image

Kuipers: datalek Albert Schweitzer mede door overschrijven van back-up

donderdag 14 april 2022, 13:56 door Redactie, 11 reacties

Het datalek bij het Albert Schweitzer ziekenhuis, waar ruim een half miljoen patiëntdocumenten permanent werden gewist, kon zich mede door het overschrijven van de periodieke back-up voordoen, zo laat minister Kuipers van Volksgezondheid weten. Bij het datalek werden scans van niet meer gebruikte papieren uit dossiers van voor september 2017 gewist, zoals verwijsbrieven, onderzoeksresultaten of aantekeningen van de behandelaar.

Het ziekenhuis had de documenten twintig jaar moeten bewaren voordat ze mochten worden verwijderd. Doordat dit niet is gedaan, is er sprake van een datalek. In 2017 stapte het ziekenhuis over van een papieren patiëntendossier op een elektronisch patiëntendossier (EPD). Daarbij werden per patiënt en per behandeling alle actuele, relevante gegevens overgezet naar de digitale omgeving.

Oude documenten uit het papieren dossier die de artsen op dat moment niet meer nuttig vonden voor de behandeling, gingen niet mee naar het EPD. Maar ze moesten volgens de wet nog wel worden bewaard. Afgelopen oktober bleek dat in dit archief, als gevolg van foute instellingen, al bijna een jaar lang nieuwere documenten werden opgeslagen met bestandsnummers die ook in gebruik waren voor inactieve documenten.

Het CDA had minister Kuipers om opheldering gevraagd. Volgens de bewindsman is het datalek door drie factoren veroorzaakt: een verkeerd gekozen nummerreeks, het niet beveiligd zijn van data tegen overschrijven én de gekozen manier van back-ups maken, waarbij elke nieuwe volledige back-up in de plaats komt van de vorige volledige back-up.

"Omdat het om statische data ging, is voor dit specifieke archiefontwerp een afwijkend regime gekozen waarbij elke geslaagde periodieke back-up de vorige overschreef. Hierdoor kon de fout in elke back-up ongemerkt iets verder doorwerken", laat de minister verder weten. Het Albert Schweitzer ziekenhuis heeft inmiddels een andere back-upmethode gekozen. "Een herhaling van dit specifieke incident is daarmee uitgesloten", aldus Kuipers.

Reacties (11)
14-04-2022, 14:37 door Garak
Wat is de relatie tussen het ziekenhuis en de minister, anders dan dat de minister gaat over de zorg (die dit ziekenhuis aanbiedt). Het CDA stelt een vraag aan de verkeerde minister: dit zou een minister voor digitalisering moeten zijn. En gezien het feit die er niet is, Economische Zaken.
14-04-2022, 14:44 door Anoniem
Ik neem aan dat de papieren dossiers nog wél aanwezig zijn.
Of zijn die aan Peute meegegeven om duurzaam te worden gerecycled?
14-04-2022, 15:53 door Anoniem
Door Garak: Wat is de relatie tussen het ziekenhuis en de minister, anders dan dat de minister gaat over de zorg (die dit ziekenhuis aanbiedt). Het CDA stelt een vraag aan de verkeerde minister: dit zou een minister voor digitalisering moeten zijn. En gezien het feit die er niet is, Economische Zaken.
De relatie met de minister van Volksgezondheid is dat die verantwoordelijk is voor beleid rond ziekenhuizen. Je hebt geen ander verband dan zorg nodig, dat is het verband waar het om gaat.

Er is geen minister van Digitalisering maar wel een staatssecretaris. Digitalisering is desondanks niet exclusief van één staatssecretaris of één ministerie. Alle departementen gaan óók over digitalisering, omdat het overal plaatsvindt. De staatssecretaris van Digitalisering zet strategische hoofdlijnen uit. Omdat een incident geen hoofdlijn is vind ik het niet zo gek dat de vraag aan een ander gesteld wordt.

Wat is trouwens de relatie tussen het ziekenhuis en de minister van Economische zaken, anders dan dat een ziekenhuis als (zorg-)bedrijf ook een economisch aspect heeft? De verplichting om patiëntendossiers 20 jaar te bewaren heeft meer met het zorgaspect dan met het economische aspect te maken van een ziekenhuis.
14-04-2022, 15:56 door Anoniem
Door Anoniem: Ik neem aan dat de papieren dossiers nog wél aanwezig zijn.
Als die er nog waren was dit geen datalek geweest.
14-04-2022, 17:06 door Anoniem
Door Garak: Wat is de relatie tussen het ziekenhuis en de minister, anders dan dat de minister gaat over de zorg (die dit ziekenhuis aanbiedt). Het CDA stelt een vraag aan de verkeerde minister: dit zou een minister voor digitalisering moeten zijn. En gezien het feit die er niet is, Economische Zaken.
Nop, niet economische zaken, maar infrastructuur. Dit gaat helemaal niet over economie, maar over veiligheid van ICT infrastructuur.

De fout is jaren geleden al gemaakt toen de frequentieveilingen een goudmijn bleken te zijn. Toen is besloten de oude Hoofddirectie Telecommunicatie en Post (HDTP) om te vormen naar een agentschap en onder Economische Zaken te hangen. Daarmee kwam de focus op geld verdienen te liggen en niet meer op kwaliteit, veiligheid en betrouwbaarheid van de (digitale) infrastructuur.

Ik blijf het roepen, breng het Agentschap Telecom weer onder het ministerie van Infrastructuur en Waterstaat; daar hoort het thuis.
15-04-2022, 04:38 door Anoniem
Door Anoniem: Ik blijf het roepen, breng het Agentschap Telecom weer onder het ministerie van Infrastructuur en Waterstaat; daar hoort het thuis.
Er is zeker wat voor te zeggen, maar kijk eens naar het schema op wikipedia van de geschiedenis van Infrastructuur en waterstaat:
https://nl.wikipedia.org/wiki/Ministerie_van_Infrastructuur_en_Waterstaat
Dat laat zien dat waar iets thuishoort geen vast gegeven is maar dat het alle kanten op stuitert, afhankelijk van wat men door de tijd heen een goede indeling vindt. Er zullen steeds argumenten voor geweest zijn die in die tijd steekhoudend waren.

Het is dus geen vast gegeven, en misschien vindt je groeperingen van onderwerpen wel vanzelf spreken omdat dat is hoe je er ooit kennis mee hebt gemaakt.
16-04-2022, 12:22 door Anoniem
De Archiefwet 1995 is jammer genoeg niet van toepassing op alle ziekenhuizen. Daarin staan in relatie tot de AVG ook regels over het mogen vervangen van bijzondere categorie persoonsgegevens.
16-04-2022, 12:43 door Anoniem
Een backup is geen, ik herhaal geen archief. Met andere woorden wat een backup ook is het is geen archief.
17-04-2022, 08:56 door Anoniem
Door Anoniem: Een backup is geen, ik herhaal geen archief. Met andere woorden wat een backup ook is het is geen archief.
Hier is de verzameling scans van papieren dossiers zelf het archief. De backups die genoemd worden zijn geen backups die als archief dienen, het zijn backups van het archief.

De fout is dat in het archief zelf abusievelijk bestandsnummers (ik neem aan dat ze bedoelen dat de bestandsnamen numeriek zijn) hergebruikt werden bij nieuwe toevoegingen aan het archief. De backupstrategie voor het archief was gebaseerd op de aanname dat dat soort dingen niet zouden gebeuren.

Gedachte: dit had ondervangen kunnen worden door het archief onder git (of een soortgelijk scm) te brengen en na toevoegingen aan het archief een commit te doen (een periodieke automatische commit zou ook werken). Overschreven bestanden waren dan terug te halen geweest. Dit niet ter vervanging van andere beveiligingen (nummers niet hergebruiken, bestanden read-only maken, backups maken), maar als extra waarborg om fouten die daarmee gemaakt worden herstelbaar te maken.

Merk op dat de (niet goed geïmplementeerde) waarborgen die ze hadden niet onafhankelijk van elkaar waren: de backups werken alleen maar goed als de nummertoekenning en overschijfbeveiliging goed werken. Daarmee zijn deze backups, zoals gebleken is, geen afdoende beveiligingsmaatregel. Dat had met git ondervangen kunnen worden, omdat dat een onafhankelijk mechanisme voor het niet overschrijven van eerder vastgelegde inhoud toevoegt.
17-04-2022, 18:23 door Anoniem
Door Anoniem:
Door Anoniem: Een backup is geen, ik herhaal geen archief. Met andere woorden wat een backup ook is het is geen archief.
Hier is de verzameling scans van papieren dossiers zelf het archief. De backups die genoemd worden zijn geen backups die als archief dienen, het zijn backups van het archief.

De fout is dat in het archief zelf abusievelijk bestandsnummers (ik neem aan dat ze bedoelen dat de bestandsnamen numeriek zijn) hergebruikt werden bij nieuwe toevoegingen aan het archief. De backupstrategie voor het archief was gebaseerd op de aanname dat dat soort dingen niet zouden gebeuren.

Gedachte: dit had ondervangen kunnen worden door het archief onder git (of een soortgelijk scm) te brengen en na toevoegingen aan het archief een commit te doen (een periodieke automatische commit zou ook werken). Overschreven bestanden waren dan terug te halen geweest. Dit niet ter vervanging van andere beveiligingen (nummers niet hergebruiken, bestanden read-only maken, backups maken), maar als extra waarborg om fouten die daarmee gemaakt worden herstelbaar te maken.

Merk op dat de (niet goed geïmplementeerde) waarborgen die ze hadden niet onafhankelijk van elkaar waren: de backups werken alleen maar goed als de nummertoekenning en overschijfbeveiliging goed werken. Daarmee zijn deze backups, zoals gebleken is, geen afdoende beveiligingsmaatregel. Dat had met git ondervangen kunnen worden, omdat dat een onafhankelijk mechanisme voor het niet overschrijven van eerder vastgelegde inhoud toevoegt.

Git is een mogelijke techniek - als je de keuze maakt dat *alle* data sinds "het begin" bewaard moet worden .
Het is natuurlijk een keuze met consequenties - dat de benodige opslagcapaciteit soms erg veel groter wordt.

Er zijn beslist ook andere manieren dan git om de keuze "we bewaren alles - en inclusief een update van een reeds bestaande file/dossier met dezelfde naam, dan bewaren we alle voorgaande versues" in te vullen .
(Ik denk dat git niet de beste keuze is voor non-text data )
Je hebt special purpose archiveringssystemen , en snapshotting filesystemen (en SANs) bijvoorbeeld.

Maar welke techniek dan ook - de keuze "we kunnen het archief van elk moment in het verleden reconstrueren " - heeft consequenties voor de benodige opslagcapaciteit .

Het meer algemene probleem is dat Bad Things Happen wanneer je een model/system/opslag/database hebt dat aanneemt dat een bepaalde key of index altijd uniek is, en er entries komen waarbij de unieke key niet meer uniek is.
De tupel (initialen,voornaam, geboorde datum) is best _redelijk_ uniek, maar zelfs in een vrij kleine populatie kun je daar al duplicaten krijgen.
Sommige IT systemen indexeren alleen op *host*naam, en sommige matig ervaren beheerders ontdekken dan pas dat hostA.subdomein1.tlld en hostA.subdomein2.tld geen handige naamconventie is.
MAC adressen zijn wereldwijd uniek - is de gedachte. Heel vervelend in een netwerk als dat niet klopt.

En bij dit ziekenhuis werd de aanname dat de filenaam van een dossier altijd uniek is overtreden.
(totaal natte vinger gok : ze zijn een keer gefuseerd met een ander ziekenhuis, en hebben de gezamelijke archiefdata geintegreerd , en waren allebei met een zelfde logische nummerreeks (20180101.volgnummer , ofzo ?) begonnnen.
23-05-2022, 13:04 door Anoniem
Albert Schweitzer ziekenhuis kreeg honderden boze en verdrietige reacties van patiënten na het verlies van gegevens

https://www.ad.nl/dordrecht/albert-schweitzer-ziekenhuis-krijgt-honderden-boze-en-verdrietige-reacties-van-patienten-na-datalek~a9ef2c58/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.