Door Overcome: De reactie van Ann Sutton, Chief Executive van NHS Kent and Medway is er een om in te lijsten:

"We have already strengthened our Information Governance policies, procedures and training on the basis of our internal investigation of the incident. The Information Commissioner's recommendations to improve them further will be implemented fully.
"While the breach was unfortunate, I would like to reassure patients that the data stored in the filing cabinet was not current - the most recent information was from 2002. There was no clinical data involved and the data is beyond retrieval.
"It is important to stress that information systems now are far more secure than they were at the time these files were produced - we no longer store information on floppy disks or CDs and use sophisticated systems of encryption.
"We have carried out our own thorough investigation into the incident and produced a comprehensive set of recommendations and learning points which are already being implemented. These include processes which staff are required to follow when moving offices and training to ensure staff fully understand their personal responsibilities for information security."
ik ben het volkomen met je eens alleen hoef je geen twee maanden te wachten maar hoogstens veertien dagen want als je regelmatig de artikels leest dan zie je dit verschijnsel aan de lopende band,en zoals de dame zegt,onze systemen zijn nu zoveel beter en gesofistkeerden dan 2002 de mensen die er mee te maken krijgen nietdus deshow blijft duren groetjes jefdom

(1) Er staat dat de data "beyond retrieval" is. Dat staat niet in het officiële rapport. Daar staat dat "however the cabinet had already gone to landfill and was unable to be recovered." Oftewel, beyond retrieval voor mevrouw Sutton, niet vanwege encryptie van de gegevens.

(2) De gegevens die kwijt zijn: adres, geboortedatum, NHS number, GP practice code. Het NHS nummer zal sinds uitgifte niet meer veranderd zijn. Wat ik met dat nummer kan: "If you know your NHS Number, or have it on a document or letter, you can help healthcare staff find your records more easily and share them safely with other people who are caring for you.". Een social engineer vindt deze informatie geweldig.

(3) Het is 1 ding om procedures op papier te zetten. Het is iets totaal anders om de procedures kenbaar te maken in de organisatie, na te leven, periodiek te testen, er trainingen voor te ontwikkelen en periodiek te verifiëren (of zelfs af te dwingen) dat de trainingen gevolgd zijn. Ik zie het in ieder bedrijf. Mensen maken de test voor anderen (managers incluis), maken het vanwege de drukte niet, zijn het na 1 week alweer vergeten, maken al dan niet per ongeluk toch een kopie van de data (of laten deze liggen op de printer) etc. Meer regels lost niet altijd wat op.

(4) Alle overbodige woorden die vertrouwen moeten uitdrukken zijn dikgedrukt. Fraai lijstje om betrokken over te komen, dat wel.

(5) Ik ben altijd benieuwd naar de sophisticated systems of encryption. Zouden ze in enkele maanden tijd bedrijfsbreed database encryptie hebben toegepast, inclusief procedures voor key management, recovery procedures, herprogrammering van de database koppelingen, opleiding van de beheerders etc? Moet ik gokken?

Mijn gok: er is structureel weinig opgelost, zoals dat vaker gebeurt. De werkdruk is te hoog, het aantal mensen is te beperkt, het kennisniveau is te laag en het budget is te krap. Wat dat betreft is het niet anders dan een willekeurig ander ziekenhuis waar je zo naar binnen loopt met je laptop en je voordoet als kabelboer die de netwerk hickups analyseert en toegang tot het systeem nodig heeft. Over een maand (max 2) hebben we hier op security.nl het volgende bericht te pakken.