image

Isala ziekenhuis meldt verlies van 500 patiëntgegevens

vrijdag 7 oktober 2016, 08:25 door Redactie, 17 reacties

Gegevens van zeker 500 patiënten van de afdeling Plastische Chirurgie van het Isala ziekenhuis zijn ontvreemd. Het ziekenhuis dat vestigingen heeft in onder meer Zwolle, Kampen en Heerde, heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.

Volgens het ziekenhuis is een privé-laptop uit de woning van een coassistent gestolen. Op deze computer staat een spreadsheet met gegevens van 504 patiënten van de afdeling Plastische Chirurgie. Het gaat onder meer om patiëntnamen, patiëntnummers, geboortedata en enkele relevante medische gegevens. De laptop is wel voorzien van een wachtwoord. De eigenaar van de laptop heeft aangifte gedaan bij de politie.

De patiënten die op lijst voorkomen zijn volgens het ziekenhuis door middel van een brief op de hoogte gesteld.

In de online toelichting op het datalek zegt Isala het incident ten zeerste te betreuren. Het is volgens het privacy- en informatiebeleid van Isala niet is toegestaan dergelijk informatie op een privé-apparaat te plaatsen. Ze geven aan nader onderzoek te doen om te voorkomen dat dit nogmaals gebeurt en hebben naar eigen zeggen nogmaals het privacy- en informatiebeleid onder de aandacht gebracht van de medewerkers en er met klem op gewezen dat privacygevoelige informatie nooit gedeeld mag worden via privé-apparatuur.

De laptop is nog niet teruggevonden.

Reacties (17)
07-10-2016, 09:27 door Anoniem
datalek gemeld bij de Autoriteit Persoonsgegevens.
Prima, en nu nog even verontschuldiging aanbieden aan gedupeerde en alles is weer goed.
07-10-2016, 09:28 door Anoniem
Wat doen die gegevens bij iemand thuis op de prive laptop ?
07-10-2016, 09:57 door Anoniem
" De laptop is wel voorzien van een wachtwoord. "
Wat? Een Windows wachtwoord? Dat mag wel gespecificeerd worden, want een Windows wachtwoord valt met een bootCD te verwijderen en door het uitlezen van de harddisk met een kabeltje van 20 euro heeft dat wachtwoord ook geen effect meer.

Hoe kon zo'n spreadsheet enigszins op een priveapparaat staan?
07-10-2016, 10:01 door Anoniem
De laptop is wel voorzien van een wachtwoord
Full Disk Encryption or bust.
07-10-2016, 11:13 door Anoniem
Hopelijk gaat de Autoriteit Persoonsgegevens een Boete opleggen! Nieuwe wetgeving is er niet voor niets en wordt dit een signaal dat organisatie hun beveiliging beter op orde gaan brengen. Hier wordt het namelijk eens tijd voor.
07-10-2016, 11:51 door Anoniem
Het zal geen Windows wachtwoord zijn want artsen lopen bijna allemaal met een mac. Mijn ervaring is dat ze totaal niet waarde hechten aan privacy of veiligheid, zo lang het maar op de mac, iPad of iPhone geladen kan worden.
07-10-2016, 12:39 door Anoniem
In de online toelichting op het datalek zegt Isala het incident ten zeerste te betreuren

BETREUREN, verder geen aktie??
07-10-2016, 13:34 door Anoniem
Door Anoniem: " De laptop is wel voorzien van een wachtwoord. "
Wat? Een Windows wachtwoord? Dat mag wel gespecificeerd worden, want een Windows wachtwoord valt met een bootCD te verwijderen en door het uitlezen van de harddisk met een kabeltje van 20 euro heeft dat wachtwoord ook geen effect meer.

Hoe kon zo'n spreadsheet enigszins op een priveapparaat staan?

Tenzij het BitLocker protected is en/of Windows 10 is.
Zo kort door de bocht weer op deze site. Zonde.
07-10-2016, 13:51 door Anoniem
Door Anoniem: Het zal geen Windows wachtwoord zijn want artsen lopen bijna allemaal met een mac. Mijn ervaring is dat ze totaal niet waarde hechten aan privacy of veiligheid, zo lang het maar op de mac, iPad of iPhone geladen kan worden.
(daarrr gaan we weerrrrr: Trollalert!)

Onzinreactie dus,
artsen lopen helemaal niet met eigen computers door een ziekenhuis.
Laat staan met Macs.
Echt niet.
In de ziekenhuizen die ik heb gezien is het Windows voor, Windows na en Windows tussendoor met hier en daar wat specifieke systemen voor specifieke apparatuur (oud!). En heel misschien wel een iMac op de marketing en communicatie afdeling.
In ieder geval, waar je ook kijkt, standaard dikke lelijke zwarte kasten, soms kleine mucjes.
Hoe het ook zij, op al die dell-etc.-meuk-kasten draait men geen Mac OS X, dat is een ding wat zeker is.

Maar dat merk en ook het soort OS doet er eigenlijk helemaal niet toe want voor zowel Windows, Linux als Mac OS X geldt dat als je geen encryptie op een disk, directory of een account toepast, die data er relatief eenvoudig vanaf te halen is.

Gelukkig werkt de standaard markt wat anders.
Kijk maar.
https://www.youtube.com/watch?v=_1azmmtEP_o
De hele uitzending is de moeite waard, vanaf 23:52 komt na de verkoop van 'gevonden' iPhones de 'gevonden' (Mac)laptop aan bod.

Hoewel een aanname, kan ieder weldenkend mens wel vermoeden dat dit soort goederen dus zo snel als mogelijk moet 'doorstromen' om het risico zo laag als mogelijk te houden.
Wat er dan ook zal gebeuren is direct de schijf formatteren, schoon OS erop en zo spoedig als mogelijk doorverkopen of doorschuiven naar een collega verkoper voor de snelle doorverkoop.

Ik durf met zekerheid te stellen dat over het algemeen het zo is dat wanneer een laptop uit een appartement wordt gestolen (want daar gaat het hier om), dat niet is voor de data die erop staat maar voor de vlugge inwissel tegen wat geeltjes als inkomst voor die dief.
Voor de inkopende partij geldt dat tijd is geld is en het uitzoeken doorspitten voor data en daar dan kopers voor vinden kost tijd.
Tijd is geld en ook risico. Data bewaren om uit te zoeken is ook risico.
Het meest efficiënt is dus om zo snel als mogelijk van je waar af te zijn tegen concrete harde contanten.

De kans is dus bijzonder groot dat die laptop inclusief geformatteerde schijf met schoon OS al is doorverkocht.
De kans is vrij klein dat iemand die data heeft zitten doorspitten en er wat mee doet, of dat een koper een uitgebreide recovery poging van een harddisk gaat zitten doen. Datarecovery kost namelijk zeer veel tijd.

Dus los van de hele Os discussie en de niet geziene privé laptops in een ziekenhuisomgeving kan je je misschien wel iets anders afvragen wat duidt op iets alarmerenders.
Stel dat die laptop het ziekenhuis helemaal niet heeft bezocht, hoe komen die data dan op de laptop?

Ik acht de kans veel groter dat dat ziekenhuis de mogelijkheid heeft opengelaten data

- te emailen
- te webmailen
- te versturen met bijvoorbeeld een online service als wetransfer
- of gewoon met een usb stikkie natuurlijk, dat is het makkelijkst
- Gebruik van flashkaarten komt overigens ook voor, artsen maken namelijk ook wel snel foto met compact cameraatjes.
De vraag is dan nog of data van compactflash niet alleen kan worden geüpload maar ook wel kan worden gedownload.

Als het ziekenhuis haar IT policies op orde heeft (had ze dat??), dan hadden die data helemaal niet kunnen gaan zwerven.
Laat je dus niet afleiden door de focus op de (deze keer) schuldige co-assistent maar focus op de infrastructuur die ongelukkig en onbedoeld gebruik heeft toegelaten.

Als je privacy beveiliging werkelijk op orde was geweest had dit niet kunnen gebeuren.

Wat een rampen staan ons straks nog te wachten met al die online portals
Kon je maar weigeren op dit soort functionaliteit; ik wil niet in jullie online portal database!
Als ik er niet in sta kan het ook niet misgaan.
Helaas hebben we die keuze niet, want een dergelijke infrastructuur kost tijd en tijd is geld en ook het ziekenhuis wil geen dief zijn van haar portomonnee.
Op zoek naar een ziekenhuis dat nog geen online portal heeft, en geen workaholic coassistenten.
07-10-2016, 14:16 door Rolfieo
Door Anoniem:
datalek gemeld bij de Autoriteit Persoonsgegevens.
Prima, en nu nog even verontschuldiging aanbieden aan gedupeerde en alles is weer goed.
Als je het artikel even leest op de website van Isala, (er staat zelfs een directe link in het artikel), kun je lezen dat dit al gedaan was.

Door Anoniem: Hopelijk gaat de Autoriteit Persoonsgegevens een Boete opleggen! Nieuwe wetgeving is er niet voor niets en wordt dit een signaal dat organisatie hun beveiliging beter op orde gaan brengen. Hier wordt het namelijk eens tijd voor.
Een boete gaat niet iets oplossen, wat een denkwijze aanpassing moet zijn. Er is/was al een procedure, als die niet gevolgd wordt, dan wordt het wat lastig. Een medewerker moet ook zijn/haar werk kunnen doen.

Door Anoniem: In de online toelichting op het datalek zegt Isala het incident ten zeerste te betreuren

BETREUREN, verder geen aktie??
Uit jouw opmerking is duidelijk af te leiden dat je zelf niet de moeite hebt genomen om de link uit het artikel te openen, en het werkelijke bericht te lezen. Er wordt een onderzoek in gesteld, en afhankelijk van de uitkomst, worden passende maatregelen genomen.


Helaas is het dichtzetten vanuit de ICT niet een oplossen, mede omdat de werknemers dan hun werkzaamheden weer niet kunnen uitvoeren. Op afstand toegang krijgen mag ook weer niet van uit security. Dus eigenlijk is er geen goede mogelijkheid om voor medewerkers hun werk uit te voeren. Hierdoor kunnen dit soort issues ontstaan. De exacte oplossing is altijd lastig, omdat ICT and the business needs hierin conflicteren. Alles dicht zetten is geen oplossing, maar als daarna de procedures niet uitgevoerd wordt, gaat het fout.
07-10-2016, 14:42 door Anoniem
Ik stel voor om de privé data van iedereen 'open source' te maken dan zijn we van dit gedoe af. Blijkbaar vinden medewerkers het tegenwoordig nodig gevoelige data van anderen mee te nemen naar huis. Zou wel eens de reden willen weten.
07-10-2016, 14:45 door Anoniem
Zo'n ziekenhuis kan een dikke gigabit ethernet pijp naar de server krijgen via stichtingen en subsidies voor waar ik net een ADSL lijn krijg... Al die ziekenhuis kneuzen die 'gratis' via de studie omgeving een dikke apple kunnen krijgen/kopen kunnen ook wel een remote desktop sessie openzetten naar hun zero-client omgeving en lekker 24 uur per dag overal ter wereld met internet werken... en nee, nog moet het op een laptop gezet worden die ze ook nog eens uit het oog verliezen...

#1 prive data waar deze niet hoort
#2 prive data op een laptop, prive laptop
#3 laptop niet afdoende beveiligd op softwaregebied
#4 laptop niet beveiligd op hardware gebied (simpel kensington kabeltje van 5 euro)

Hoeveel fouten mogen deze ziekenhuis medewerkers maken voordat ze verplicht met euthenasie naar het mortuarium gestuurd worden?

Ach, het is toch maar van patienten....
07-10-2016, 15:19 door Anoniem
Door Anoniem: Zo'n ziekenhuis kan een dikke gigabit ethernet pijp naar de server krijgen via stichtingen en subsidies voor waar ik net een ADSL lijn krijg... Al die ziekenhuis kneuzen die 'gratis' via de studie omgeving een dikke apple kunnen krijgen/kopen kunnen ook wel een remote desktop sessie openzetten naar hun zero-client omgeving en lekker 24 uur per dag overal ter wereld met internet werken... en nee, nog moet het op een laptop gezet worden die ze ook nog eens uit het oog verliezen...

#1 prive data waar deze niet hoort
#2 prive data op een laptop, prive laptop
#3 laptop niet afdoende beveiligd op softwaregebied
#4 laptop niet beveiligd op hardware gebied (simpel kensington kabeltje van 5 euro)

Hoeveel fouten mogen deze ziekenhuis medewerkers maken voordat ze verplicht met euthenasie naar het mortuarium gestuurd worden?

Ach, het is toch maar van patienten....

Ligt binnenkort toch bij onze zorgverzekeraars
07-10-2016, 15:52 door Anoniem
Door Anoniem:
datalek gemeld bij de Autoriteit Persoonsgegevens.
Prima, en nu nog even verontschuldiging aanbieden aan gedupeerde en alles is weer goed.
Als je het artikel even leest op de website van Isala, (er staat zelfs een directe link in het artikel), kun je lezen dat dit al gedaan was.
Ik heb dit artikel inderdaad niet gelezen op de website van Isala, met dank voor je reactie.
Mijn reactie is tot stand gekomen omdat ik er mij aan erg hoe onzorgvuldig er met gegevens van burgers om
gegaan wordt, en als het dan fout gaat excuses aan bieden en dan is alles is weer goed, en mag de burger het
zelf uitzoeken.
Ik ben er dan ook voor dat er gepaste maatregelen volgen op dit soort incidenten.
08-10-2016, 02:28 door Anoniem
een laptop van een coassistent is gestolen uit diens woning. De coassistent heeft aangifte gedaan bij de politie, omdat het om een privé-laptop gaat. Deze privé-laptop van de coassistent is voorzien van toegangsbeveiliging (wachtwoord). De laptop is nog niet teruggevonden. Mocht ons op enig moment blijken dat de informatie toch door derden is ingezien, dan worden de patiënten daarover geïnformeerd.

Deze stukken tekst geven waarschijnlijk onbedoeld presies aan wat er echt mis gaat bij de mensen die verantwoordelijk behoren om te gaan met andermans persoonsgegevens.

Het feit dat je als verantwoordelijke andermans persoonsgegevens opslaat op welk medium dan ook en dat in een ruimte plaatst waarvan je denkt dat het wel veilig is maakt de opslag niet veilig en je handelen nog niet verantwood.

Het doet er niet toe dat er een wachtwoord op de prive-laptop zit. Er zat waarschijnlijk ook een slot op de deur van de woning. De persoonsgegevens hadden nooit op de prive-laptop geplaats mogen worden. De prive-laptop had met de persoonsgegevens er op nooit in die woning bewaard mogen worden. Al die sloten doen er niet toe.

Wat er toe doet is dat er voor de zoveelste keer is bewezen dat bij functies met een verantwoordelijkheid de personen die de functie vervullen niet in staat zijn om die verantwoordelijkheid te nemen of die niet willen nemen omdat het niet uit komt. Het uitleggen dat iemand een verantwoordelijkheid heeft en wat die behelst is nooit genoeg geweest om voldoende besef van verantwoordelijkheid bij mensen tussen de oren te krijgen. Maar in plaats van dat aan te passen gaat men die verantwoordelijkheid nog een keer communiceren. Dat is geen verantwoord beveiligingsbeleid toepassen, dat is je zelf proberen in te dekken door verantwoordelijkheid af te schuiven.

Zolang er geen negatieve consequenties zijn voor zowel de verantwoordelijke die zeer onverantwoord met persoonsgegevens om ging, de verantwoordelijke voor het beveiligingsbeleid en implementatie zonder te toetsen en de verantwoordelijke voor het aanstellen van deze incapabele personen dan stellen al die verantwoordelijkheid, al dat beleid en de wettelijke verplichtingen niets voor. De beloningen strijkt men gretig op voor al die verantwoordelijkheid die ze elkaar onderling toebedelen. Maar ho maar dat iemand de beloningen af neemt en een boetedoening op legt. Want het is allemaal al heel erg dat er een dagje negatieve publiciteit is en de pr verantwoordelijke er een dagtaak aan heeft om heel open over te komen over iemand die iets fouts heeft gedaan maar iedereen toch ook veel heeft gedaan om verantwoord over te komen.

De Autoriteit Persoonsgegevens is al 10 maanden toezichthouder en krijgt al 10 maandan lang dagelijks 20 meldingen over datalekken binnen. Dat zijn er inmiddels ruim 4000. En volgens de AP worden veel gevallen niet gemeld. Dan hebben we het niet over een paar duizend personen waarvan hun recht op fatsoenlijke bescherming van hun gegevens worden geschonden maar duizenden of veelvouden daarvan. Maar sancties blijven uit, organisaties en personen die de wet niet naleven worden zelfs beschermd. Als overtreder van de wet heb je meer macht over gegevens van slachtoffers en meer bescherming dan alle slachtoffers wiens rechten op fatsoenlijke bescherming worden overtreden. Het is een grote farce.
08-10-2016, 10:07 door karma4
Door Anoniem: ... (knip) ...Laat je dus niet afleiden door de focus op de (deze keer) schuldige co-assistent maar focus op de infrastructuur die ongelukkig en onbedoeld gebruik heeft toegelaten.

Als je privacy beveiliging werkelijk op orde was geweest had dit niet kunnen gebeuren.
... (knip) ... .
en
Door Rolfieo: ... (knip) ...
Helaas is het dichtzetten vanuit de ICT niet een oplossen, mede omdat de werknemers dan hun werkzaamheden weer niet kunnen uitvoeren. Op afstand toegang krijgen mag ook weer niet van uit security. Dus eigenlijk is er geen goede mogelijkheid om voor medewerkers hun werk uit te voeren.
... (knip)....
Ja je kan er een dikke lijn met remote VDI's voor neerzetten als technische benadering.

Het is het terugkerend verhaal dat de ICT niet levert wat de gebruikers nodig hebben dan wel wensen. Je kan een onderscheid tussen die twee maken met bijvoorbeeld een extra laptop (beveiligd en al) van de zaak voor dataonderzoek.
Zo'n VDI wordt door nerds bedacht en neergezet met het idee van eenvoudig secretaresse werk. Zeer beperkte capaciteit b.v. 1 processor 4Gb. Met dataonderzoek heb je heel andere eisen, veel processoren en veel memory (eg R gebruik).
Je zou aan een serveroplossing kunnen denken (Linux) maar dan loop je er tegenaan dat zo'n onderzoeker onvoorspelbaar is en word van alles dichtgezet waardoor hij niets meer kan doen.

Tijd voor verbetering. As ICT met gebruikers meedenken om hun doel te behalen.
Leuk spelen met machines is voor de hobbyist thuis.
10-10-2016, 10:15 door Anoniem
Gek genoeg maken artsen zich wel heel druk over de nieuwe regel dat medische gegevens ingezien mogen worden door de ziektekostenverzekeraars, maar vinden ze het beveiligen van de data die ze zelf beheren, veel minder spannend. Zie ook eens hier, vooral de reactie eronder geeft te denken: https://www.medischcontact.nl/nieuws/laatste-nieuws/artikel/datalek-melden-anders-volgt-dikke-boete.htm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.