ZUCHT, minister toont hier toch wel heel lakse houding.

Voorop moet staan dat er een adequate login monitor moet zijn. Is dat niet aanwezig dan dan mag het systeem niet gebruikt worden.

"We bent zunig, er komt geen bedje bij hoor",
zegt de ex-beddenbaas.

Er zijn toch al veel te veel mensen op de wereld
volgens de grote beleidsmakers.

En toch verbaast dit velen onder ons nog?

Het oude normaal zal nooit wederkeren.
Dat werd ons toch verzekerd door de MP.

de minister is een manager; over de schutting met verantwoordelijkheden is modus operandus. zo gaat dat in heel NL tegenwoordig. mooi land he?

De minister heeft het technisch bij het juiste eind. Dit zijn organisaties die juridisch gezien geen onderdeel zijn van VWS. Maar ik denk dat vanuit VWS er wel eens wat meer nadruk kan worden gelegd op de in Nederland geldende standaarden omtrent IT in de zorg en de beveiliging daarvan, welke toch vaak met voeten worden getreden. Dat gebeurt zowel uit onwetendheid als uit desinteresse. Ik heb tijdens mijn studie in het mee kunnen kijken in de opzet van de IT van enkele zorgorganisaties in Nederland, en wat mij opviel is dat alles wat met IT-beveiliging gewoon als 'lastig' wordt gezien.

En weer staat de hightech stad van Nederland in het nieuws. Net zoals bij de big-tech alleen maar aandacht voor de omzet en technische vernieuwing en niet voor de (sociale) impact van de techniek. Vaak is terughoudendheid gewenst.

Met vriendelijke groet van een techneut uit Eindhoven

En de minister zou mbv wetgeving deze organisaties niet kunnen verplichten aan minimale veiligeheidsstandaarden te voldoen? Waarom hebben en betalen we dan nog voor een heel ministerie van Volksgezondheid?
Als de minister toch alle verantwoordelijkheid over de schutting bij het bedrijfsleven gooit. Een bedrijfsleven, omdat dit kosten zijn, hier maar matig in zullen investeren.

Na het geblunder tijdens corona met de beschikbaarheid van bedden en opschaal-capaciteit bij de GGZs, nu dit weer.
Tijd voor goede ministers die ook echt iets doen voor hun geld.

Waarom precies? GGzE is geen overheid, als je bij de KvK kijkt kom je een heel conglomeraat van stichtingen en een paar BV's tegen. Particuliere organisaties moeten werkelijk zelf zorgen dat ze hun beveiliging op orde hebben, net zo goed als jij als je auto rijdt zelf je stuur vast moet houden. De regels ervoor zijn er al, in de AVG, voor de zorg ongetwijfeld aangevuld met extra richtlijnen en dingen als NEN-normen. De toezichthouder op dat geheel is de Autoriteit Persoonsgegevens.

Dus alles wat op het niveau van een minister te regelen valt is eigenlijk al geregeld. Het is helemaal niet de bedoeling dat een minister zich met individuele overtredingen bezig houdt, niet als jij zonder handen aan het stuur roekeloos autorijdt, en niet hier.

Dus wat moet de minister volgens jou precies doen?

Als we alles door de overheid moeten laten regelen hadden we voor Communisme moeten kiezen ipv Kapitalisme. Nu zijn bedrijven zelf verantwoordelijk en kunnen ze alleen via gerechtelijke procedures op hun falen worden afgerekend.

De minister zegt dus niets raars en heeft gelijk.

Jaren geleden was er een actieplan Nederland Open in Verbinding NOiV (2008-2011) Daar is weinig van terecht gekomen omdat er geen sanctie op stond. VVD'ers houden niet van sanctie. Vooral ene Schippers lag tactisch dwars.

(mede)overheden moesten de mogelijkheden van open standaarden en open source software beter benutten. Open standaarden zijn nodig voor elektronische gegevensuitwisseling (interoperabiliteit) tussen overheden en
bedrijven, overheden en burgers en overheden onderling en open standaarden maken overheden minder afhankelijk van ICT-leveranciers. Het werken met open standaarden maakt de implementatie van open source software makkelijker. Meer open source software bevordert innovatie en een gelijk speelveld op de softwaremarkt.
In de gezondheidszorg geen zak van terechtgekomen door een oligopolie op het besturingssysteem.
Kom op beste mensen gesloten leveranciers pakken hun verantwoordelijkheden niet maar zijn alleen uit op winstmaximalisatie!
Wat dat betreft een domme opmerking van die Kuipers. Heeft waarschijnlijk nooit naar zijn eigen ICT mensen geluisterd, of meer waarschijnlijk alleen naar de verkeerde.
Eis een opensource oplossing zodat ChipSoft niet ieder jaar haar gang kan gaan door steeds de hoofdprijs te verrekenen. Verplicht een eigen service bureau hiermee aan de gang te gang. Het lijkt wel of de minister zelf onwetend is over wat D66 altijd heeft verkondigd.

Of voor iets nieuws bijvoorbeeld een beschaafde maatschappij waar mensen centraal staan en niet het geld.

Misschien wordt iedereen wakker, als er een aangetekende aansprakelijkstelling op de mat valt.
Met als inhoud:
"Ik stel u / uw organisatie aansprakelijk voor alle schade, kosten en interessen voortvloeide uit deze onrechtmatige daad."

Zijn er nog zorg (deel) systemen waar geen adequate loging aanwezig is? Dan is het antwoord volmondig: ja die zijn er. het is in de zorg nog steeds dagelijkse praktijk, de software wordt niet aangeschaft op informatie veiligheid maar op fancy schermen en functionaliteiten, Al het andere is bijzaak. Ook blijft software vele jaren draaien zonder enige upgrade.
IT wordt ook vaak pas na het aanschaffen van software of apparatuur betrokken. het is gewoon dagelijkse gang van zaken in veel ziekenhuizen.
Gelukkig zijn er een steeds meer bedrijven die het wel op orde hebben.

De gedachten dat met Opensource het beter zou worden kan je grote vraag tekens bij zetten. iemand zal het moeten onderhouden en support moeten leveren. Chipsoft levert elke 2 week een nieuwe versie met bugfixes en nieuwe features oa. gerelateerd aan de Nederlandse wet- en regelgeving maar ook toevoegen/uitbreiden van openstandaarden die er zijn,
Opensource wil niet zeggen beter, goedkoper of sneller ontwikkelen, sterker nog een Chipsoft kan nu de focus leggen op een bepaald onderdeel goed uit te werken, bij opensource moet je dat maar afwachten.
Het gras is niet altijd groener bij de buren. als je bij de buren bent is het vaak net zo dor.

delegeren is controleren. we geven graag de taak uit handen in NL, maar we verzaken vaak dan goed te controleren. daar wordt management namelijk niet op afgerekend eigenlijk. het is vele male lucratiever steeds 'iets nieuws' te willen doordrammen en voor de troep duidelijk wordt weg te wezen. zo is het ook in de politiek.

De zorg is geen commerciële markt. Dat is al genoeg gebleken. De klant staat niet centraal maar de winst van het bedrijf. Jouw geliefde bedrijf doet er hard aan mee.

Als de minister zegt dat de AP verantwoordelijk is, ervoor zorgen dat de AP ook voldoende budget heeft om aan die verantwoordelijkheid te kunnen voldoen.

Of door wetgeving op te stellen. En daar hebben we ministers en een ambtenarenapparaat voor in Den Haag.
Niet om weg te kijken en met hun duimen te draaien, terwijl hun marktwerking-idealen keer-op-keer voor grootschalig falen zorgen.

Het is makkelijk in uitersten te denken (Communisme vs Kapitalisme), maar er is een een midden. Daar heeft Nederland decennialang een goed draaiende economie en een functionerende samenleving mee staande gehouden. Maar na 30 jaar rechts-liberaal beleid is daar nog maar weinig van over.


Marktwerking heeft Nederland zoveel goeds gebracht:
- Een zorgstelsel dat door haar voegen heen zakt, en steeds meer kost. (oa door loonkosten van ZZPers en managers door schaalvergroting)
- Commerciele ziekenhuizen die "te groot zijn" om om te vallen, en dus met gemeenschapsgelden gered moeten worden. En de eigenaren lopen ondertussen met hun winsten weg.
- Reistijden naar ziekenhuizen en eerste hulpposten worden langer. (door oa. centralisaties en bezuinigingen) terwijl tegelijkertijd het OV in diezelfde gebieden achteruit holt.
- Een openeinde jeugdzorg die zoveel kosten dan gemeenten dit alleen kunnen opbranggen door in andere (openbare) voorzieningen van hun gemeente te snijden. wat de leefbaarheid van die gemeenten niet ten goede komt. Maar de politiek in Den Haag laat hen geen andere mogelijkheden. Ze moeten zorg leveren, tegen marktprijzen en mogen niemand weigeren, maar krijgen een (te) beperkt budget van het rijk hiervoor.


- Energiebedrijven die verkocht zijn. Groningse gasreserves die aan het buitenland verkocht zijn. Eiegnaarschap van de gasopslagsystemen zijn/waren tot voorkort helemaal in buitenlandse handen.
Allemaal vanwege marktwerking-idealen.
Het eind resultaat: een oorlogje en de energieprijzen schieten door het dak. Met alle bijkomstige problemen en kosten.
En dat einde is nog niet in zicht.


- 40 jaar geleden werd er al gewezen op zure regen. En andere klimaatproblemen die eraan zaten te komen.
In de tussentijd heeft de politkek dit grotendeels genegeerd.
de effecten voelen we allemaal nu:
- Boeren die in de problemen komen en geen uitzicht op enige toekomst meer hebben. Hierbij raken we ook een deel van onze eigen voedselproductie kwijt! (Het is wachten op een volgende wereldcrisis en voedsel prijsstijgingen)
- De bouw die stil ligt, terwijl er nu huizen nog zijn. Bijkomstig gevolg: onbetaalbare bestaande huizen. (oa. door deels buitenlandse speculanten)
- Veranderend "klimaat". Zie bv de branden en hittegolven in Canada en zuid Europa. Wanneer hebben we in Nederland nog een lange harde winter gehad zoals in de jaren 60 en 70? Ik leef al lang genoeg om de verschillen met toen te kunnen herkennen. Het weer is warmer en droger geworden in Nederland.


Dus ja, markwerking van 30 jaar rechts-liberaal beleid voelen we nu. Keer op keer op keer.
Het is niet voor niets dat Rutte zich uit de voeten maakt nu zijn eigen gemaakte stront aan het plafond blijft plakken en niet meer weggaat of genegeerd kan worden.

Het is tijd dat het beleid omslaat en weer socialer wordt. Mensen weer centraal stelt.

Volgens klokkenluiders zou ChipSoft niet willlen ingrijpen als hun falende software mensenlevens in gevaar brengt.

https://www.2doc.nl/documentaires/2022/09/dodelijke-zorg.html

De Ap die op de stoel van patient dan wel zorgverlener gaat zitten, het gevolg dat er flinke schade voor personen zal zijn.
De tegenspraak van bescherming als toezichthouder spreekt boekdelen. De Big brother krijgt steeds meer gestalte

Ik zou de schuld aan de minister geven.
Hij kan acteren met wetgeving, maar weigert dit te doen door het op het bordje van het ASP te schuiven. Alsof die het al niet druk genoeg heeft. (Hij geeft er geen extra geld voor aan het AP)

Het is weer eens overduidelijk voor wie deze minister werkt. En dat is niet de bevolking.

Wiens brood men eet, etc.
Follow the money.
Waar heeft deze demissionaire minster zijn gespreide bedje staan?

Dit begint te lijken op een gevalletje:

Trivialiteitswet van Parkinson
https://nl.wikipedia.org/wiki/Trivialiteitswet_van_Parkinson

"Chipsoft kan nu de focus leggen op een bepaald onderdeel goed uit te werken"

goh wat naief toch weer.

Dus eerst die ellende er door drukken en daarna zeggen: zoek het er maar mee uit.

Typisch overheid in Nederland. Want die is er helemaal niet voor het belang van de burger.

Grappig. De NZA eist namelijk precies het tegenovergestelde. Alle gegevens inleveren.

Het zelfde met het EPD.

Hoe zorgverleners dan zelf nog zorg kunnen dragen voor de zorgvuldige bescherming van het medisch geheim is mij een raadsel. Maar misschien weet een demissionaire minister dat uit te leggen. Of anders de volgende.

Ja, ik had eraan gedacht, en AP mag van mij een stuk sterker worden dan het nu kan zijn, maar eenvoudig is dat helaas niet.

Het budget van AP valt onder de departementale begroting van de minister van Rechtsbescherming, niet onder Volksgezondheid. De departementale begrotingen vormen samen de rijksbegroting, die jaarlijks op Prinsjesdag wordt gepresenteerd, na een gigantische hoeveelheid touwtrekken over hoe het beschikbare geld verdeeld wordt. De invloed van de minister van Volksgezondheid (of dat nou Kuipers is of iemand anders) op het budget van AP is dus maar beperkt, en die heeft tijdens het getouwtrek om budget ook een fors aantal eigen onderwerpen die om geld springen en zal geneigd zijn daarvoor te knokken.

Dat de minister van Volksgezondheid ervoor gaat zorgen dat AP voldoende budget heeft gaat hem vrees ik niet worden. Zo komen budgetten niet tot stand.

Het is geen overheidstaak. Maar toch moet de overheid wetten en richtlijnen uitgeven voor een veilige omgeving.
Ik wil geen afbreuk doen aan de functie van een ambtenaar, maar die moet wetten opzetten en controleren.

Beiden gaan steeds moeilijker omdat we verzanden in details en de populistische houding van politieke partijen doet geen voordeel bieden, werkt eerder verstorend. De punten en komma's staan verkeerd en dan komt ineens de juridische molen om de hoek kijken. De technologische vooruitgang is ook zoiets, vaak heel moeilijk om dit te koppelen aan ontwerpwet. Morgen is alles ineens beschikbaar op een ander platform met andere vereisten en doelen.

Zijn er dan weinig ambtenaren met voldoende IT inzicht? Of weten we het op dit forum gewoon beter?
Iemand met oplossingen ?

Zo rechts liberaal zijn we ook weer niet. VVD was jarenlang 'linkser' dan de PvdA. De overheid groeit nog steeds, een kenmerk van een sociale en communistische overheid. Het constant verhogen van belastingen is voor een overheid de makkelijkste weg om alles te financieren, dus ook een wetmatige koppeling aan het daadkrachtig onvermogen.

Maar zo 'liberaal' als in de VS wil je ook niet. Op veel gebieden is de VS gewoon gelijk aan een derde wereldland. Dat heeft te maken met de politiek/maatschappelijke structuur.

De groei van een overheid heeft weinig met links of rechts te maken.
Het is niet alsof er geen ambtenaren apparaat is in de VS (de meest rechts-liberale overheid in de wereld).

C. Northcote Parkinson kwam in 1955 tot de conclusie dat ambtenarenapparaten altijd groeien als ze daar de kans voor krijgen.

Parkinson stelde vast dat de omvang van het Britse imperium afnam terwijl het ambtelijk apparaat van het Britse imperium in omvang toenam. De oorzaak hiervan was volgens Parkinson tweeledig:
- een manager wil, in plaats van meer rivalen, meer ondergeschikten (het aantal ondergeschikten bewijst zijn invloed en aanzien binnen het apparaat)
- een manager creëert (nutteloos) werk, ambtenaren houden elkaar bezig.

Parkinson nam waar dat het aantal mensen in een bureaucratie, onafhankelijk van het werkaanbod, met 5-7% per jaar toeneemt zonder dat hiervoor een logische verklaring te vinden was.

De wet van Parkinson is in algemene bewoordingen als volgt te formuleren: de vraag naar iets zal zich altijd aanpassen aan de maximale beschikbare capaciteit ervan. Elke beschikbare (financiele) ruimte zal worden opgevuld.

https://en.wikipedia.org/wiki/Parkinson%27s_law

"The growth was presented mathematically with the formula x=(2km+P)/n in which k was the number of officials wanting subordinates, m was the hours they spent writing minutes to each other and so on."


Maar dit geldt zowel voor communistische als kapitalistische amtenarenapparaten.


En als afsluitertje:

https://www.youtube.com/watch?v=wW-iC1FLqFQ

Doel je met gevalletje op de hoeveelheid tijd die besteed wordt? En dan op de discussie hier of op datgeen dat de GGZ / minister(ie) eraan besteed?
Doel je op de complexiteit die wel/niet overzien kan worden?En dan op de discussie hier of op datgeen dat de GGZ / minister(ie) eraan besteed?

Eerder dat de ontwikkleraars van de software veel tijd besteden aan de toeters en bellen (de trivialiteit) en weinig aan de security. Laat staan dan de gebruikers daar prioriteit aan geven.

Idem de minister die het niet als zijn taak ziet om dmv wetgeving deze security af te dwingen, maar druk bezig is met andere trivialiteiten. (een ander baantje regelen misschien?)

De oud-winkelierster, Dame Thatcher, had toch maar goede ideeën met haar privatisering van alles wat los en vast zat.

Dat het vooral voor ons eindgebruikers mis ging, was wellicht juist de bedoeling. Aan deze kant van de visvijver volgde men graag dit voorbeeld.

Van dat hele stuk klopt maar een klein deel. Daarnaast zijn er test procedures die elk ziekenhuis dient uit te voeren. Je kan dan ook wijzen naar de falende test procedures in de ziekenhuizen. Chipsoft wil best in grijpen als daar goede reden toe is. Het is ook vaak de verstandhouding die ziekenhuizen zelf verzieken met de leverancier. Maar daar hoor je geen enkel ziekenhuis over. die documentaire vertelt maar de helft van het verhaal, als je wat implementaties hebt gedaan weet je dat de vork toch echt anders in de steel zit.

Bij opensource kan je geen vinger meer wijzen als er mensen levens in gevaar komen. wie is dan verantwoordelijk?
De overheid? als of die zich ook maar enigzins verantwoordelijk voelt voor zijn burgers, dat is de laatste jaren toch wel duidelijk gevoeld.

Minister Kuipers en zijn ambtenaren missen hier de memorie van minister van Justitie over de AVG en de AP. De AVG en de AP waren expliciet bedoeld dat die NIET behoorlijk bestuur en fatsoenlijk ICT beheer zouden verdringen of overnemen.

Wat bij de casus misgaat is organisatorisch van aard. En dan moet je als minister ook verder kijken dan alleen AVG, NEN 7510 en 7513. Er zijn meerdere aanknopingspunten voor de minister om dit alsnog in gang te zetten.

Getuige ook de reactie namens GGzE:
https://www.skipr.nl/nieuws/cliente-ontdekt-dat-160-ggze-medewerkers-meekeken-in-haar-dossier/
We weten allemaal dat ICT logging en monitoring er om evidente redenen ook al was voordat er een AVG in werking trad(25 mei 2018). Het is namelijk bedoeld om het een en ander aan handelingen in het systeem te kunnen volgen. Dat is dus organisatorisch van aard. Dat zo'n dossier via online ingezien kan worden maakt natuurlijk nog steeds dat er ten minste fictief sprake zal zijn van een INTERN dossier bij GGzE zelf dat als HET eigenlijke dossier zal gelden. Dit merk ik op om onderscheid te maken dat de AVG OOK van toepassing is als het gaat om gebruikersrechten maar niet uitsluitend voor GGzE het enige kwaliteit- en regelgevend kader kan worden beschouwd dat de ICT logging en monitoring regelt.
GGzE is bijvoorbeeld al sinds 21 november 2014 ISO/IEC 27001 gecertificeerd door LRQA.
https://www.ggze.nl/sites/default/files/media/2022-02/documents/ISO.PDF
In het jaarverslag over 2017 meldt GGzE bijvoorbeeld
Dit geeft aan dat GGzE al ver voor de AVG, NEN 7510 en 7513 bezig was met ICT beveiliging. Onder andere via de ISO 27001. Dus hoe zag de controle vanuit 27001 toe op goede gebruikersrechten voor het digitale patienten dossier?
Gezien het afgegeven organisatorisch brede ISO 27001 certificaat moet uit hoofde van LRQA daar ook op gecontroleerd zijn.
Dus waarom zou in afwijking op de rest van de ICT eventueel enkel bij slechst 160 medewerkers (1 of paar GGzE standplaatsen?) een afwijkende toekenning van toegang tot dossiers kunnen zijn afgegeven?
Dat zou vanuit ISO 27001 en dus ook vanuit NEN 7510 en 7513, die daarop gebasseerd zijn, onlogisch zijn.
Aanleiding hiervoor is het volgende waar ISO 27001 op toeziet:
Oftewel, hoe ging de informatie afstemming tussen auditing instanties en de directeur Financien en Informatie plus afdeling ICT van GGzE?
Werden hiertussen bepaalde zaken uitgesloten / buiten onderzoeken geplaatst om zo niet eventuele gaten tussen de algehele ICT en de EPD omgeving niet te onderzoeken en te adresseren?


Wat moeten niet-behandelaars met toegang tot haar dossier?
Dat moet bij auditing toch wel van grond af aan zijn gecontroleerd?
Dat is tenminste juridisch en kwaliteitsmanagement technisch gezien de vraag vanuit het vereiste proportionaliteit waar ook een GGZ instelling voor haar handelen mee te maken heeft. Ook vanuit dit perspectief zou de minister meer moeten willen weten.

Kijk je verder naar een uitspraak als https://www.degeschillencommissie.nl/uitspraken/de-inzagen-in-het-medisch-dossier-door-de-medisch-specialisten-waarmee-geen-behandelrelatie-bestond-was-niet-rechtmatig/ dan snapt iedereen wel dat inzage door derden buiten de directe behandelrelatie ook juridisch extra aandacht vraagt.
En ook voordat de AVG en AP er waren gingen zorgverleners normaliter al heel scherp om met toegang verstrekking tot iemands medisch dossier, dus waarom zou het ICT beheer van GGzE er dan opeens veel ruimer mee om moeten kunnen gaan?
ICT beheer is in eerste plaats niet bedoeld voor het gemak van de ICT beheerder maar voor beheersing van de ICT zelf.
Kijk je verder naar de huidige locatie van GGzE;
https://www.ggze.nl/locaties dan zie je dat dat er 21 locaties zijn. Het betreft met 2.400 medewerkers over 21 locaties dan ook een behoorlijk grote organisatie.
Kijk je voor 2024 dan zie je dat er zelfs meer dan 21 locatie zouden zijn!
Namelijk 21 buiten Eindhoven en nog eens 18 in Eindhoven zelf.
Dat maakt dat we er van uit mogen gaan dat er in ieder geval segmentering van gebruikersrechten per standplaats is ingeregeld, al zal dat toch nader moeten worden vastgesteld.
Terugrekenend met de 160 medewerkers en het ratio van 2 tot 4,59 medewerker per client dan zou niet slechts 1 die zich meldde maar zeker 34 tot 80 clienten zijn geraakt in dit dossier!
Dus wat heeft de afdeling juridische zaken van GGzE qua due dillegence aan onderzoek laten verrichten en vastgesteld?
En natuurlijk zou die afdeling ook de certificering scope van de hele ICT en het EPD voor GGzE op toezicht verplichtingen moeten hebben uitgeplozen.
De certificering en met name wat daarvoor ingeregeld is aan waarborgen had dit gat van 34-80 clienten in principe onmogelijk moeten maken. Alle aanleiding om er als juridische zaken werk van te maken en dit niet als uitzondering en uitsluitend als tekortkoming qua logging en monitoring te beschouwen.
Het zou vanwege de ICT certificering vereisten en controles minder waarschijnlijk zijn dat het gaat om 1-2 vinkjes die eventueel bij een paar standplaatsen, gebruikergroepen of gebruikers onterecht waren geplaatst.
Blijft over dat de 34 tot 80 clienten (of meer) een bepaalde behandeling ondergingen waarvoor standaard toegang voor 160 medewerkers (of meer) was aangevinkt, maar die eventueel menselijke fout zou dan bij een jaarlijkse audit ook boven water moeten zijn gekomen en is dus als mogelijk oorzaak dus ook onlogisch.
Er is dus aanleiding voor vermoeden dat er iets in de communicatie tussen mensen mis ging.
Wellicht bij aanbesteding eisen / taak omschrijving / uitvoering voor het maken en optuigen van het EPD voor GGzE.

De nadere toelichting door GGzE raad van bestuur als:
https://www.skipr.nl/nieuws/cliente-ontdekt-dat-160-ggze-medewerkers-meekeken-in-haar-dossier/
wijst er op dat het toezicht op de logging en monitoring van toegang niet goed ging, hetgeen ze dus achteraf achter kwamen en niet vooraf doorhadden, of niet door de certificering werd belegd. Nog een zeer duidelijke aanwijzing dat het organisatorisch niet klopte. Essentiele vragen zijn immers niet beantwoord. Gezien de omvang van de casus (vermoedelijk tot 80 medewerkers maar meer kan GGzE niet uitsluiten) voer voor de afdeling juridische zaken.

Kennelijk heeft GGzE tussen augustus 2022 en maart 2023 de tijd nodig gehad om een intern onderzoek te laten uitvoeren.
Dan is zo'n zaak toch wel uitputtend uitgezocht zou je vermoeden.
Dus heeft de certificering zelf dit gat in logging en monitoring bijvoorbeeld niet belegd, de Autoriteit Persoonsgegevens heeft sinds Maart 2023 van GGzE geen melding gemaakt terwijl de AP dit meestal wel binnen een aantal maanden doet.
Lijkt mij ook aanleiding voor een minister om meer onderzoek te laten verrichten, minimaal op vlak buiten de NEN 7510 en NEN7530.
Bedenk verder dat het volgende bericht ook doet vermoeden dat er binnen GGzE het nodige in verhoudingen en onderlinge afstemming stroef ging en men niet op 1 lijn zat.
Daar is ondermeer https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Gerechtshoven/Gerechtshof-Amsterdam/Nieuws/Paginas/Agenda-Ondernemingskamer-25-augustus-2022.aspx op 25 augustus 2022 en 10 augustus 2022 https://www.omroepbrabant.nl/nieuws/4138611/bestuur-ontslagen-ggze-met-spoed-op-zoek-naar-tijdelijke-opvolger de rechtspraak aan te pas gekomen.
Dus waarom ook niet qua eventuele ICT beveiliging auditing meldingen?


Hoeveel medewerkers hadden er precies onnodig onbeperkt toegang?
De aanhef de "Antwoorden op Kamervragen over medewerkers van GGzE die vrijwel onbeperkt hebben kunnen kijken in dossiers van cliënten" op de beantwoording door de ministerie zelf en het onderliggende artikel van SKIPR dat verwijst naar de aanhef van het ED/Gelderlander/AD " stelt dat het onbeperkt was en dat het om ZEKER 160 medewerkers ging, mogelijk dus meer aantal medewerkers betrof.
(Er valt ook niet uit te sluiten als je deze fout qua ICT niet zelf opspoorde dat medewerkers met elkaars user credentials inlogde.)
Ook laat de brief van het ministerie in haar beantwoording brief het woord ZEKER weg, terwijl het bericht van SKIPR waar in de brief naar verwezen wordt wel de woorden ZEKER 160 medewerkers hanteert.
De brief van de minister legt echter niet uit dat het maximaal 160 medewerkers betrof. Oftewel, de minister laat dat gat in aantallen "onbeperkt toegang" en "160 medewekers" onverklaard. Terwijl de uitleg op SKIPR daar zeker wel om vraagt.
Tussen de zinsnede van ALLE medewekers en eventueel MEER dan 160 van de 2400 medewerkers zit ook nog wel een heel groot gat. Namelijk 2.240 medewerkers.

Elke auditor zou zich ongemakkelijk voelen / moeten voelen bij zo'n groot gat.
En waarom noem ik auditor?
Die zou de informatiebeveliging voor zo'n omvangrijke organisatie natuurlijk grondig in de vingers moeten hebben en toetsen.
In 2017 kwam er vanuit auditing bijvoorbeeld wel bij GGzE naar voren dat er verbeteringen op ICT moesten worden doorgevoerd.

De NEN 7510 en 7513 die Kuipers in zijn brief noemt en waar de Autoriteit Persoonsgegevens op toeziet in de eerste plaats voor GGzE zelf, en is geen op zichzelf staand doel voor een GGzE om zijn ICT GOED en proffesioneel te beveiligen.
De NEN 7510(eisen audits ICT beveiligingmanagement systemen) en 7513(logging EPD) zijn gebasseerd op ISO 27001:2013 (komt oorspronkelijk uit 2005) en als zodanig een verbijzondering van de ISO norm. De betreffende ISO norm is noch beperkt tot EPD noch beperkt tot de zorg sector. Het ligt dus voor de hand dat GGzE als grote organisatie buiten de specifieke NEN normen en AVG om vanuit ICT zelf al het nodige aan ICT management en beveiliging continu probeert te borgen.
https://www.nuance.com/about-us/trust-center/privacy/nen-7510-standard.html
https://en.wikipedia.org/wiki/ISO/IEC_27001

Kuipers trechtert in zijn beantwoording wat de Inspectie Gezondheidszorg aan maatregelen naar de AP terwijl bredere auditing eisen op ICT buiten de NEN 7510 en 7513 vanuit het ministerie niet heel ongewoon zijn.
In elk geval niet sinds 2016 toen de NEN 7510 en 7513 nog niet golden.
Hij benoemt niet naar de bredere ISO 27001 certificering van GGzE. Waarom niet?
https://zoek.officielebekendmakingen.nl/stcrt-2016-68985.html namens het ministerie benoemt minstens 5x het woord audit. En waarom zou je als ministerie bij een subsudie verstrekking wel een (onafhankelijke) IT-auditer eisen op doelmatigheid en bij besteding van fondsen vanuit reguliere processen door een GGZ dan geen IT-auditer eisen op doelmatigheid / proportionaliteit?

En zelfs als er bepaalde checks die er vanuit ISO 27001 / NEN 7510 en 7513 zouden zijn geweest, is niet uitgesloten dat daar niet over gecommuniceerd of is dat tussen directie en raad van toezicht als een hete aardappel blijven hangen als ze voor de benodigde ingrepen met gebruikersrechten en de logging en monitoring ervan meer dan 1.000-3.000 euro zouden moeten uitgeven. Dus waarom als minister dan zo inzoomen op de NEN 7510 en 7513 terwijl al na onderzoek door GGzE duidelijk is dat er qua controle het nodige niet klopte? Dan zou je als minister toch hebben gemeld dat GGzE inmiddels zelf al melding bij de AP hebben gedaan? De AP zou ongetwijfeld verscherpt toezicht kunnen instellen, maar je moet als minister breder kijken en dan zie je dat bij GGzE er om de zoveel jaar heiza naar boven komt drijven?

Zie je bijvoorbeeld dat t/m 2011 al duidelijk was dat in de GGZ per werkplek jaarlijks 3.309 euro aan ICT wordt besteed.
https://www.researchgate.net/publication/287981021_GGZ-instellingen_besteden_jaarlijks_vier_procent_van_omzet_aan_ICT
Als we prijsstijgingen en dalingen buiten beschouwing laten (meerdere ICT projecten in de GGZ zorgden prijsstijgingen maar liggen al achter ons, ondanks dat MXI bijvoorbeeld voor gemeenten diverse jaren prijsstijgingen voor ICT meldde) en we conservatief rekenen en buiten beschouwing laten dat GGzE bijvoorbeeld voor 2017 en respectievelijk 2019 op GGzE ICT B.V. 3,0 en 44.187 euro eindresultaat in de min rapporteert dan kom je op 7.941.600 euro aan jaarlijkse ICT kosten voor GGzE als geheel.
Zou met zo'n bedrag ook niet rechtvaardigen dat een directeur financien en informatie (buiten de AVG kaders om) ook actief naziet op ICT rechten beheer, ook al kan dat een relatief saai onderdeel zijn?

Kortom, in meerdere opzichten moet de kwaliteitbeheersing en ICT binnen GGzE al meerdere jaren behoorlijk zwaar belegd zijn.
Tegelijk, hoezo zou een Inspectie Gezondheidszorg niet, buiten of in samenspraak met de AP om, ook moeten optreden als er zoveel aanknopingspunten zijn die organisatorisch van aard zijn?

Kuipers hoort als voormalig bestuurzvoorzitter Kuipers (2013-2022) en daarvoor afdelingshoofd interne geneeskunde (2006-2012) van het Erasmus MC natuurlijk te weten dat kwaliteitsnormen niet zaligmakend zijn.
Zie je verder dat FTM meldde over Ernst Kuipers
https://www.ftm.nl/artikelen/erasmus-mc-sjoemelde-met-transparantieregels-ernst-kuipers
dat zijn antenne voor kwaliteitssystemen en auditing en de mazen / tekortkomingen daarin op z'n minst misschien tekort schoten dan zou je vervolgvragen vanuit de tweede kamer verwachten.
De minister / Inspectie Gezondheidszorg zou naar aanleiding van het voorgaande minimaal in contact moeten treden met de AP en zelf ook onderzoeken laten instellen.
Bijvoorbeeld naar hoe dat na voor audits en opdrachtverstrekking/contractering voor de EPD's na 2017 verliep toen er wel ICT beveiliging verbeteringen werden geconstateerd. Zijn er qua afstemming tussen LRQA en de onafhankelijke auditing zaken niet tussen het wal en schip gevallen richting directie?
Je zou immers verwachten dat LRQA qua ISO 27001 bij afwezigheid van logging en monitoring nu ook een hele lastige kluif heeft en dat die ook hun straat al schoon hebben geveegd, danwel dat er na maart 2023 wel een nieuwe certificering organisatie voor de ISO 27001 zou zijn aangekondigd.
Ook in dat geval zijn de opdrachtverstrekking/contractering voor audits en certificering bij zo'n pikant dossier met structurele gebreken toch een heikel ding voor een minister Kuipers?

Op papier lijkt het allemaal zo mooi opgetuigd maar zitten zowel AP als GGZ met krappe budgetten en is er een ongeloofelijk gebrek op ICT management die zonder personeel en budgettaire redenen enkel verklaarbaar zou zijn doordat directie / Raad van Toezicht bij het opschalen van dat gebrek naar hun er niet uit kwam. Daarbij dus aangetekend dat er om de zoveel jaar bij GGzE wel stevige problemen opduiken.
Merk ik op dat 2 Maart 2023 er nieuwe bestuurders zijn aangesteld, https://www.ggze.nl/nieuws/2023-03-nieuwe-bestuurders-voor-ggze die Luc Kenter en zijn medebestuurder sinds augustus 2022 na conflict opvolgde maar het mooie ISO 27001 en 7510 (maar niet 7513, 7510 zou ook niet meer geldig moeten zijn) certificaat anno augustus 2023 dus gewoon nog online staat!
Zijn die 3 certificaten niet sinds 2022 vervallen gezien de opgetreden gebreken of is dat een omissie / onzorgvuldigheid van de nieuwe bestuurders per en vergeten ze te melden dat er een nieuwe certificering wordt aangevraagd?
Immers Dat had bij een fatsoenlijk kwaliteitsmanagement NEN7510 en ISO 27001 na al die maanden onderzoek al duidelijk moeten zijn.
Bovendien vereist de opgetreden gebreken en ondervanging ervan natuurlijk her-certificering. Waarom dit dan als minister Kuipers niet alvast melden? Dat zou toch een kleine extra pleister op de wond zijn, naast dat het gebrek dus niet bij 1 maar minimaal bij 34 clienten moet zijn gebeurd maar eventuele grotere omvang ervan niet kunnen achterhalen.
Dat is toch geen overpromissing (waar Kuipers niet aan wil doen)?

Het ellenlange verhaal van Anoniem 26-8-2023, 17:13 maakt duidelijk waarom je als zorgvrager je gegevens helemaal niet meer bij GGzE of welke GGZ dan ook wil hebben. Je wilt helemaal niet in een dergelijk complexe situatie betrokken raken. en al helemaal niet wanneer je toch al niet lekker in je vel zit.

Zeker niet met een AP die misschien over twee jaar een beslissing neemt en dat is dan een beslissing om jou melding niet te behandelen.

De enige echte oplossing is dat jou gegevens weer gewoon terechtkomen bij de persoon die jou behandelt en niet verder komen, dus helemaal niet in een systeem waar 160 of 2400 medewerkers bij kunnen.

Wie het kan betalen gaat naar een privétherapeut, waar alle data binnenshuis blijft. Ik weet een therapeut waar je zelfs per sessie contant kan betalen als je dat echt wil.

Wie het niet kan betalen, betaalt met zijn data. Mag iedereen meekijken met jou geestelijke problemen, welke pilletjes je krijgt aangeraden/voorgeschreven en of je die wel braaf slikt. Kunnen ze daar leuke analyses op loslaten.

Kijk je naar https://www.security.nl/posting/772380/Politie+houdt+tiener+aan+voor+diefstal+van+medische+data+digitaal+zorgplatform en https://www.security.nl/posting/773253/Zorginstellingen+melden+datalek+na+inbraak+bij+digitaal+zorgplatform+Carenzorgt dan zie je dat via 1 gebruikersaccount toen tienduizenden documenten konden worden gedownload.
Dat moet gezien de hoeveelheid documenten ook gaan om een equivalent van minstens 20 medewerkers die de dossiers konden komen waar ze niet bij hoeven te kunnen omdat er geen directe behandelaars band is/was.

Kijk je naar https://www.gelderlander.nl/de-vallei/gegevens-duizenden-ggz-clienten-op-straat-door-datalek~a68efe60/ dan zie je dat ook bij gemeenten kennelijk bulk-data opslag over GGZ clienten plaats vindt.

Kijk vervolgens ook eens naar datalekken bij ziekenhuizen
https://www.datalekt.nl/home/overzicht-cyberincidenten/

Begin bij het begin. Probleem in beginsel is de bulk-data opslag, de logging - monitoring verbeteren komt daarna.
De logging en monitoring verbeteren verhelpt de intrensieke kwetsbaarheid / aantrekkelijkheid voor hacks van bulk-data niet.
Computers zijn nou eenmaal inherent hackbaar.
Maar dat is kennelijk niet meer leidend. Als je maar in je regel-reflex schiet dan heb je als data-beheerder/toezichthouder er alles aan gedaan en is het goed.
Nergens lijkt men te concluderen dat data opslag, backups veiligstellen en allerhande handelingen met medische dossiers minder belangrijk zijn dan goed beheer en vertrouwensband met directe zorg-behandelaar(s).
De huidige werkwijze is namelijk haast alsof we voor de periode 2000-2020 al alle dossiers van zorginstellingen per zorginstelling gesplitst per acrhiefruimte met slot op de deur bij het ministerie van VWS in de kelders opbergen en dat van daaruit zorgverzekeraars en NZa ook kunnen meekijken. Als er toen groslijsten / databestanden zouden zijn gelekt of gestolen of als er ook maar meer dan 10 dossier oneigelijk waren opgesnord dan had er zeker wat gezwaaid!
Maar we zijn best wel in slaap gesust mensen.
Een arts / behandelaar / case manager had het toen nooit in zijn hoofd gehaald om uberhaupt meer mensen dan nodig toegang te geven tot iemands dossier.
De omvang van deze lekken zich ook enkel voordoen omdat toegang tot dossiers / gebruikersrechten bulksgewijs beginnen bij de centrale ICT beheer omdat een gebruiker altijd onderdeel is van gebruikersgroepen en de toekenning van toegang dus niet meer echt decentraal geberut door de behandelaar die enkel per keer toegang geeft.
Dat komt door de centrale massa opslag methode van gegevens, dan is als AP en minister VWS aansturen op betere logging en monitoring natuurlijk niet eens een pleister voor het bloeden.
Als een behandelaar alleen al 10 collega's onnodig had laten meekijken in een dossier dan was het vertrouwen van de client in de behandelaar in veel gevallen natuurlijk volstrekt verloren. Laat staan als het er meer dan 30 waren.

Het wordt dus tijd dat directe behandelaars zelf weer totale poortwachters worden van de dossiers en toegang daartoe en niet ergens een user rights beheerder aangevuld met kwaliteitsbeheersing systemen. Net als toen de dossiers per behandelaar gewoon in een ladekast achter het bureau van de behandelaar stond.
Naar de digitale tijd vertaald moet ICT beheer
1) dus behandelaars voor zorginstellingen semi admin rechten geven die vervolgens specifiek hun eigen rechten beheren en diegenen zijn die ook direct aan een dossier werken. De rechten hiervoor moeten niet meer vanuit ICT beheer worden opgestart, maar per geval door de behandelaar zelf.
2) als je het regelen van user rights niet bij behandelaars wilt terugleggen om dan bij zorginstellingen maximaal 50 gebruikersrechten per ICT beheerder account te laten verstrekken. Heb je bij 10.000 clienten als instelling wel heel wat beheerdersaccounts nodig, namelijk 200.

Voordeel van beide insteken is dan dat je de omvang van een eventueel lek op voorhand drastisch indamt.
Dat lijkt mij minimaal eisbaar en redelijk.
Helemaal fail-safe kan niet, maar de omvang van een eventueel lek / hack eindelijk eens fundamenteel verkleinen moet gewoon. Dat is een kwestie van zorgplicht.
Deze verandering is ook redelijk aangezien clientendata nu gewoon colleteral is en een lek bovendien niet ongedaan kan worden gemaakt door minister noch AP.
De minister van VWS verwijst nu zelfs ijskoud naar de AP en de AP kan alleen maar bestuurlijk optreden en boetes opleggen en verbeteringen "achteraf" door laten voeren, maar daar heb je op voorhand geen moer aan.
Dat laat gewoon zien dat er bij VWS en zorginstellingen qua ICT beheer echt nog hele grote stappen te zetten zijn.
Namelijk verder segmenteren van bulk-data toegang en bulk-data opslag en dit afhankelijk van de insteek 1 of 2 maximeren op 10 tot 50 dossiers per user account van de organisatie.

Dit zou Kuipers ook even in zijn achterhoofd moeten knopen en daarover met de AP in overleg gaan!
Het enorm hoge aantal lekken van health data.

https://news.bloomberglaw.com/privacy-and-data-security/health-data-breach-lawsuits-surge-as-cyberattacks-keep-climbing

Ja joh; lekker elke zorginstelling het wiel - en bijbehorende beginnersfouten - opnieuw laten uitvinden en ze laten uiitmelken door veel te dure consultancy bedrijven, of slechte partners; waarbij de burger weer opdraait voor de gevolgen; teveel kosten, minder zorg en datalekken !!!