Tja dom bezig als dat niet verplicht wordt,zo heb je juist kans dat alle medische gegevens juist niet veilig zijn opgeslagen.

"ik zet me in op het verkleinen van de risico's" en "... wordt eind-tot-eind encryptie niet in het wetsvoorstel zelf verplicht gesteld" gaan niet samen.

Ah weer zo minister met boter op zijn hoofd geen verstand van it zaken....minister van boterkoek wat een peen ..
Ps ik blijft het zeggen in Nederland spreken we over veilig maar we voeren het niet uit ....zijn we ook all vergeten? atoombom.
En Pakistan?????????

Dus de zorgaanbeiders moet hun zaakjes op orde hebben. Een kleine nuance in deze wet kan niet gemaakt worden om end-to-end encryptie verplicht te stellen? wat een kolder is dat. Nu ben je overgeleverd aan de zorgaanbieders en schermen achter een NEN-norm. Werkelijk waar hoe meer digitalisering er komt, hoe slechter de overheid de grip er op houdt. blij dat er nog enigszins kamerleden zijn die er vragen over stellen.

Komt er een datalek. Tsja dan is het vervelend voor de zorgnemer, want daar liggen de gegevens van op straat. De zorgaanbieder krijgt een tik over de vingers en de dag gaat weer verder zoals die is. Hopelijk kom er dan nog wel kamervragen met een referentie naar dit debat. Ben geen PvdD fan maar dit is wel een goede opmerking.

Natuurlijk kan end-to-end encryptie niet verplicht worden. Één van zijn collega-ministers wil in alles wat end-to-end encrypted is, altijd een achterdeur hebben. En end-to-end met een achterdeur is gewoon open. Daarmee is het niet veilig en dus in strijd met

@all hierboven:

De vraag van de PvdD was verkeerd. Natuurlijk zitten technisch inhoudelijke details over de te gebruiken encryptie niet in die wet zelf, dat zou een warboel worden. Als die standaarden dan aangepast moeten worden moet je alle wetten aanpassen die dat opgenomen hebben. Dus nee: In die wet staat niet dat end-to-end encryptie verplicht is. Wat je doet is in de wet vastleggen dat het veilig moet gebeuren, en daarbij verwijs je eventueel naar een of andere externe norm of beleidsdocument. Je wil tenslotte ook niet dat als we volgend jaar allemaal ineens het "quantum-protocol-2022" gaan gebruiken, dat de gezondheidszorg die dan niet mag gebruiken omdat de wet een verouderde methode vastgelegd heeft.

Ter vergelijking: in de wet staat dat auto's ouder dan zoveel jaar APK gekeurd moeten zijn. In die wet zelf staat ook niet vastgelegd wat dan precies die APK-normen zijn.

Maar goed. Dit zal wel weer te genuanceerd zijn voor de gemiddelde anonieme reaguurder.

nou ben je bezig met het opstellen van wetgeving wat dus een mogelijkheid bied om mitigerende maatregelen verplicht te stellen en een basis beschermings maatregel als encryptie wordt daar niet in meegenomen ??

Stelletje pannekoeken!

ow ennuh beste minister en alle adviseurs daar om heen; mitigeren="het verkleinen van de risico’s" .. = basis beveiliging op orde waar encryptie een hele logische maatregel is.

En dan aangeven dat "zorg verleners zelf verantwoordelijk zijn" ?? Waar is die wetgeving dan voor nodig ?

Stelletje poffertjes!

Het is maar goed dat ik in het LSP alle uitwisselingen tussen zorgverleners heb geblokkeerd. Heb totaal geen vertrouwen in de systemen, laat staan in het feit dat ik veel te weinig controle heb wie er toegang tot deze gegevens heeft. Er wordt gelogd, dus naderhand kan ik dit controleren. Alleen staat in die log op een veel te hoog niveau (ziekenhuisniveau) wie er gepoogd heeft om de gegevens te benaderen.

Nope voor mij is deze niet te genuanceerd. Dit is precies mijn denkwijze en je hebt er helemaal gelijk in!

Eigenlijk bestaat deze verplichting al, zoals al wordt opgemerkt in het artikel. Aan de ene kant heb je de NEN7510, aan de andere kant NTA7516.

Ik niet en heb er tot nu toe voordelen van gehad. Nog geen nadeel van ondervonden.

De organisatie is verplicht om dit bij te houden (NEN7513).

Hoe veilig iets opgeslagen is, heeft absoluut niets met end-to-end encryptie te maken. Lijkt me hetzelfde onbegrip van wat end-to-end betekent bij de discussie over het melden van whatsap berichten.

end-to-end gaat alleen over het transport. Als de data gearriveerd is, is deze encryptie weer weg, aders kun je de data niet eens gebruiken.

"niet verplicht bij wet"? Valt dit niet onder de AVG dan?

Denk eerder aan Diginotar
Op papier alles op orde, maar ze voldeden er in de praktijk niet aan.

Jammer dat dat dan niet inzichtelijk wordt gemaakt in het LSP. Daar staat alleen "ziekenhuis X" heeft een poging gedaan je gegevens te bekijken of iets in die trant. Dan zou ik weer bij ziekenhuis X moeten aankloppen om te kunnen controleren of het een bevoegd persoon was. Dat ziekenhuis ziet me al aankomen, en zal neem ik aan die gegevens niet verstrekken, Totdat het fatsoenlijk geregeld is dat ik zelf in control ben van wie er toegang heeft, geef ik geen toestemming.

Neen, AVG zegt ook niets over "encryptie" want dat is niet het doel van de AVG.

Veel mensen weten inderdaad niet wat "end-to-end" encryptie betekent en het is helemaal niet beperkt tot het transport.
https://en.wikipedia.org/wiki/End-to-end_encryption

Belangrijk is om te weten wat het "end" precies is. Je moet dat eerst definiëren, anders kan je niets zinnigs zeggen. (Is het de database die de gegevens opslaat, of is het de applicatie die de gegevens verwerkt? Of de interface van de gebruiker die de applicatiegegevens raadpleegt?
Verder moet je ook goed voor ogen houden dat er mogelijk meer dan 2 "ends" zijn, vb Whatsapp groepsgespreken, of de verplichte afluistermogelijkheden die een telecomoperator moet kunnen verlenen aan justitie.

Het gebruik van "end-to-end" encryptie heeft consequenties. Zowel positieve als negatieve.

Zolang je geen garantie kan geven of je wel met het juiste end te maken hebt, heeft encryptie weinig zin.
Vandaar dat endpoint validatie (HTTPS certificaat, CRL checks, ...) veel belangrijker is dat het gebruikte encryptie algoritme op zich. Praktisch is er (op dit moment) voor de encryptiesterkte niet echt een verschil tussen AES128 & AES256. (Ik zei praktisch, niet theoretisch.)

Leuk om te weten: PCI DSS (Bankkaart transacties) verplicht ook niet eens om versleuteld communucatiepad, zoals HTTPS, tussen systemen op te zetten, enkel om tijdens de communicatie bepaalde data te versleutelen. Daar zijn redenen voor, want meestal wil je helemaal geen encrypted tunels over je firewall toelaten waarin vanalles onder de radar kan gebeuren.
(Voor client systemen die wel via HTTPS met het internet communiceren gebruik je ook end-point protection of een web proxy die communicatie onderschept.)

Hee, een reactie die goed beredeneerd is en niet vanuit de onderbuik komt. Kom je hier hiet vaak tegegn.

Precies dit dus.

In dit geval is het wel duidelijk. De wet gaat over het transport van data. Dan is het end-to-end alleen tussen de zender en ontvanger. Het regelen van opslag valt buiten die wet. Bovendien is het wettig al vrij lang geregeld dat medische gegevens versleuteld opgeslagen moeten worden. De kamerbrief noemt dat ook expliciet als de reeds bestaande NEN 7510 en 7512 norm voor informatiebeveiliging.

Ok het LSP, Het was me al een klein raadsel geworden via wie/welk formulier dat geregeld moest worden daar ik er destijds niet aan toegekomen was. https://www.volgjezorg.nl/toestemming

Prima antwoord van De Jonge, juist omdat hij geen minister van IT zaken is. Regel de mate van verplichte IT beveiliging gewoon in de NEN7510, dan kan er ook op die manier worden gecontroleerd. Daarbij, het treffen van cryptografische maatregelen en beveiliging van informatietransport is sowieso al een onderdeel van de NEN7510.

Alles valt en staat met een gedegen risico analyse en het treffen van bijpassende maatregelen om de kans en impact zo klein mogelijk te maken.