End-to-End Encryptie (E2EE) vertraagt gegevensuitwisseling in zorg doordat criminelen afgeluisterde gegevens niet meer kunnen inzien.

deze d66 minister komt zeker niet bij de makro voor de boodschappen...haha

iets met privacy by design?

Gewoon een FTp servertje opzetten of http. Leker simpel :)

natuurlijk niet, want dat kan er niets verkocht worden

Als ik mij niet vergis stelt de AVG eisen aan de beveiliging van gegevens (zeker medische), maar als het even niet uitkomt (haast bijvoorbeeld) hoef je je als overheid niet aan wetten te houden.

Eerst moeten er gegevens van BNers, politici of het Koninklijk Huis lekken, voordat de minister besluit dat die encryptie er (in ieder geval voor bepaalde bevolkingsgroepen) wel moet komen.

Zo werkt en werkten alle kabinetten Rutte.
Alleen in actie komen als de stront al tegen het plafond zit.

Was eens in de gelegenheid overheidspersoneel op bepaalde regels te wijzen: nou, dat was voor hen als een schop onder de gordel!

Het is in dit geval geen kwestie van haast,alleen end to end encryptie opzetten kost blijkbaar veel (meer)tijd.
Achteraf zal alles wel op die manier worden opgezet.
Zo lees ik nl. het antwoord van de minister.
De overheid zal zich echt wel aan de wet houden,anders zien we de interpellaties van kamerleden wel.
De overheid in Rusland houdt zich helemaal niet aan wetten ook wetten t.a.v. oorlogsvoering.

Misschien vergis je je nu wel inderdaad. Waar staat in de AVG dat digitale gegevensuitwisseling van (evt bijzonder) persoonsgegevens end-to-end encrypted moet zijn?

Hoe zou dat sowieso werken? E2E zou van verzender naar ontvanger betekenen. Wat als een andere dokter ook bij de gegevens moet, wellicht een trauma/spoed geval? Moet de huisarts het dan maar even apart naar elke dokter en verpleger in het ziekenhuis sturen, om maar een voorbeeld te noemen?

Het amendement, hoewel allicht goed bedoeld, is gewoon slecht verwoord en veels te kort door de bocht.

Tuurlijk niet. Het gaat tenslotte maar over burgers. Niet relevant.

Wat blijkt dit een vreselijke idioot te zijn. Elke keer weer.
Past wel weer goed bij D66, dat wel :(

Ja dat schijnt allemaal heel ingewikkeld te zijn met die windows systemen.

Het gaat hier om het beveiligen van het beroepsgeheim van de medici zelf. Een mooi klusje voor de beroepsorganisaties die die allemaal hebben om medici daarbij te helpen. Wat een minister dan beter doet is het eigen netwerk aanbieden, want goeie bescherming en encryptie daar zijn verschillende overheidsorganisaties al mee bezig. Het delen van kennis en ervaring daarmee kan veel waardevoller zijn dan meteen overal zakken geld naartoe te gooien, of er grote IT projecten opnieuw van te zien mislukken.

Een beetje fatsoenlijk medicus wil zelf ook zijn afgelegde eed zo goed mogelijk beschermd hebben. Maar heeft er de tijd en vaak de kennis niet voor. Ze zijn al zoveel administratieve dingen verplicht met electronische patientendossiers en zo. Ze scholen wel regelmatig bij, maar op dit punt is het dan wel handig als ze dan iets gepresenteerd krijgen waar ze gelijk wat mee kunnen.

Je kunt per wet wat afdwingen. Maar dan krijg je eerst de rekening van de implementatie in je boot. Daarna protesterende artsen dat ze meer geld willen omdat ze nou helemaal niet meer aan de zorg toe komen. En dan is de mislukkans van de implementatie behoorlijk groot bij de overheid. En dan krijg je weer dat vooral politici die enkel worden gekozen om met eieren en tomaten te gooien veel meer stemmen krijgen. Dus dan gaat het ook nog ten koste van de democratie zelf ook. wat dan in waarde en waarigheidsverlies nog de grootste kostenpost is.

Het voorlopig wenslijk achten als minister lijkt me veel verstandiger. En delen. Niet in centen, al zal het wat reiskosten extra zijn en een lunchje onderweg. Delen van netwerk en kennis. Er zijn verschillende goeie experts bij de overheid, zelfs om geheime diensten te beveiligen. Die vinden het vast wel leuk om er even een uurtje uit te zijn om medische beroeps(geheim)organisaties een kontje te geven. Gemakkelijker ook als er nog geen wet is want dat praat lekker vrij.

Dan hou je de vinger aan de pols. Regelmatig even kijken hoe de vlag erbij staat. En als het over een periode lekker gaat, dat beschermen van het medisch geheim. Tot bijna iedereen het al doet. Het leuk vindt en er trots op is. Dàn maak je het verplicht. Om de stijfkoppen ook over de streep te krijgen.

Verder moet je als politiek niet gaan. Je kunt invoeren dat zorgverleners verplicht een bordje aan de deur moeten hangen. Of ze al end to end encrypten of niet. Dan kun je als patient voorlopig zelf kiezen wie je vertrouwt. Of dat je zoiets zelf belangrijk vindt. Er zijn er ook zat die nog steeds "van mij mogen toch al alles weten" roepen.

Minder gezeik. En over tot de orde van de dag.

Dat staat niet letterlijk in de AVG, en zou zelfs onvoldoende zijn: E2EE (End to End Encryptie) zonder E2EA (-Authenticatie) is niet eens waardeloos maar potentieel levensgevaarlijk (een Attacker in the Middle die een patiënt dood wil hebben kan een verkeerd medicijn voorschrijven).

De AVG vereist een passend beschermingsniveau van medische gegevens. In de uitwerking van de AP (open de secties onder "Vragen over beveiliging van patiëntgegevens" in https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/gezondheid/zorgverleners-en-de-avg) worden deze nader toegelicht. Naast andere regels kun je bijvoorbeeld lezen:
Als je al niet zeker weet naar exact wie je dossiers (of delen daarvan) stuurt, noch wie er allemaal onderweg of op de eindbestemming kunnen meekijken, is de logging potentieel incompleet.

Iets verderop staat bijvoorbeeld:
E2EE zonder authenticatie van zowel verzender als ontvanger is 0FA.

Als het goed is authenticeren zorgmedewerkers nu al op hun digitale werkplekken voordat zij patiëntgegevens verwerken. Het is echt geen rocket science om de onderliggende systemen, die op verzoek van zorgverleners gegevens uitwisselen, onderling te laten authenticeren en de gegevens via een versleutelde (en op integriteit checkende) verbinding gegevens te laten uitwisselen.

Bijvoorbeeld via TLS met zowel client- als servercertificaat (met de bijpassende private keys natuurlijk). Wellicht veiliger maar mogelijk minder werkbaar is de specifieke gegevens digitaal te laten ondertekenen met de private key van de verzendende zorgmedewerker en te laten versleutelen met de public key van de geadresseerde zorgmedewerker. Ook dit is niet bepaald een noviteit (PGP is meer dan 30 jaar oud).

Als dat organisatorisch lastig is omdat ChipSoft dwarsligt, gooi daar dan maar eens een paar dure advocaten tegenaan en regel het. Of laat een rechter de directie ontslaan en vervangen door mensen die geven om zorg (niet alleen geld).

Als je van faxapparaten afwilt moet je doorpakken en ook de IV (uit BIV) beveilingsaspecten goed regelen, want met directe digitale verbindingen kun je veel sneller veel meer data uitwisselen dan met standaard faxapparaten. Dus is het interessanter voor aanvallers om daarop in te grijpen, zowel als "alternatieve" of "meekijkende" ontvanger. Maar bijvoorbeeld ook als AitM die gegevens onderweg wijzigt - en tegen betaling van losgeld zegt bereid te zijn te vertellen van welke patiënten de gegevens gewijzigd zijn.

Dat gedram mag geen vertraging op lopen DUS leveren we in op veiligheid, sorry wat?

Security = Consequent zijn zonder vereiste in de basis te overspringen.
Weer een halfbakken pauperimplementatie aangedreven door een stel incapabele staatsidioten.

Onze data wordt voor criminelen een gemakshalve interessante goudmijn zo.
Want hoeveel tijd gaat het wel niet kosten voordat deze pipo in kaart heeft hoe digitalisering van gegevensuitwisseling in de zorg geen vertraging oploopt, of was het eerst maar volledig digitaliseren en dan maar eens kijken hoe we achteraf die data-beerput een beetje op orde krijgen?

Laat ze alsjeblieft een stel IT professionals aan trekken om dergelijke keuzes af te wegen, kan me niet verrotten wat het het de staat extra moet kosten om ze op die positie te krijgen.

Man man man, wat een shit show.
Elke kneus kan in zeer korte tijd PGP/GPG beveiliging instellen en gebruiken.

Als er bij mij drie servers in de brand staan, dan kun je me wat met hoe gemakkelijk PGP/GPG is. En dan kun je rustig ook nog heel hard kneus roepen. Ik hoor het niet eens. Eerst die brand oplossen.

Maar dat politieke binnenbrandje is al jaren aan het flakkeren. Dat is geen reden om de betrokken organisaties de data goed te laten beschermen.
Dit is wachten op lekken, hacks en schandalen. En dan de volgende parlementaire enquete en daarna de bakken met geld, om iets wat krom gebouwd is weer recht proberen te buigen.

En dit is het politieke niveau in Den Haag.
Waar zijn de staatslieden van weleer die vooruit kijken en regeerden ipv het reageren wat ze tegenwoordig doen.

Ordo ab Chao

Fijn, de NTA 7516 over veilige uitwisseling van medische gegevens per e-mail kan ook de prullenbak in.

Tevens een verzoek aan alle verkopers van NTA 7516 mail oplossingen, bel en mail me maar niet meer. Het hoeft niet van de minister en kopen we het dus niet..

Volgens mij is het al geruime tijd verplicht om formulieren met https te versleutelen.

Waarom dan deze gegevens niet.

Snelheid van implementatie boven privacy en veiligheid.

Kwantiteit boven kwaliteit.

Niet zo vreemd in een land waar steeds meer mensen heen komen, verwarming en wonen onbetaalbaar is, geen stilte, geen water uit de bergen, geen zonlicht als warmtebron 12 maanden per jaar, geen groente van eigen 1 hectare per persoon.

Ziek.