Medisch transcriptiebedrijf lekt gegevens van negen miljoen patiënten
Het Amerikaanse medisch transcriptiebedrijf PJ&A heeft de gevoelige gegevens van zo'n negen miljoen patiënten gelekt. PJ&A zet voor zorginstanties opgenomen gesprekken met patiënten om naar tekst. Het bedrijf laat weten dat aanvallers tussen 27 maart en 2 mei van dit jaar toegang tot het bedrijfsnetwerk kregen en vervolgens allerlei bestanden buitmaakten. Het gaat onder andere om persoonlijke data van patiënten (pdf).
De gestolen persoonsgegevens bestaan uit naam, geboortedatum, adresgegevens, medisch dossiernummer, diagnoses en opnamedata. Bij een deel van de patiënten zijn ook social-securitynummers, verzekeringsgegevens, klinisch informatie zoals laboratorium- en testuitslagen, medicatie, naam van behandellocatie en zorgverleners buitgemaakt. Hoe de aanvallers toegang tot het netwerk konden krijgen is niet bekendgemaakt. PJ&A zegt aanvullende beveiligingsmaatregelen te hebben getroffen om herhaling te voorkomen.
Je zou zeggen... geef ze een encrypted file met het gesprek in bijvoorbeeld mp3 format. Ze sturen - wederom encrypted - de boel met dezelfde filename maar dan in plain text terug. Match compleet en ze weten niks meer dan nodig.
Het zal wel niet goed genoeg zijn om burgers in de gaten te houden...
Al heb je AVG intern (enigszins) op orde, is er weer zo'n afdeling die een service buiten de deur contracteert,
Handig om gelijk de gehele doopzeel mee te sturen (en meer), kun je geen tikfout maken in de naam van de patiënt, in het correct uittypen van de geboortedatum enzovoorts.
Waarom info over verzekeringszaken? Rekening direct richting zorgverzekering (wij ontlasten u) ipv naar de opdrachtgever.
De dikste boete voor (1) oneerlijke en (2) AVG-onveilige handelspraktijken.
Want SPII regels gelden ook in de VS?
Of laten die het volledig aan "de markt" over?
Je zou zeggen... geef ze een encrypted file met het gesprek in bijvoorbeeld mp3 format. Ze sturen - wederom encrypted - de boel met dezelfde filename maar dan in plain text terug. Match compleet en ze weten niks meer dan nodig.
Een goede transcriptie is enorm gebaat bij wat achtergrondinformatie. Dat kan de reden voor het delen van patiëntdossiers zijn. Die hoeven ze echter niet blijvend te bewaren, als de transcriptie is gemaakt kan de informatie weer weg. Dat ze gegevens over maar liefst 5 miljoen mensen hadden suggereert dat ze dingen bewaarden die ze niet moeten bewaren.
Gezien veel medische gegevens al bij Amerikaanse partijen, AWS, en software leveranciers, Epic, staan opgeslagen is het natuurlijk duidelijk dat een partij als deze straks ook de transcriptie gaat doen. Lekker in de cloud natuurlijk.
nee dank je feestelijk.
Al heb je AVG intern (enigszins) op orde, is er weer zo'n afdeling die een service buiten de deur contracteert,
Handig om gelijk de gehele doopzeel mee te sturen (en meer), kun je geen tikfout maken in de naam van de patiënt, in het correct uittypen van de geboortedatum enzovoorts.
Waarom info over verzekeringszaken? Rekening direct richting zorgverzekering (wij ontlasten u) ipv naar de opdrachtgever.
De dikste boete voor (1) oneerlijke en (2) AVG-onveilige handelspraktijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
