image

Datalek bij drie ziekenhuizen treft ruim 158.000 patiënten

maandag 25 januari 2016, 15:27 door Redactie, 22 reacties

Patiëntgegevens van twee Nederlandse ziekenhuizen en een Belgisch ziekenhuis hebben op straat gelegen. Daarover heeft het Belgische IT-bedrijf iGuana, verantwoordelijk voor het versturen van de gelekte databestanden, de ziekenhuizen maandag geïnformeerd.

Het bedrijf benadrukt dat het niet gaat om medische dossiers. Het zou gaan om patiëntnummers, naam, geboortedatum, geslacht, het specialisme en de locatie.

Het bestuur van het St. Anna Ziekenhuis werd afgelopen donderdag door de redactie van het programma Meldpunt van Omroep Max geïnformeerd over het datalek. De redactie van het programma had toegang tot een digitaal databestand bij iGuana, een leverancier van het ziekenhuis.

De gegevens van 4559 patienten van het St. Anna-ziekenhuis in Geldrop zijn meer dan een maand lang online toegankelijk geweest. Dit heeft het ziekenhuis per brief laten weten aan de betrokken patiënten. Bij het andere Nederlandse ziekenhuis gaat het om een pdf-bestand met een technische beschrijving van software. In deze beschrijving staan ook screenshots die de naam en het patiëntnummer van vijftig patiënten bevatten. In het geval van het Belgische ziekenhuis gaat het volgens iGuana om onbruikbare gegevens.

Menselijke fout

Volgens het IT-bedrijf gaat het om een menselijke fout, er is gebruik gemaakt van een onbeveiligde webserver. De server is inmiddels offline gehaald.

iGuana is een bedrijf dat onder meer papieren medische dossiers voor ziekenhuizen digitaliseert. De automatiseringsgids meldt dat het bedrijf een deel van het voorbereidende werk, zoals nietjes en paperclips verwijderen, tot eind 2014 door gedetineerden liet doen. Vanwege de "verkeerde beeldvorming bij klanten en in de publieke opinie'', is de onderneming hiermee gestopt.

Reacties (22)
25-01-2016, 15:34 door wim-bart
Het is St. Anna Zorggroep waarvan het St. Anna Ziekenhuis een onderdeel is.
25-01-2016, 16:28 door Anoniem
Volgens de WBP zouden ze elke getroffen patiënt moeten inlichten. Ben benieuwd of dat (is) gebeurd.
25-01-2016, 16:36 door Anoniem
iGuana is een bedrijf dat onder meer papieren medische dossiers voor ziekenhuizen digitaliseert. De automatiseringsgids meldt dat het bedrijf een deel van het voorbereidende werk, zoals nietjes en paperclips verwijderen, tot eind 2014 door gedetineerden liet doen

Het verstrekken van electronisch patientdossiers aan criminelen in gevangenissen. Is daarbij ''beeldvorming'' daadwerkelijk het enige probleem ? Klinkt als een datalek op zich, al werd het wel gelekt conform de procedures van iGuana. Hadden al deze criminelen een verklaring van goed gedrag ofzo, zodat het verantwoord was hen toegang te geven ? ;)

Volgens mij moet het dit bedrijf verboden worden om ooit nog te werken met vertrouwelijke patient dossiers.
25-01-2016, 16:45 door Anoniem
Door Anoniem: Volgens de WBP zouden ze elke getroffen patiënt moeten inlichten. Ben benieuwd of dat (is) gebeurd.

"Dit heeft het ziekenhuis per brief laten weten aan de betrokken patiënten". Ja, dus....
25-01-2016, 17:06 door Anoniem
En alsnog blijft mijn huisarts (dringend) vragen of ik in het EPD wil *zucht*
25-01-2016, 17:15 door Anoniem
Oh en dus dan is het niet zo erg!
Het feit dat het kan gebeuren is al genoeg reden voor alarm en stampij hier over.
We hebben net kunnen horen over het digitaliseren en kopiëren van Nederlandse patiëntendossiers in de Belgische gevangenissen.
Hoe verzinnen ze het. Wat voor idioot zit hier achter. Anders kan ik het niet noemen.
Waar zitten ze met hun hersens?
25-01-2016, 18:15 door Anoniem
Volgens het IT-bedrijf gaat het om een menselijke fout, er is gebruik gemaakt van een onbeveiligde webserver. De server is inmiddels offline gehaald.
Wie mag dan wel die fout gemaakt hebben als het geen menselijke fout is
25-01-2016, 18:47 door Anoniem
Door Anoniem:
iGuana is een bedrijf dat onder meer papieren medische dossiers voor ziekenhuizen digitaliseert. De automatiseringsgids meldt dat het bedrijf een deel van het voorbereidende werk, zoals nietjes en paperclips verwijderen, tot eind 2014 door gedetineerden liet doen

Het verstrekken van electronisch patientdossiers aan criminelen in gevangenissen. Is daarbij ''beeldvorming'' daadwerkelijk het enige probleem ? Klinkt als een datalek op zich, al werd het wel gelekt conform de procedures van iGuana. Hadden al deze criminelen een verklaring van goed gedrag ofzo, zodat het verantwoord was hen toegang te geven ? ;)

Volgens mij moet het dit bedrijf verboden worden om ooit nog te werken met vertrouwelijke patient dossiers.

Denk je echt dat die gevangenen die dossiers allemaal zitten te lezen en op de een of andere manier interessante gegevens
eruit vissen die ze opslaan voor mogelijk later gebruik?
Dan moet je wel erg veel fantasie hebben denk ik...

Op het moment dat je een enorme hoeveelheid informatie laat verwerken door niet-betrokkenen (het is nog in het
buitenland ook!) dan is de kans dat daar iets mee gedaan wordt of dat de medewerker iets in handen krijgt waar hij
iets mee kan enorm klein. Ga jij maar eens in Antwerpen rondlopen en kom dan vertellen hoeveel mensen je kende.
25-01-2016, 19:04 door karma4
De link van iguana zelf http://iguana-idm.com/iguana/iguana-nv-brief-aan-ziekenhuizen/
Als ze de logfiles wel goed hebben valt het nog mee voor de betrokkenen in de diossiers..
"Ons onderzoek van de access logfiles wijst uit dat de gegevens in totaal twee keer zijn gedownload. Uit de IP-adressen blijkt dat de Nederlandse omroep Max de gegevens heeft gedownload en tegelijkertijd werden dezelfde gegevens ook gedownload door een bedrijf dat werkzaam is in onze sector. "

De reputatie-schade voor het bedrijf iguana had niet erger gekund.

Oorzaak: OS webserver inrichting niet voldoende gecontroleerd vijgegeven (LCM / releasemanagement):
"Wij hanteren standaardprocedures waarbij de gegevens altijd worden versleuteld en via beveiligde SFTP of VPN-verbindingen worden verstuurd. Voor uitzonderingsgevallen hebben wij een speciale webserver ingericht. Deze was uiteraard beveiligd. Bij de migratie naar een andere webserver is deze beveiliging door een menselijke fout niet mee overgegaan. "

Nu is het België waar het gebeurd is niet Nederland. Zal wel buiten het bereik van de AP vallen. Meer benieuwd of de AP de nederlandse bedrijven gaat aanspreken en om uitleg vraagt.
25-01-2016, 19:50 door Anoniem
Door Anoniem: En alsnog blijft mijn huisarts (dringend) vragen of ik in het EPD wil *zucht*
En hoe denk je dat je huisarts alles beveiligd heeft?
Hoe weet jij dat jouw gegevens veilig zijn bij je huis arts?
25-01-2016, 20:32 door Anoniem
Het is ook gewoon de kat op het spek binden; de ziekenhuizen verplichten medische dossiers bij te houden, die zij vanwege kostenoverwegingen en eisen van de patiënt (snel willen worden geholpen waarbij het de norm is dat zo veel mogelijk van de papierwinkel voor je wordt geregeld) wel moeten digitaliseren maar daar geen voldoende geld voor is.
Het lijkt me een goed idee om de gevolgen bij lekken te verkleinen door gewoon zo min mogelijk gevoelige zooi op te slaan en wanneer de behandeling ten einde is of/en de informatie niet meer relevant is deze te anonimiseren of gewoon te verwijderen. Verder is de informatie eigenlijk van de patiënt en deze zou dan ook de mogelijkheid moeten krijgen de gegevens te beheren.
25-01-2016, 21:26 door Anoniem
Die logs lijken me onzin aangezien het via google is gevonden door max (bron:vrouw op de radio van MAX)
Dus dat zijn er al drie. Waar kan ik even controleren of ik op die lijst sta?
25-01-2016, 22:21 door Anoniem
Door Anoniem: Het is ook gewoon de kat op het spek binden; de ziekenhuizen verplichten medische dossiers bij te houden, die zij vanwege kostenoverwegingen en eisen van de patiënt (snel willen worden geholpen waarbij het de norm is dat zo veel mogelijk van de papierwinkel voor je wordt geregeld) wel moeten digitaliseren maar daar geen voldoende geld voor is.
Het lijkt me een goed idee om de gevolgen bij lekken te verkleinen door gewoon zo min mogelijk gevoelige zooi op te slaan en wanneer de behandeling ten einde is of/en de informatie niet meer relevant is deze te anonimiseren of gewoon te verwijderen. Verder is de informatie eigenlijk van de patiënt en deze zou dan ook de mogelijkheid moeten krijgen de gegevens te beheren.

Maar het probleem is dat deze gegevens volledig bewaard dienen te blijven voor 20 jaar
26-01-2016, 07:07 door Anoniem
Door Anoniem: Die logs lijken me onzin aangezien het via google is gevonden door max (bron:vrouw op de radio van MAX)
Dus dat zijn er al drie. Waar kan ik even controleren of ik op die lijst sta?
Op google zoeken en effectief iets downloaden en bekijken zijn 2 heel andere dingen. Kan jij MS Office gebruiken zonder hem eerst te downloaden en te installeren?
26-01-2016, 10:03 door Anoniem
Door Anoniem:
Door Anoniem: Die logs lijken me onzin aangezien het via google is gevonden door max (bron:vrouw op de radio van MAX)
Dus dat zijn er al drie. Waar kan ik even controleren of ik op die lijst sta?
Op google zoeken en effectief iets downloaden en bekijken zijn 2 heel andere dingen. Kan jij MS Office gebruiken zonder hem eerst te downloaden en te installeren?

Google indexeert toch de data, ook pdf, plaatjes en word documenten worden hierbij gedownload.
26-01-2016, 10:46 door Anoniem
Door Anoniem: Volgens het IT-bedrijf gaat het om een menselijke fout, er is gebruik gemaakt van een onbeveiligde webserver. De server is inmiddels offline gehaald.
Wie mag dan wel die fout gemaakt hebben als het geen menselijke fout is

Lekker makkelijk om het af te schuiven op een menselijke fout. Dit soort zaken moet je tenminste volgens het 4 eyes principe doen.

M.a.w. Bullshit, de procedures zijn gewoon niet op orde.
26-01-2016, 11:23 door Anoniem
Door Anoniem:
Door Anoniem: Volgens het IT-bedrijf gaat het om een menselijke fout, er is gebruik gemaakt van een onbeveiligde webserver. De server is inmiddels offline gehaald.
Wie mag dan wel die fout gemaakt hebben als het geen menselijke fout is

Lekker makkelijk om het af te schuiven op een menselijke fout. Dit soort zaken moet je tenminste volgens het 4 eyes principe doen.

M.a.w. Bullshit, de procedures zijn gewoon niet op orde.
Ook bullshit dat een 4 eyes dit opgelost had. Om ze zelfde redenen, zoals jij aangeeft. Als dit ooit undocumented is uitgevoerd, weet niemand dat dit ooit gedaan is. 4 of 8 ogen zal dit dan niet oplossen.

Daarnaast is dit gewoon iets wat normaal 1 persoon doet, of meerdere maar niet om alle settings te controleren. Maar het is en blijft mensen werk.
26-01-2016, 12:24 door Anoniem
Door Anoniem:
Door Anoniem: Volgens de WBP zouden ze elke getroffen patiënt moeten inlichten. Ben benieuwd of dat (is) gebeurd.

"Dit heeft het ziekenhuis per brief laten weten aan de betrokken patiënten". Ja, dus....

Nee, dus. Mijn partner is een van de slachtoffers en deze heeft GEEN brief gekregen.
Ik vraag me ook af waar die eventuele brief naartoe is gestuurd?
Het adres waar ze woonde toen ze in het ziekenhuis lag, of het adres van de verzekering, of het GBA adres?
Geen idee, in ieder geval niet naar het juiste adres.
26-01-2016, 12:27 door Anoniem
Door Anoniem: Volgens het IT-bedrijf gaat het om een menselijke fout, er is gebruik gemaakt van een onbeveiligde webserver. De server is inmiddels offline gehaald.
Wie mag dan wel die fout gemaakt hebben als het geen menselijke fout is

Patientgegevens worden tegenwoordig gekoppeld via DIGID, en die club heeft strikte regels over uitwisseling.
Hoe kunnen ze ooit deze gegevens op een onbeveiligde server krijgen, die ook nog eens aan internet hangt?
Het heeft daar niets te zoeken.

Ze zouden documenten moeten digitaliseren, waarvoor hebben ze dan een webserver aan internet hangen met gegevens van patienten?
Waar is dat voor nodig?
Wordt er echt ZO erg slecht omgegaan met gegevens?

Als er al gegevens uitgewisseld moeten worden, waarom gebeurt dat niet via een VPN?
26-01-2016, 13:35 door Anoniem
Door Anoniem:

Patientgegevens worden tegenwoordig gekoppeld via DIGID, en die club heeft strikte regels over uitwisseling.
Hoe kunnen ze ooit deze gegevens op een onbeveiligde server krijgen, die ook nog eens aan internet hangt?
Het heeft daar niets te zoeken.

.........

Als er al gegevens uitgewisseld moeten worden, waarom gebeurt dat niet via een VPN?

Achter een firewall met een IP whitelist werkt ook heel goed. Wordt zelfs heel vaak gebruikt. SFTP wordt hier heel vaak voor gebruikt.

Een een (heel lullig) foutje is dan zo gemaakt als je een nieuwe server neer zet.

VPN is een stuk complexer om neer te zetten. Een whitlist werkt dan een stuk gemakkelijker.
26-01-2016, 15:35 door Anoniem
Eenmaal op straat, altijd op straat.
26-01-2016, 17:59 door karma4
Door Anoniem: Die logs lijken me onzin aangezien het via google is gevonden door max (bron:vrouw op de radio van MAX)
Dus dat zijn er al drie. Waar kan ik even controleren of ik op die lijst sta?
Als je ooit Webserver en systeemlogs gezien hebt dan zul moeten erkennen dat die bewering van compleetheid geen onzin is.

Max en de bekende concurrent hebben de persoonsgegevens aantoonbaar in bezit of in bezit gehad. Daarmee zijn zij ook aanspreekbaar op ethisch omgaan met die gegevens. Je zal geen inzicht in de gegevens mogen verwachten. Het zou anders zijn als een Chinees het publiekelijk zou willen maken en om niet te publiceren geld eist.
Als je bij de getroffen instellingen een dienst hebt afgenomen betekent dit niet dat iedereen die ooit daar klant was in dit datalekverhaal als geraakt gezien moet worden. Dat kan je pas weten als je inzicht bij max vraagt. Als die dat echter publiceren schenden ze de privacy regels.


Door Anoniem:
Als er al gegevens uitgewisseld moeten worden, waarom gebeurt dat niet via een VPN?
Ik zou zeggen lees even de achtergronden. Ze hebben van. Digid voor uitbesteed bulk werk is niet van toepassing. Voor uitzonderingssituatieshadden ze die server. Waarom is er een uitzonderingssituatie voor de genoemde gevallen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.