image

Apotheek mailt privégegevens 2.000 mensen rond

woensdag 17 december 2014, 15:35 door Redactie, 27 reacties

Een Arnhemse apotheek heeft per ongeluk de privégegevens van 2.000 mensen rondgemaild. In een e-mail aan klanten was een bijlage toegevoegd die naam, adres, telefoonnummer, e-mailadres en burgerservicenummer van meer dan 2.000 klanten bevatte. Het bericht zou onder "enkele honderden" mensen zijn verspreid, zo laat de apotheek tegenover De Gelderlander weten.

Volgens de apotheek gaat het om een stomme fout, maar zijn er geen medische gegevens gelekt. De apotheker hoopt dat er door de blunder geen wantrouwen ontstaat tegen het Landelijk Schakelpunt (LSP), het systeem waarmee zorgverleners medische gegevens kunnen uitwisselen. De e-mail bevatte namelijk informatie over het LSP, zo meldt de NOS. De procedures zouden inmiddels zijn aangepast om herhaling in de toekomst te voorkomen.

Reacties (27)
17-12-2014, 15:50 door Anoniem
Mijn tandarts mailde aan half Den Bosch middels een CC dat het alweer 2 jaar geleden was dat hij mij/ons voor het laatst had gezien.
Lekker dan.
17-12-2014, 15:58 door Anoniem
Oeps, verkeerde attachment? Van gewoon 2.000 klanten..Wow! Hoe maak je zo'n fout?
17-12-2014, 16:01 door [Account Verwijderd] - Bijgewerkt: 17-12-2014, 16:03
[Verwijderd]
17-12-2014, 16:04 door Anoniem
"Volgens de apotheek gaat het om een stomme fout, maar zijn er geen medische gegevens gelekt." Nee gelukkig geen medische gegevens, alleen maar ook een burger service nummer... maar gelukkig geen medische gegevens stel je voor zeg!
17-12-2014, 16:05 door Anoniem
Maar er zijn wel persoonsgegeven gelekt. Jammer dat die wijziging van de WBP er nog niet door is, ik kan niet wachten op de eerste boeten van 450K.
17-12-2014, 16:28 door Preddie - Bijgewerkt: 17-12-2014, 16:28
"De procedures zouden inmiddels zijn aangepast om herhaling in de toekomst te voorkomen."

Welke procedures? Je kan mij toch niet vertellen dat het handelen van de medewerker is opgenomen in een procedure.

Wel zou je kunnen concluderen dat de betreffende medewerker de procedure niet gevolgd heeft, echter lijkt me dit geen reden om de procedures aan te passen......

Ik denk dat de opmerking daarom ook betiteld kan worden als onzin om mensen het idee te geven dat men toch iets gedaan heeft......
17-12-2014, 16:52 door Anoniem
Och, ze hoeven zich nergens zorgen over te maken. Iedere dag beland er wel weer 1 of andere zeer persoonlijke database op het internet, al jarenlang. En nog steeds weet men een flinke groep naivelingen blijvend te overtuigen van de deitische veiligheid van hun product.

Het meest vervelende vind ik nog wel dat al die info bv ook op een beveiligd pasje oid meegedragen kan worden, er zijn zat alternatieven die niet als onoverkomelijke bijkomstigheid hebben dat al je gegevens op straat komen te liggen en massaal zullen worden misbruikt.
17-12-2014, 17:24 door Anoniem
Schending van privacy is gewoonlijk het gevolg van 'stomme fouten'. Dat is namelijk de noemer die men achteraf gebruikt wanneer de verwerker wel bewust gaat nadenken over de gevolgen van een voorgenomen actie en dan voornamelijk voor de gevolgen voor zichzelf.

Ik ben daarom groots voorstander van het direct opleggen van boetes bij het niet nemen van passende maatregelen bij het verwerken van andermans persoonsgegevens.
17-12-2014, 18:33 door Anoniem
"Wij laten zien wat er gebeurt als je prutsers met de kompjoeter laat... prutsen. We hopen dat dit geen effect heeft op het wantrouwen jegens het LSP(/EPD/...), waar allen in medico-land, inclusief alle prutsers, toegang toe hebben."

Overtuigend verhaal dat ze hier neerzetten. Overigens, betekent dat nu dat die 2000 mensen gratis een nieuw SoFi/BSN/MedischPrutsNummer(MPN) aangereikt gaan krijgen? Deze zijn gelekt.
18-12-2014, 06:32 door Anoniem
"De e-mail bevatte namelijk informatie over het LSP"

Wat staat er exact in die mail?


"dat er door de blunder geen wantrouwen ontstaat tegen het Landelijk Schakelpunt (LSP)"

Iemand?
18-12-2014, 11:36 door [Account Verwijderd] - Bijgewerkt: 18-12-2014, 13:24
[Verwijderd]
18-12-2014, 11:43 door Anoniem
Het zijn wel persoonsgegevens die zijn gelekt, waarbij wel degelijk het risco op indentiteits fraude wordt verhoogd! Zeer kwalijk dus!
18-12-2014, 12:50 door [Account Verwijderd] - Bijgewerkt: 18-12-2014, 12:52
[Verwijderd]
18-12-2014, 19:03 door Erik van Straten - Bijgewerkt: 18-12-2014, 19:04
18-12-2014, 12:50 door Krakatau:
Door Anoniem: Het zijn wel persoonsgegevens die zijn gelekt, waarbij wel degelijk het risco op indentiteits fraude wordt verhoogd! Zeer kwalijk dus!

Nou, nou... Die gegevens liggen niet op straat toch? De ontvangers van de e-mail gaan er echt geen misbruik van maken (dan zouden ze immers snel opgespoord zijn)
Stel ik ben nummer 1 van die honderden ontvangers, en ik wil identiteitsfraude plegen met nummer 2, waarom zou ik dan geen sporen maken die naar een willekeurig nummer uit de reeks 3 t/m n (n=aantal in CC lijst) leiden? Kortom, die gegevens liggen gewoon op straat, en iedereen uit die groep kan, linksom of rechtsom, te maken krijgen met identiteitsfraude - afhankelijk van de gelekte gegevens.

Ongetwijfeld zal het BSN-nummer daar wel weer bij zitten, waarvan ik vind dat dit geen geheim zou moeten zijn (https://www.security.nl/posting/410189/), maar de overheid wel (https://www.security.nl/posting/410321/). En zolang de overheid verkondigt dat, als iemand vertelt wat haar BSN nummer is, dat een zeker bewijs vormt dat het om de rechtmatige eigenaar van dat BSN-nummer moet gaan, (vooral in combinatie met naam/adres/woonplaats en geboortedatum, die er ook heus wel bij gelekt zijn), wordt deze farce in stand gehouden.

18-12-2014, 12:50 door Krakatau: en niemand zal toch zo dom zijn geweest om de gegevens uit die e-mail verder te verspreiden? Dat is nl. strafbaar: met opzet gegevens (die overduidelijk door een vergissing zijn verkregen) verder verspreiden.
Huh? Een apotheekmedewerk(st)er lekt naar verluidt per ongeluk, gegevens (hoe kun je zo dom zijn, en misschien was het helemaal niet per ongeluk maar wilde iemand een statement maken, en misschien was het niet eens de betreffende medewerk(st)er maar is ook zijn/haar identiteit misbruikt). Anyway, die apotheekmedewerk(st)er zou niet strafbaar zijn, en iemand anders, die per ongeluk die gegevens verder verspreidt (of een gehackt e-mail account/PC heeft) zou wel strafbaar zijn?

Er is maar 1 oplossing: de betrokkenen moeten verhuizen en hun achternamen + BSN nummers laten wijzigen. Geboortedatums zijn wat lastiger, maar als de rest wijzigt valt dat wel weer mee. Waarom denk je dat je in sommige oost-Europese landen zo makkelijk je achternaam kunt laten wijzigen?
18-12-2014, 19:52 door [Account Verwijderd] - Bijgewerkt: 18-12-2014, 19:57
[Verwijderd]
18-12-2014, 21:17 door Anoniem
Door Krakatau:
Door Anoniem: Het zijn wel persoonsgegevens die zijn gelekt, waarbij wel degelijk het risco op indentiteits fraude wordt verhoogd! Zeer kwalijk dus!

Nou, nou... Die gegevens liggen niet op straat toch? De ontvangers van de e-mail gaan er echt geen misbruik van maken (dan zouden ze immers snel opgespoord zijn) en niemand zal toch zo dom zijn geweest om de gegevens uit die e-mail verder te verspreiden? Dat is nl. strafbaar: met opzet gegevens (die overduidelijk door een vergissing zijn verkregen) verder verspreiden.
LOL!!!
En screeners bestaan ook niet,
want het individu dat dat verspreiden kan is expliciet vertrouwd en tekent er zelfs voor.
19-12-2014, 07:44 door linuxpro
Leuk verhaal, leuke damage-control maar wat ze uitgehaald hebben is volgens mij gewoon strafbaar. Het rondstrooien van persoonsgegevens is niet iets wat de wet toelaat. Komt die club sufferds dat niet op een soort van strafvervolging te staan of is "ow, sorry, stom foutje we zullen 't niet meer" doen voor bedrijven ineens wel voldoende? Als ik 3 km te hard rij en ik zeg sorry, stom foutje, zal het niet meer doen, weet 't CJIB je tot aan je dood te volgen...
19-12-2014, 07:47 door Anoniem
Is een Apotheek, of tandarts, nou nog verplicht dit te melden bij het CBP ofzo?
19-12-2014, 07:49 door Anoniem
Deelt de overheid eigenlijk wel eens nieuwe BSN nummers uit na een dergelijke fout?

Bij een creditcard krijg ik meteen een nieuwe.
19-12-2014, 10:05 door Erik van Straten
18-12-2014, 19:52 door Krakatau:
18-12-2014, 19:03 door Erik van Straten - Bijgewerkt: 18-12-2014, 19:04: Waarom denk je dat je in sommige oost-Europese landen zo makkelijk je achternaam kunt laten wijzigen?

Beetje wereldvreemd?
Achter mijn laatste regel had ik een ;) moeten zetten, want eerlijk gezegd heb ik geen idee waarom het, in sommige oost-Europese landen, zo makkelijk is om je achternaam te laten veranderen (dat dit eenvoudig is blijkt uit http://www.rtlnieuws.nl/nieuws/binnenland/paspoortfraude-oost-europeanen#node_1154236).

Een beetje wereldvreemd mag je mij best noemen, want ik vind dat we, met z'n allen, informatiebeveiliging veel serieuzer zouden moeten nemen. Want ook ik constateer wat Anoniem van 17-12-2014, 16:52 opmerkt (taalfout door mij gecorrigeerd): "Iedere dag belandt er wel weer 1 of andere zeer persoonlijke database op het internet, al jarenlang".

Ondanks dat er m.i. voldoende aanleiding is om een ICT-securityrevolutie te ontketenen, maak ik regelmatig mee dat velen op security.nl het niet met mij eens zijn over de gelopen risico's bij de huidige aanpak (zoals by default http, en als het echt niet anders kan, tijdens inloggen eventjes https) en de voorstellen voor maatregelen die ik doe. Overigens ben ik geen tovenaar, voor veel problemen schud ik ook niet zomaar realistische oplossingen uit mijn mouw.
19-12-2014, 10:24 door Renellekes
Hoe krijg je het sowieso voor elkaar om dit soort documenten aan klanten te versturen? Was je een e-mail aan het forwarden waar deze bijlage al in zat?? Moest er een andere bijlage bij genaamd "Klant2", maar heb je perongeluk het bestand "Klant-2" toegevoegd??
Ik vind inderdaad dat hier best een boete voor opgelegd mag worden, behoorlijke natalendheid...
19-12-2014, 11:19 door [Account Verwijderd] - Bijgewerkt: 19-12-2014, 11:20
[Verwijderd]
19-12-2014, 11:27 door [Account Verwijderd]
[Verwijderd]
19-12-2014, 17:21 door Eric-Jan H te D
De software bevat dus functionaliteit waarmee privacy gevoelige data buiten de "beveiligde" omgeving gebracht kan worden. Die functionaliteit zou helemaal niet aanwezig moeten zijn. Overdracht van gegevens zou op een versleutelde en gepersonaliseerde wijze geheel door de software gedaan moeten worden.

Dit heeft dus niks met procedures, maar met gebrekkige of van ongewenste functionaliteit voorziene software te maken.
20-12-2014, 18:24 door [Account Verwijderd]
[Verwijderd]
20-12-2014, 19:00 door Anoniem
Door Erik van Straten:

Ondanks dat er m.i. voldoende aanleiding is om een ICT-securityrevolutie te ontketenen, maak ik regelmatig mee dat velen op security.nl het niet met mij eens zijn over de gelopen risico's bij de huidige aanpak (zoals by default http, en als het echt niet anders kan, tijdens inloggen eventjes https) en de voorstellen voor maatregelen die ik doe.

Overdrijven is ook 'een vak'. Misschien ligt het ergens anders aan.
21-12-2014, 18:35 door Anoniem
Door Krakatau:
Door Eric-Jan H te A: De software bevat dus functionaliteit waarmee privacy gevoelige data buiten de "beveiligde" omgeving gebracht kan worden. Die functionaliteit zou helemaal niet aanwezig moeten zijn. Overdracht van gegevens zou op een versleutelde en gepersonaliseerde wijze geheel door de software gedaan moeten worden.

Dit heeft dus niks met procedures, maar met gebrekkige of van ongewenste functionaliteit voorziene software te maken.

Welke software?

Nou, het begint met eindgebruikers, ontwerpers en ontwikkelaars die hun hersens niet gebruiken in de ontwikkelfase en eindgebruikers die hun gezonde verstand uitschakelen tijdens gebruik.
Software is niet fout van zichzelf, fouten worden door mensen gemaakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.