet op orde ?

De vraag is of dit het basale onderdeel is. Volgens mij is het basale dat het tussen de oren van de gebruikers goed zit. Het technisch onmogelijk maken om gegevens op een USB-stick te zetten is in feite een pleister plakken. Iemand die de data toch wil meenemen zal een andere manier vinden (afdrukken, fotograferen, mailen, cloud, etc).

Het ziekenhuis kan in plaats van verbieden om data op een USB-stick op te slaan mijns inziens beter verbieden om data buiten het ziekenhuisdomein te brengen. En als er dan ook nog een uitleg volgt die ook begrepen wordt is het helemaal mooi.
04-03-2020, 09:06 door Anoniem
Er is trouwens ook wel goed iets mis met je als je een random usb stick die je op straat vind, zomaar in je computer stopt - ik hoop dat de vinder daar heeeeeel goed over heeft nagedacht.
04-03-2020, 09:19 door Anoniem
Wow, het aanpassen van een regkey waarmee een usb stick niet meer toegestaan is moet tot de zomer duren... Zeker een wachtlijst...
04-03-2020, 09:40 door karma4
Een USB stick is een algemeen apparaat zoals toetsenbord en muis, gewoon alles van ICT niet meer gebruiken dan heb je ook geen ICT problemen meer. Dat is volgends de gangbare logica de oplossing..... wacht eens waar gebruik je ICT voor?

Als er iets dan naar een USB stick gezet wordt, dan is er veel meer aan de hand.
- Hoe staat het met remote / thuis werken
- Welke software staat er tot de beschikking.
Als dat onvoldoende is en er is elders iets waarvan gedacht wordt dat makkelijker gaat -> copietjes…..
- Hoe staat het met de interne ICT. Backup, archivering, gegevens ter beschikking stellen die voor het werk nodig zijn.
Hier is vermoedelijk meer aan de hand, de gewoonlijke mismatch . De signalen geven een richting.
04-03-2020, 09:49 door Anoniem
Door Anoniem: "Het Flevoziekenhuis heeft alle patiënten die het betreft met een brief op het huisadres geïnformeerd."
Excuses konden er niet vanaf?
Even verder lezen kon er niet vanaf?

In het artikel staat een link naar de website van het ziekenhuis. De laatste zin van de vierde alinea luidt:
Het Flevoziekenhuis heeft de betrokken patiënten geïnformeerd over het datalek en hen onze oprechte excuses aangeboden.
04-03-2020, 10:18 door Anoniem
Door Anoniem: "Het Flevoziekenhuis heeft alle patiënten die het betreft met een brief op het huisadres geïnformeerd."
Excuses konden er niet vanaf?
Waaruit concludeer je dat?
04-03-2020, 10:55 door Anoniem
Door Anoniem: Wow, het aanpassen van een regkey waarmee een usb stick niet meer toegestaan is moet tot de zomer duren... Zeker een wachtlijst...

Nee, want ze moeten nog wel gebruik kunnen maken van usb devices met encryptie en daar is meer voor nodig als alleen maar een group-policy in AD aanmaken.
Daarnaast komt het bij medische aperatuur ook zomaar voor dat die geen ondersteuning hebben voor beveiligde USB sticks en die data moet het personeel dan wel weer kunnen inlezen in de applicatie op hun werkplek.
Er komt veel meer bij kijken als je denk in een ziekenhuis of andere zorg instelling.

Er hadden meer cursussen gegeven moeten worden aan het personeel over bewustwording mbt data veiligheid en de impact die er is als daar iets mee 'fout' gaat.
04-03-2020, 11:00 door Anoniem
Door Anoniem: Er is trouwens ook wel goed iets mis met je als je een random usb stick die je op straat vind, zomaar in je computer stopt - ik hoop dat de vinder daar heeeeeel goed over heeft nagedacht.


Nee hoor, ik heb daar geen issues mee ;) Maar goed ik heb daar een separaat systeem voor... Mogelijk de vinder ook wel.
Uithalen naar iets/iemand zonder de omstandigheden te kennen is een simpel iets.
04-03-2020, 16:14 door SPer
Door Anoniem:
Door Anoniem: Er is trouwens ook wel goed iets mis met je als je een random usb stick die je op straat vind, zomaar in je computer stopt - ik hoop dat de vinder daar heeeeeel goed over heeft nagedacht.


Nee hoor, ik heb daar geen issues mee ;) Maar goed ik heb daar een separaat systeem voor... Mogelijk de vinder ook wel.
Uithalen naar iets/iemand zonder de omstandigheden te kennen is een simpel iets.

Wel hopen dat je niet te erg gehecht bent aan dat aprte device, wel eens gehoord van een "killer" USB stick ?. Veel aparaten veranderen na het inserten in een rokende puinhoop.
06-03-2020, 11:27 door Anoniem
Door Anoniem:
Door Anoniem: Wow, het aanpassen van een regkey waarmee een usb stick niet meer toegestaan is moet tot de zomer duren... Zeker een wachtlijst...

Nee, want ze moeten nog wel gebruik kunnen maken van usb devices met encryptie en daar is meer voor nodig als alleen maar een group-policy in AD aanmaken.
Daarnaast komt het bij medische aperatuur ook zomaar voor dat die geen ondersteuning hebben voor beveiligde USB sticks en die data moet het personeel dan wel weer kunnen inlezen in de applicatie op hun werkplek.
Er komt veel meer bij kijken als je denk in een ziekenhuis of andere zorg instelling.

Er hadden meer cursussen gegeven moeten worden aan het personeel over bewustwording mbt data veiligheid en de impact die er is als daar iets mee 'fout' gaat.

Thanks voor dit inzicht, ik had zelf kunnen bedenken dat er meer afhankelijken kunnen zijn.
06-03-2020, 12:47 door Anoniem

Nee, want ze moeten nog wel gebruik kunnen maken van usb devices met encryptie en daar is meer voor nodig als alleen maar een group-policy in AD aanmaken.
Nee, daar is niet meer voor nodig dan een group-policy in AD aanmaken. Gewoon een group-policy die bitlocker-to-go afdwingt. Klaar!


Daarnaast komt het bij medische aperatuur ook zomaar voor dat die geen ondersteuning hebben voor beveiligde USB sticks en die data moet het personeel dan wel weer kunnen inlezen in de applicatie op hun werkplek.
Patientgegevens die met een usb stick van de medische aperatuur gekopieerd moeten worden? Misschien 20 jaar geleden, maar tegenwoordig echt niet.
Een firmware update zal wellicht met een usb stick zonder encryptie gedaan moeten worden. Maar dat word niet gedaan door het personeel dat dit soort data mee naar huis neemt voor de een of andere reden.

Er komt veel meer bij kijken als je denk in een ziekenhuis of andere zorg instelling.
Daarmee laat je ze er veel te makkelijk mee weg komen. Dit soort extra moeilijkheden is echt niet beperkt tot zorg instellingen. Het geld net zo hard bij bedrijven die hun vertrouwelijke data moeten beschermen.

Er hadden meer cursussen gegeven moeten worden aan het personeel over bewustwording mbt data veiligheid en de impact die er is als daar iets mee 'fout' gaat.
Wat schattig. Denken dat cursussen de oplossing zijn.
Helaas vinden mensen gemak voor hun zelf veel belangrijker dan data veiligheid. Daar helpen bewustwording cursussen maar heel erg weinig aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.