Kwart ziekenhuizen en GGD's mist basale beveiligingsstandaarden voor websites en e-mail
Een kwart van de Nederlandse ziekenhuizen en GGD's maakt voor hun websites en mailservers geen gebruik van basale beveiligingsstandaarden, wat kan leiden tot spoofing en het onderscheppen van gegevens. Dat stelt de Internet Cleanup Foundation op basis van eigen onderzoek naar bijna 5900 domeinen van 116 ziekenhuizen en GGD's dat via Basisbeveiliging.nl toegankelijk is.
Het merendeel van de onderzochte zorginstellingen blijkt van beschikbare beveiligingsstandaarden zoals DNSSEC, STARTTLS, SPF, DKIM, DMARC, HSTS en HTTPS gebruik te maken. Bij een kwart is dat echter niet of niet altijd het geval. Zo zijn er 67 FTP-sites aangetroffen, waarbij data onversleuteld wordt verstuurd. Daarnaast was er voor 137 websites geen hTTPS ingesteld.
Verder blijkt dat DMARC vaker niet (508 domeinen) dan wel (373 domeinen) staat ingeschakeld. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt. Daarnaast dwingt DMARC af dat de afzender van een e-mail die aan de 'buitenkant' van een e-mail wordt genoemd, dezelfde is als de afzender die in de e-mail wordt genoemd.
Tijdens het onderzoek werden geregeld 'projectdomeinen' aangetroffen die te maken hebben met een specifieke aandoening zoals de ziekte van Alzheimer, galblaas of depressie. "Het uitwisselen van informatie hiermee vraagt juist om meer vertrouwelijkheid dan de hoofdsite omdat het onderwerp voor de hand ligt. Deze sites lijken vaak onder een ander beleid te vallen dan de hoofdsite. Het gelijk trekken van basisveiligheid op dergelijke websites, of het integreren van deze informatie op de hoofdsite kan dit verhelpen", stelt Elger Jonker, initiatiefnemer van Basisbeveiliging.nl.
De ziekenhuizen en GGD's werden een maand voor de publicatie van de gegevens ingelicht zodat ze maatregelen konden treffen. "Er zijn diverse reacties binnengekomen, vooral met een positieve strekking. Een aantal organisaties was verbaasd over de hoeveelheid domeinen die zijn gevonden: men was niet bewust dat men deze (nog) had", aldus Jonker.
Volgens Jonker wordt via Basisbeveiliging.nl op een eenvoudige manier getoond hoe het ervoor staat. "We meten elke dag of basale veiligheidseisen worden toegepast, daardoor kan men snel schakelen en op groen komen te staan", zo laat hij verder weten.
Reacties (15)
Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Door Anoniem: Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Ja hoor, je krijgt betere verpleging in het ziekenhuis, als de website https gebruikt in.p.v. http!Geweldig initiatief! Afgelopen jaar werd ik gevraagd een uitvoerige vragenlijst voor de regionale GGD in te vullen. Heb dat geweigerd, omdat al bekend was geworden dat prik locatie medewerkers persoonsgegevens hadden gelekt. Nu blijkt deze GGD per vandaag nog steeds niet de cyber beveiliging op orde te hebben. Deze nalatigheid kan zo langzamerhand als misdadig worden bestempeld, gezien de vele recente geslaagde gijzel software aanvallen.
Zijn dat dezelfde instellingen die zonder dat ik er toestemming voor geef (maar omdat de overheid dat eist) MIJN gegevens 20 jaar bewaren?
01-07-2021, 12:46 door
Reinder
Door Anoniem:
Door Anoniem: Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Ja hoor, je krijgt betere verpleging in het ziekenhuis, als de website https gebruikt in.p.v. http!Het is heel makkelijk om zoiets weg te wuiven als irrelevant of niet van toepassing op de verleende zorg, maar zo simpel zit het niet. Een ziekenhuis dat heden ten dage, ondanks de al jaren geldende regels en gedragscodes, ondanks de aandacht die er is voor de beveiliging van (medische) informatie en de ontwikkelingen op het gebied van wetgeving nog steeds dat soort basale dingen niet op orde heeft moet zich achter de oren krabben. Patienten zouden dat ook moeten doen.
We hebben het hier niet over super high-tech laatste nieuwe security-mogelijkheden, het gaat om gebruikelijke, basale standaarden op het gebied van beveiliging. Dit geeft voor mij aan dat het management hier geen prioriteit aan heeft gegeven, dat de controle onvoldoende is, of de mogelijkheden te beperkt. Dat zou mij als patient, geen veilig gevoel geven. Als aan dit soort basale dingen al niet kan worden voldaan, hoe zit het dsn met de beveiliging van je medisch dossier? De kwaliteit van overdracht? De aandacht van het personeel voor andere procedures en standaarden op andere gebieden, zoals ethisch of hygienisch? Kan je er van op aan dat de artsen daar wel de mogelijkheid krijgen zich bij te scholen en kennis op te doen van de laatste ontwikkelingen als de IT-afdeling die mogelijkheden niet heeft? Het zou kunnen vanwel natuurlijk, maar het is een indicatie van niet.
Ter overweging: als je zou lezen dat een restaurant bij jou in de buurt zich niet houdt aan de meest basale standaarden op het gebied van, zeg, de brandveiligheid van het pand, zou je er dan vertrouwen in hebben dat ze zich wel houden aan de standaarden op het gebied van voedselveiligheid?
Zal wel niet onder vitale infrastructuur horen...Toch belachelijk dit.
Zekers! Meten is weten. Gaat iig de goede kant op!
Prachtige rapportage dat je dit per ziekenhuis/instantie kan inzien.
En dan krijgen we het "maar" deel weer.. op het zeikerige af..
We weten ook dat we een klimaatissue hebben. Dus wat doen we eraan aan en wanneer is het opgelost?
Kortom ik hoop dat dit wat security managers en security specialisten opschrikt en ze de middelen en mandaat krijgen om de issues op te lossen,
Want in feite is dit natuurlijk een rapportage met security issues die z.s.m. opgelost dienen te worden.
Ik verwacht dus geen "het is klaar op die datum".
Mocht het niet lukken moet het maar hoger opgespeeld worden richting de politiek. Als je er met management niet uitkomt. Zeker als dit houdt t.o.v. de recente uitlatingen van dhr. Grapperhaus.
Door Anoniem: Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Zekers! Meten is weten. Gaat iig de goede kant op!
Prachtige rapportage dat je dit per ziekenhuis/instantie kan inzien.
En dan krijgen we het "maar" deel weer.. op het zeikerige af..
We weten ook dat we een klimaatissue hebben. Dus wat doen we eraan aan en wanneer is het opgelost?
Kortom ik hoop dat dit wat security managers en security specialisten opschrikt en ze de middelen en mandaat krijgen om de issues op te lossen,
Want in feite is dit natuurlijk een rapportage met security issues die z.s.m. opgelost dienen te worden.
Ik verwacht dus geen "het is klaar op die datum".
Mocht het niet lukken moet het maar hoger opgespeeld worden richting de politiek. Als je er met management niet uitkomt. Zeker als dit houdt t.o.v. de recente uitlatingen van dhr. Grapperhaus.
Door Reinder:
Het is heel makkelijk om zoiets weg te wuiven als irrelevant of niet van toepassing op de verleende zorg, maar zo simpel zit het niet. Een ziekenhuis dat heden ten dage, ondanks de al jaren geldende regels en gedragscodes, ondanks de aandacht die er is voor de beveiliging van (medische) informatie en de ontwikkelingen op het gebied van wetgeving nog steeds dat soort basale dingen niet op orde heeft moet zich achter de oren krabben. Patienten zouden dat ook moeten doen.
We hebben het hier niet over super high-tech laatste nieuwe security-mogelijkheden, het gaat om gebruikelijke, basale standaarden op het gebied van beveiliging. Dit geeft voor mij aan dat het management hier geen prioriteit aan heeft gegeven, dat de controle onvoldoende is, of de mogelijkheden te beperkt. Dat zou mij als patient, geen veilig gevoel geven. Als aan dit soort basale dingen al niet kan worden voldaan, hoe zit het dsn met de beveiliging van je medisch dossier? De kwaliteit van overdracht? De aandacht van het personeel voor andere procedures en standaarden op andere gebieden, zoals ethisch of hygienisch? Kan je er van op aan dat de artsen daar wel de mogelijkheid krijgen zich bij te scholen en kennis op te doen van de laatste ontwikkelingen als de IT-afdeling die mogelijkheden niet heeft? Het zou kunnen vanwel natuurlijk, maar het is een indicatie van niet.
Ter overweging: als je zou lezen dat een restaurant bij jou in de buurt zich niet houdt aan de meest basale standaarden op het gebied van, zeg, de brandveiligheid van het pand, zou je er dan vertrouwen in hebben dat ze zich wel houden aan de standaarden op het gebied van voedselveiligheid?
Dat is appels met peren vergelijken. Ik prefereer goede verzorging en behandeling hoger dan security gelul van sommige beroeps zeikers.Door Anoniem:
Door Anoniem: Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Ja hoor, je krijgt betere verpleging in het ziekenhuis, als de website https gebruikt in.p.v. http!Het is heel makkelijk om zoiets weg te wuiven als irrelevant of niet van toepassing op de verleende zorg, maar zo simpel zit het niet. Een ziekenhuis dat heden ten dage, ondanks de al jaren geldende regels en gedragscodes, ondanks de aandacht die er is voor de beveiliging van (medische) informatie en de ontwikkelingen op het gebied van wetgeving nog steeds dat soort basale dingen niet op orde heeft moet zich achter de oren krabben. Patienten zouden dat ook moeten doen.
We hebben het hier niet over super high-tech laatste nieuwe security-mogelijkheden, het gaat om gebruikelijke, basale standaarden op het gebied van beveiliging. Dit geeft voor mij aan dat het management hier geen prioriteit aan heeft gegeven, dat de controle onvoldoende is, of de mogelijkheden te beperkt. Dat zou mij als patient, geen veilig gevoel geven. Als aan dit soort basale dingen al niet kan worden voldaan, hoe zit het dsn met de beveiliging van je medisch dossier? De kwaliteit van overdracht? De aandacht van het personeel voor andere procedures en standaarden op andere gebieden, zoals ethisch of hygienisch? Kan je er van op aan dat de artsen daar wel de mogelijkheid krijgen zich bij te scholen en kennis op te doen van de laatste ontwikkelingen als de IT-afdeling die mogelijkheden niet heeft? Het zou kunnen vanwel natuurlijk, maar het is een indicatie van niet.
Ter overweging: als je zou lezen dat een restaurant bij jou in de buurt zich niet houdt aan de meest basale standaarden op het gebied van, zeg, de brandveiligheid van het pand, zou je er dan vertrouwen in hebben dat ze zich wel houden aan de standaarden op het gebied van voedselveiligheid?
Door Anoniem: Zijn dat dezelfde instellingen die zonder dat ik er toestemming voor geef (maar omdat de overheid dat eist) MIJN gegevens 20 jaar bewaren?
Als je wilt kun je vragen om de gegevens te laten verwijderen (AVG en Wgbo). Als je er echter later weer een keer moet zijn moet je niet gaan klagen dat ze je gegevens niet meer hebben en ze je niet goed kunnen behandelen ...Ervaring in ziekenhuizen is dat patiënten die eerst geen toestemming geven om gegevens te delen (huisarts, apotheek) daar direct op terug komen zodra ze in het ziekenhuis komen te liggen of blijkt dat ze teruggestuurd worden omdat ze door het ontbreken van gegevens niet behandeld kunnen worden.
Door Anoniem:
Door Reinder:
Het is heel makkelijk om zoiets weg te wuiven als irrelevant of niet van toepassing op de verleende zorg, maar zo simpel zit het niet. Een ziekenhuis dat heden ten dage, ondanks de al jaren geldende regels en gedragscodes, ondanks de aandacht die er is voor de beveiliging van (medische) informatie en de ontwikkelingen op het gebied van wetgeving nog steeds dat soort basale dingen niet op orde heeft moet zich achter de oren krabben. Patienten zouden dat ook moeten doen.
We hebben het hier niet over super high-tech laatste nieuwe security-mogelijkheden, het gaat om gebruikelijke, basale standaarden op het gebied van beveiliging. Dit geeft voor mij aan dat het management hier geen prioriteit aan heeft gegeven, dat de controle onvoldoende is, of de mogelijkheden te beperkt. Dat zou mij als patient, geen veilig gevoel geven. Als aan dit soort basale dingen al niet kan worden voldaan, hoe zit het dsn met de beveiliging van je medisch dossier? De kwaliteit van overdracht? De aandacht van het personeel voor andere procedures en standaarden op andere gebieden, zoals ethisch of hygienisch? Kan je er van op aan dat de artsen daar wel de mogelijkheid krijgen zich bij te scholen en kennis op te doen van de laatste ontwikkelingen als de IT-afdeling die mogelijkheden niet heeft? Het zou kunnen vanwel natuurlijk, maar het is een indicatie van niet.
Ter overweging: als je zou lezen dat een restaurant bij jou in de buurt zich niet houdt aan de meest basale standaarden op het gebied van, zeg, de brandveiligheid van het pand, zou je er dan vertrouwen in hebben dat ze zich wel houden aan de standaarden op het gebied van voedselveiligheid?
Dat is appels met peren vergelijken. Ik prefereer goede verzorging en behandeling hoger dan security gelul van sommige beroeps zeikers.Door Anoniem:
Door Anoniem: Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Ja hoor, je krijgt betere verpleging in het ziekenhuis, als de website https gebruikt in.p.v. http!Het is heel makkelijk om zoiets weg te wuiven als irrelevant of niet van toepassing op de verleende zorg, maar zo simpel zit het niet. Een ziekenhuis dat heden ten dage, ondanks de al jaren geldende regels en gedragscodes, ondanks de aandacht die er is voor de beveiliging van (medische) informatie en de ontwikkelingen op het gebied van wetgeving nog steeds dat soort basale dingen niet op orde heeft moet zich achter de oren krabben. Patienten zouden dat ook moeten doen.
We hebben het hier niet over super high-tech laatste nieuwe security-mogelijkheden, het gaat om gebruikelijke, basale standaarden op het gebied van beveiliging. Dit geeft voor mij aan dat het management hier geen prioriteit aan heeft gegeven, dat de controle onvoldoende is, of de mogelijkheden te beperkt. Dat zou mij als patient, geen veilig gevoel geven. Als aan dit soort basale dingen al niet kan worden voldaan, hoe zit het dsn met de beveiliging van je medisch dossier? De kwaliteit van overdracht? De aandacht van het personeel voor andere procedures en standaarden op andere gebieden, zoals ethisch of hygienisch? Kan je er van op aan dat de artsen daar wel de mogelijkheid krijgen zich bij te scholen en kennis op te doen van de laatste ontwikkelingen als de IT-afdeling die mogelijkheden niet heeft? Het zou kunnen vanwel natuurlijk, maar het is een indicatie van niet.
Ter overweging: als je zou lezen dat een restaurant bij jou in de buurt zich niet houdt aan de meest basale standaarden op het gebied van, zeg, de brandveiligheid van het pand, zou je er dan vertrouwen in hebben dat ze zich wel houden aan de standaarden op het gebied van voedselveiligheid?
"security gelul"... bijzonder. Diezelfde burger heeft de grootste mond als er weer eens een ziekenhuis gegijzeld wordt, laat staan als er doden vallen als gevolg van het uitvallen van de IT (of zelfs maar de stroomvoorziening, zoals ook al vaker is gebeurd).
Goed om te onthouden voor de persvoorlichter: ja, we zijn gegijzeld, maar ja, dat "security gelul" zijn we niet zo mee bezig.
Door Anoniem:
Als het een website met publieke informatie betreft en die website helemaal los staat van de ziekenhuis ICT, is het inderdaad weinig relevant.Door Anoniem: Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Ja hoor, je krijgt betere verpleging in het ziekenhuis, als de website https gebruikt in.p.v. http!Echter.....
- Als je op die site ook afspraken maakt, medische zaken doorgeeft, etc. wordt het al een heel ander verhaal. Dan zit je zwaar in de persoonsgegevens.
- Als een website gebruik aan de ICT van een ziekenhuis geknoopt is, loop je risico dat hackers via de website binnenkomen en ransomware planten. Als de ziekenhuis ICT stil valt, dan heb je een stuk slechtere verpleging.
- Ik zie bij sommige instanties 'ftp' voorbij komen. Ik mag hopen dat het beveiligde ftp is, anders frons ik mijn wenkbrouwen.
- Mailsystemen die geen gebruik maken van SPF/DKIM en DMARC leveren risico op spoofing; patiënten kunnen zo in de val van een hacker lopen.
- Als er niet gebruikte legacy is die over het hoofd is gezien bij het implementeren van beveiligingsmaatregelen creëer je een enorme achterdeur die weer gevolgen voor de volledige ziekenhuis ICT kan hebben.
Meer algemeen: Als een ziekenhuis heel veel beveiligingszaken niet op orde heeft, zegt dat veel over de cultuur. Hier zien we alleen de front facing componenten, maar ga er dan maar vanuit dat het in huis ook niet op orde is. Als het enkel een website is en al het andere staat op groen, dan maak ik me niet direct zorgen. Dan is de kans groot dat men, heel verstandig, een risicogebaseerde aanpak heeft toegepast.
Door Anoniem:Als het een website met publieke informatie betreft en die website helemaal los staat van de ziekenhuis ICT, is het inderdaad weinig relevant.
Nee, Door Anoniem:
Daar ben ik 't niet mee eens... Door geen HTTPS te gebruiken maak je mensen kwetsbaar voor MitM-aanvallen. Als die site geen spannende dingen bevat, kan je met een wifi-routertje wel malware injecteren op HTTP-only sites... Door Anoniem:
Als het een website met publieke informatie betreft en die website helemaal los staat van de ziekenhuis ICT, is het inderdaad weinig relevant.Door Anoniem: Geweldig dat ze de resultaten gewoon openbaar maken. Nu kun je gewoon kijken hoe jouw ziekenhuis het doet.
Ja hoor, je krijgt betere verpleging in het ziekenhuis, als de website https gebruikt in.p.v. http!Certificaten kosten amper nog iets (kwa tijd/geld), dus waarom zou je ze niet gebruiken... voor alles...
Door Anoniem:
Ervaring in ziekenhuizen is dat patiënten die eerst geen toestemming geven om gegevens te delen (huisarts, apotheek) daar direct op terug komen zodra ze in het ziekenhuis komen te liggen of blijkt dat ze teruggestuurd worden omdat ze door het ontbreken van gegevens niet behandeld kunnen worden.
Gegevens kunnen sowieso enkel in de eigen regio opgevraagd worden. Woon jij in Maastricht, kom je in Groningen met spoed in het ziekenhuis hebben ze jouw gegevens dus niet paraat.Door Anoniem: Zijn dat dezelfde instellingen die zonder dat ik er toestemming voor geef (maar omdat de overheid dat eist) MIJN gegevens 20 jaar bewaren?
Als je wilt kun je vragen om de gegevens te laten verwijderen (AVG en Wgbo). Als je er echter later weer een keer moet zijn moet je niet gaan klagen dat ze je gegevens niet meer hebben en ze je niet goed kunnen behandelen ...Ervaring in ziekenhuizen is dat patiënten die eerst geen toestemming geven om gegevens te delen (huisarts, apotheek) daar direct op terug komen zodra ze in het ziekenhuis komen te liggen of blijkt dat ze teruggestuurd worden omdat ze door het ontbreken van gegevens niet behandeld kunnen worden.
Die sites zijn wel een van de minste zorgen in een hele grote lijst van beveiliging zorgen helaas..
Als ik 1 ding heb geleerd als oud medewerker bij 1 van deze ziekenhuizen op IT afdeling is het wel dat je beter een papieren kopie kan bijhouden of voor jezelf digitaal dan ooit je gegevens in een digitaal patientenndossier moet zetten.
Ben niet meer onder nda en kan dus wel iets erover vertellen. Al ga ik uit respect voor de huidige medewerkers geen specifieke regio benoemen. Plus dit is van enkele jaren terug misschien (acht kans zeer klein) hebben ze het verbeterd.
Dit gaat meer over inzage data op locatie dan perse online data. Neemt niet weg dat er vergaande risico aanhangen. En omtrent ethiek deze bevindingen zijn bij de regio management en toezichthouders bekend en opgenomen in een verbeterplan. Deze was er echter al toen ik werkte en punten konden zelden afgestreept worden.
Ervaring van 10 jaar terug:
IT Stagiaires die zonder begeleiding gestuurd worden naar high risk afdelingen voor ondersteuning. (OK, IC, Radiologisch center. Zelden dat iemand ooit vroeg voor legitimatie. Draag een portofoon, pager en een naam kaartje en beveiliging nog afdeling monitors houden je tegen en buzzen je zo in. Wel je telefoon op vlietuigmodus zetten ofc daar wordt je wel op aangesproken als je zichtbaar een telefoon vast hield.
Verpleegkundigen die de portabel medicatie patienten monitor pc's (letterlijk een pc op wielen) nooit locken waardoor alle data van hun patienten open en bloot zichtbaar is voor een ieder die eraan zit of simpelweg bij staat. (hebt ze vast wel eens gezien)
Zelfde geldt ook voor pc's in het kantoor voor OK. Al zit daar gelukkig nog een sluis voor meestal dus een bad actor kan er lastig bij komen tenzij ze ingebuzzed worden. Maar ja moet je wel legitimatie check doen anders weinig nut.
De gene die voor mij de kroon spande was dat we ooit opdracht kregen een tweede alarmcentrale qua bekabeling in te richten en we midden in de nacht alvast stagiaires die kant op stuurde ter voorbereiding. Beveiliging die hier niet van afwist hebben nooit vragen gesteld waarom er een aantal pubers met meters aan kabel en apparatuur aan het slepen waren door het ziekenhuis in de holst van de nacht. Die hadden zo met adresboek software bevattende pc's weg kunnen lopen. (moet je denken aan gegevens van ambtenaren niet publieke noodlijnen voor geval 112 onbereikbaar is, artsen oproep nummers etc)
Dat gecombineerd met de persoonlijke ervaring waarin mijn meer destijds naieve partner bijna dood is geweest door dat een arts klakkeloos in haar dossier een middel had gezet voor afname waar ze allergisch voor was terwijl dit ook letterlijk in dossier al stond. (hulde voor apotheken die *wel* goed lezen) heeft mij toe bewogen om nooit maar ook nooit informatie deling toe te staan tot het absoluut noodzakelijk is.
Want waar mensen werken in hoge stressvolle en onderbezette posities worden fouten gemaakt.
En ik neem dit het medisch personeel niet kwalijk die doen hun stinkende best maar krijgen te weinig tijd om altijd netjes alle stappen te doorlopen. Want er zijn hele goede checklist en beveiliging protocollen al jaren maar die zijn met de tijdsdruk niet hanteerbaar en daar zit het probleem. Men wil heel graag alles veilig doen maar niet ten koste van gezonde jaren van patienten.
Hier is een tip van iemand die in de sector heeft gewerkt. koop een van die goedkope medische gegevens opslag usb sticks formateer de crappy software gooi vervolgens een plain tekst document erop met alle belangrijke informatie en draag die om je nek or where ever waar je die niet kwijt kan raken of vergeten.(bij mij aan sleutelbos) Bloedgroep, soort allergien, huisarts, nummer van kennis voor noodgevallen, wens voor reanimatie ja nee etc.
Maar geen informatie als naam leeftijd en andere sht die je op je id, paspoort of rijbewijs hebt staan. Zet met koeienletters disclaimer begin van document en einde document dat gebruik enkel toegestaan is zonder kopieren of enkel bij mondelinge toestemming.
Hulpdiensten kunnen dan meteen aan de slag als je niet bij kennis bent. Je data mag niet gekopieerd worden en gebeurd het wel biedt de disclaimer je bewijs voor bezwaar. Je risico op datalek ben je hierbij zelf dus je hoeft je ook niet af te vragen wie er veantwoordelijk is.
Als ik 1 ding heb geleerd als oud medewerker bij 1 van deze ziekenhuizen op IT afdeling is het wel dat je beter een papieren kopie kan bijhouden of voor jezelf digitaal dan ooit je gegevens in een digitaal patientenndossier moet zetten.
Ben niet meer onder nda en kan dus wel iets erover vertellen. Al ga ik uit respect voor de huidige medewerkers geen specifieke regio benoemen. Plus dit is van enkele jaren terug misschien (acht kans zeer klein) hebben ze het verbeterd.
Dit gaat meer over inzage data op locatie dan perse online data. Neemt niet weg dat er vergaande risico aanhangen. En omtrent ethiek deze bevindingen zijn bij de regio management en toezichthouders bekend en opgenomen in een verbeterplan. Deze was er echter al toen ik werkte en punten konden zelden afgestreept worden.
Ervaring van 10 jaar terug:
IT Stagiaires die zonder begeleiding gestuurd worden naar high risk afdelingen voor ondersteuning. (OK, IC, Radiologisch center. Zelden dat iemand ooit vroeg voor legitimatie. Draag een portofoon, pager en een naam kaartje en beveiliging nog afdeling monitors houden je tegen en buzzen je zo in. Wel je telefoon op vlietuigmodus zetten ofc daar wordt je wel op aangesproken als je zichtbaar een telefoon vast hield.
Verpleegkundigen die de portabel medicatie patienten monitor pc's (letterlijk een pc op wielen) nooit locken waardoor alle data van hun patienten open en bloot zichtbaar is voor een ieder die eraan zit of simpelweg bij staat. (hebt ze vast wel eens gezien)
Zelfde geldt ook voor pc's in het kantoor voor OK. Al zit daar gelukkig nog een sluis voor meestal dus een bad actor kan er lastig bij komen tenzij ze ingebuzzed worden. Maar ja moet je wel legitimatie check doen anders weinig nut.
De gene die voor mij de kroon spande was dat we ooit opdracht kregen een tweede alarmcentrale qua bekabeling in te richten en we midden in de nacht alvast stagiaires die kant op stuurde ter voorbereiding. Beveiliging die hier niet van afwist hebben nooit vragen gesteld waarom er een aantal pubers met meters aan kabel en apparatuur aan het slepen waren door het ziekenhuis in de holst van de nacht. Die hadden zo met adresboek software bevattende pc's weg kunnen lopen. (moet je denken aan gegevens van ambtenaren niet publieke noodlijnen voor geval 112 onbereikbaar is, artsen oproep nummers etc)
Dat gecombineerd met de persoonlijke ervaring waarin mijn meer destijds naieve partner bijna dood is geweest door dat een arts klakkeloos in haar dossier een middel had gezet voor afname waar ze allergisch voor was terwijl dit ook letterlijk in dossier al stond. (hulde voor apotheken die *wel* goed lezen) heeft mij toe bewogen om nooit maar ook nooit informatie deling toe te staan tot het absoluut noodzakelijk is.
Want waar mensen werken in hoge stressvolle en onderbezette posities worden fouten gemaakt.
En ik neem dit het medisch personeel niet kwalijk die doen hun stinkende best maar krijgen te weinig tijd om altijd netjes alle stappen te doorlopen. Want er zijn hele goede checklist en beveiliging protocollen al jaren maar die zijn met de tijdsdruk niet hanteerbaar en daar zit het probleem. Men wil heel graag alles veilig doen maar niet ten koste van gezonde jaren van patienten.
Hier is een tip van iemand die in de sector heeft gewerkt. koop een van die goedkope medische gegevens opslag usb sticks formateer de crappy software gooi vervolgens een plain tekst document erop met alle belangrijke informatie en draag die om je nek or where ever waar je die niet kwijt kan raken of vergeten.(bij mij aan sleutelbos) Bloedgroep, soort allergien, huisarts, nummer van kennis voor noodgevallen, wens voor reanimatie ja nee etc.
Maar geen informatie als naam leeftijd en andere sht die je op je id, paspoort of rijbewijs hebt staan. Zet met koeienletters disclaimer begin van document en einde document dat gebruik enkel toegestaan is zonder kopieren of enkel bij mondelinge toestemming.
Hulpdiensten kunnen dan meteen aan de slag als je niet bij kennis bent. Je data mag niet gekopieerd worden en gebeurd het wel biedt de disclaimer je bewijs voor bezwaar. Je risico op datalek ben je hierbij zelf dus je hoeft je ook niet af te vragen wie er veantwoordelijk is.
Door Anoniem: Die sites zijn wel een van de minste zorgen in een hele grote lijst van beveiliging zorgen helaas..
Als ik 1 ding heb geleerd als oud medewerker bij 1 van deze ziekenhuizen op IT afdeling is het wel dat je beter een papieren kopie kan bijhouden of voor jezelf digitaal dan ooit je gegevens in een digitaal patientenndossier moet zetten.
Ben niet meer onder nda en kan dus wel iets erover vertellen. Al ga ik uit respect voor de huidige medewerkers geen specifieke regio benoemen. Plus dit is van enkele jaren terug misschien (acht kans zeer klein) hebben ze het verbeterd.
Dit gaat meer over inzage data op locatie dan perse online data. Neemt niet weg dat er vergaande risico aanhangen. En omtrent ethiek deze bevindingen zijn bij de regio management en toezichthouders bekend en opgenomen in een verbeterplan. Deze was er echter al toen ik werkte en punten konden zelden afgestreept worden.
Ervaring van 10 jaar terug:
IT Stagiaires die zonder begeleiding gestuurd worden naar high risk afdelingen voor ondersteuning. (OK, IC, Radiologisch center. Zelden dat iemand ooit vroeg voor legitimatie. Draag een portofoon, pager en een naam kaartje en beveiliging nog afdeling monitors houden je tegen en buzzen je zo in. Wel je telefoon op vlietuigmodus zetten ofc daar wordt je wel op aangesproken als je zichtbaar een telefoon vast hield.
Verpleegkundigen die de portabel medicatie patienten monitor pc's (letterlijk een pc op wielen) nooit locken waardoor alle data van hun patienten open en bloot zichtbaar is voor een ieder die eraan zit of simpelweg bij staat. (hebt ze vast wel eens gezien)
Zelfde geldt ook voor pc's in het kantoor voor OK. Al zit daar gelukkig nog een sluis voor meestal dus een bad actor kan er lastig bij komen tenzij ze ingebuzzed worden. Maar ja moet je wel legitimatie check doen anders weinig nut.
De gene die voor mij de kroon spande was dat we ooit opdracht kregen een tweede alarmcentrale qua bekabeling in te richten en we midden in de nacht alvast stagiaires die kant op stuurde ter voorbereiding. Beveiliging die hier niet van afwist hebben nooit vragen gesteld waarom er een aantal pubers met meters aan kabel en apparatuur aan het slepen waren door het ziekenhuis in de holst van de nacht. Die hadden zo met adresboek software bevattende pc's weg kunnen lopen. (moet je denken aan gegevens van ambtenaren niet publieke noodlijnen voor geval 112 onbereikbaar is, artsen oproep nummers etc)
Dat gecombineerd met de persoonlijke ervaring waarin mijn meer destijds naieve partner bijna dood is geweest door dat een arts klakkeloos in haar dossier een middel had gezet voor afname waar ze allergisch voor was terwijl dit ook letterlijk in dossier al stond. (hulde voor apotheken die *wel* goed lezen) heeft mij toe bewogen om nooit maar ook nooit informatie deling toe te staan tot het absoluut noodzakelijk is.
Want waar mensen werken in hoge stressvolle en onderbezette posities worden fouten gemaakt.
En ik neem dit het medisch personeel niet kwalijk die doen hun stinkende best maar krijgen te weinig tijd om altijd netjes alle stappen te doorlopen. Want er zijn hele goede checklist en beveiliging protocollen al jaren maar die zijn met de tijdsdruk niet hanteerbaar en daar zit het probleem. Men wil heel graag alles veilig doen maar niet ten koste van gezonde jaren van patienten.
Hier is een tip van iemand die in de sector heeft gewerkt. koop een van die goedkope medische gegevens opslag usb sticks formateer de crappy software gooi vervolgens een plain tekst document erop met alle belangrijke informatie en draag die om je nek or where ever waar je die niet kwijt kan raken of vergeten.(bij mij aan sleutelbos) Bloedgroep, soort allergien, huisarts, nummer van kennis voor noodgevallen, wens voor reanimatie ja nee etc.
Maar geen informatie als naam leeftijd en andere sht die je op je id, paspoort of rijbewijs hebt staan. Zet met koeienletters disclaimer begin van document en einde document dat gebruik enkel toegestaan is zonder kopieren of enkel bij mondelinge toestemming.
Hulpdiensten kunnen dan meteen aan de slag als je niet bij kennis bent. Je data mag niet gekopieerd worden en gebeurd het wel biedt de disclaimer je bewijs voor bezwaar. Je risico op datalek ben je hierbij zelf dus je hoeft je ook niet af te vragen wie er veantwoordelijk is.
Als ik 1 ding heb geleerd als oud medewerker bij 1 van deze ziekenhuizen op IT afdeling is het wel dat je beter een papieren kopie kan bijhouden of voor jezelf digitaal dan ooit je gegevens in een digitaal patientenndossier moet zetten.
Ben niet meer onder nda en kan dus wel iets erover vertellen. Al ga ik uit respect voor de huidige medewerkers geen specifieke regio benoemen. Plus dit is van enkele jaren terug misschien (acht kans zeer klein) hebben ze het verbeterd.
Dit gaat meer over inzage data op locatie dan perse online data. Neemt niet weg dat er vergaande risico aanhangen. En omtrent ethiek deze bevindingen zijn bij de regio management en toezichthouders bekend en opgenomen in een verbeterplan. Deze was er echter al toen ik werkte en punten konden zelden afgestreept worden.
Ervaring van 10 jaar terug:
IT Stagiaires die zonder begeleiding gestuurd worden naar high risk afdelingen voor ondersteuning. (OK, IC, Radiologisch center. Zelden dat iemand ooit vroeg voor legitimatie. Draag een portofoon, pager en een naam kaartje en beveiliging nog afdeling monitors houden je tegen en buzzen je zo in. Wel je telefoon op vlietuigmodus zetten ofc daar wordt je wel op aangesproken als je zichtbaar een telefoon vast hield.
Verpleegkundigen die de portabel medicatie patienten monitor pc's (letterlijk een pc op wielen) nooit locken waardoor alle data van hun patienten open en bloot zichtbaar is voor een ieder die eraan zit of simpelweg bij staat. (hebt ze vast wel eens gezien)
Zelfde geldt ook voor pc's in het kantoor voor OK. Al zit daar gelukkig nog een sluis voor meestal dus een bad actor kan er lastig bij komen tenzij ze ingebuzzed worden. Maar ja moet je wel legitimatie check doen anders weinig nut.
De gene die voor mij de kroon spande was dat we ooit opdracht kregen een tweede alarmcentrale qua bekabeling in te richten en we midden in de nacht alvast stagiaires die kant op stuurde ter voorbereiding. Beveiliging die hier niet van afwist hebben nooit vragen gesteld waarom er een aantal pubers met meters aan kabel en apparatuur aan het slepen waren door het ziekenhuis in de holst van de nacht. Die hadden zo met adresboek software bevattende pc's weg kunnen lopen. (moet je denken aan gegevens van ambtenaren niet publieke noodlijnen voor geval 112 onbereikbaar is, artsen oproep nummers etc)
Dat gecombineerd met de persoonlijke ervaring waarin mijn meer destijds naieve partner bijna dood is geweest door dat een arts klakkeloos in haar dossier een middel had gezet voor afname waar ze allergisch voor was terwijl dit ook letterlijk in dossier al stond. (hulde voor apotheken die *wel* goed lezen) heeft mij toe bewogen om nooit maar ook nooit informatie deling toe te staan tot het absoluut noodzakelijk is.
Want waar mensen werken in hoge stressvolle en onderbezette posities worden fouten gemaakt.
En ik neem dit het medisch personeel niet kwalijk die doen hun stinkende best maar krijgen te weinig tijd om altijd netjes alle stappen te doorlopen. Want er zijn hele goede checklist en beveiliging protocollen al jaren maar die zijn met de tijdsdruk niet hanteerbaar en daar zit het probleem. Men wil heel graag alles veilig doen maar niet ten koste van gezonde jaren van patienten.
Hier is een tip van iemand die in de sector heeft gewerkt. koop een van die goedkope medische gegevens opslag usb sticks formateer de crappy software gooi vervolgens een plain tekst document erop met alle belangrijke informatie en draag die om je nek or where ever waar je die niet kwijt kan raken of vergeten.(bij mij aan sleutelbos) Bloedgroep, soort allergien, huisarts, nummer van kennis voor noodgevallen, wens voor reanimatie ja nee etc.
Maar geen informatie als naam leeftijd en andere sht die je op je id, paspoort of rijbewijs hebt staan. Zet met koeienletters disclaimer begin van document en einde document dat gebruik enkel toegestaan is zonder kopieren of enkel bij mondelinge toestemming.
Hulpdiensten kunnen dan meteen aan de slag als je niet bij kennis bent. Je data mag niet gekopieerd worden en gebeurd het wel biedt de disclaimer je bewijs voor bezwaar. Je risico op datalek ben je hierbij zelf dus je hoeft je ook niet af te vragen wie er veantwoordelijk is.
Ik ben niet verbaasd .
Ik twijfel alleen aan je advies over de 'medische USB stick' - is het werkelijk een protocol of te verwachten dat ze op de eerste hulp of in de ambu een stick in een PC (?) gaan stoppen en dingen uitlezen ?
Het soort informatie dat je noemt (bloedgroep, huisarts, allergiën e.d.) is beperkt genoeg om ook op formaat creditcard af te drukken , of op papier in een medaillon te dragen o.i.d. . Nog universeler leesbaar , ook voor omstanders/EHBO'ers .
Ik vond bv https://www.icetags.nl/nl/medische-kaarten-en-sleutelhangers/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
