Nou, mooi dat ze in de gaten gehouden worden.

als dit soort 'very basic' dingen al niet lukt... Hoe moet het dan gaan met enige vorm van beveiliging? Zelfs het weerbericht hal je tegenwoordig via https binnen.

En ondertussen die electronische patientendossiers maar doordrukken. Want het is goed beveiligd hoor. Echt waar.

Dit geldt voor meer beroepsgroepen. Ook notarissen bijvoorbeeld. Of makelaars (die je paspoort in dropbox zetten).

Moet toch vrij makkelijk automatisch te controleren zijn. Mailtje erachteraan en wekelijks volhouden tot ze hun leven beteren.g

Mijn herhaalrecepten moet ik bij m'n apotheek aanvragen. Door dit artikel werd ik erop attent gemaakt even te controleren hoe die site is: keurig netjes HTTPS!

Het kan dus wél.

Het probleem is bekend en het is schering en inslag: artsen, apothekers, verpleegkundigen en paramedici hebben weinig tot geen benul van informatie en communicatie technologie. Daar hebben ze niet voor doorgeleerd. Zomaar een voorbeeld:

De online Merck Manual van MSD.nl, een van het meest geraadpleegde medische naslagwerken, van Mark H. Beers, MD, Editor-in-Chief, voor artsen en leken geheel gratis in te zien middels een onbeveiligde URL.

The Merck Manual
http://merckmanual.nl/mmhenl/index.html

Dus het dan maar eens met een HTTPS verbinding proberen, en zien wat het resulaat is:

https://merckmanual.nl/

Het resulaat?


Voor de gehele overheid, incl. de semi-overheden bij de gemeenten, en binnen de medische stand, incl paramedici, zou het gebruik van een plaintext HTTP verbinding bij wet verboden moeten worden.

Die gasten hoeven m.i. geen https te gebruiken. Als ik een recept meekrijg is 't toch nooit te ontcijferen.

Beetje simpel om te denken dat https problemen rond medische en persoonsgegevens op een website gaat oplossen...
Die liggen toch veel meer in de sfeer rond authenticatie en exploits van sql injectie in de web omgeving.

Mijn nieuwe tandartsenpraktijk wilde graag dat ik mijn inschrijving online via hun niet SSL-beveiligde webformulier doe. BSN, verzekeringsgegevens, medische historie, alles...

http://www.ivory-ivory.nl/ivory-ivory/inschrijven

Heb mijn aanmelding toen maar met pijn en moeite telefonisch voor elkaar kunnen krijgen. Ik heb nog een poging gedaan om de telefoniste uit te leggen dat het wettelijk niet is toegestaan en ethisch/moreel onverantwoord om zo met persoonsgegevens om te gaan. Dat was als praten tegen een muur.

Afz FB

Ook nu pleit ik voor veel meer wetgeving op IT.
Omdat ik me zomaar kan voorstellen dat notarissen, medici, makelaars, etc gegevens over iedereen op onbeschermde plaatsen bewaren. Die mensen zijn niet onwillig. Ze zijn op dit gebied niet geschoold. Ze moeten daar ook geen tijd in hoeven te steken. Het zijn professionals op hun gebied. Niet op ons IT Security gebied. En dus kunnen ze beter maar geholpen worden. Met IT die aan wettelijke voorwaarden voldoet. Zodat iedereen mee moet doen en er geen concurrentie vervalsing zal plaatsvinden (zoals nu in verkopen van onveilige producten).

Wederom vergelijken met de autobestuurder op de weg.
- Die weet niet (of slechts beperkt) van de wetgeving die over wegen gaat.
- Die weet niet aan welke wettelijke eisen de remmen, veiligheidsgordel, stuurbekrachtiging, etc moet voldoen
- Die weet wel welk gedrag er nodig is om veilig door het verkeer te gaan.

Net als op de weg kunnen ongeschoolde bestuurders /gebruikers van IT voor anderen gevaarlijk zijn en veel schade berokkenen. Ook aan mij, ook aan u.

Https kan zo'n veiligheidsmaatregel zijn
en secure email
en authenticatie van persoon
en authenticatie van IT-dienst
enz, enz.
En vooral ook handhaving!!!

Ik snap de selectieve ophef niet zo

Als een school haar digitale infrastructuur onvoldoende beveiligt hoor je de it-mennekes direct roepen jamaar-jamaar dat is veels te duur!
Alsof huisartsen het geld op de rug groeit!
Nee, niet bepaald.

Maar dat is natuurlijk ook geen reden om het niet te doen, halve maatregelen met als excuus te weinig budget.
Het hoeft niet (totaal) digitaal.
Beter minder digitale functionaliteit als daarmee gegevens wel voldoende beveiligd kunnen worden.
Er zijn ook praktijken die dat allemaal niet doen en dat functioneert ook, of gaat het dan over de mail?
Mail van welke aanbieder?
Nog een probleem.

Maar als je ermee begint alles digitaal te doen dan is de keuze simpel, security by design, hele security vanaf het begin.
En als dat te duur is pak je plan b dat wel betaalbaar is en nog steeds veilig is.
Voor plan x, wel digitaal gaan en niet beveiligen terwijl je ook bewust weet dat het niet veilig is, ja daar mag een represaille op staan.
Gelijke monniken, gelijke kappen, dus huisartsen, apotheken en scholen langs een te vergelijken maatstaf.
'Ja daar had ik geen geld meer voor is achteraf geen excuus'.

Stel het probleem vast geef vervolgens de kans om maatregelen te treffen en ga daarna optreden (budget kan nooit een excuus zijn, dat is bewust jongleren met de privacy van een ander).

Dat klopt.

Het geval van de Merck Manual is echter slechts een van de vele voorbeelden, zo vrees ik. Het spreekwoordelijke topje van de ijsberg. En dan hebben we het nog niet eens over SQL injecties.

We hoorden laatst het verhaal van een huisarts, een jonge knul met net zijn gehaalde bul, met een brakke, slecht beveiligde wifi-router uit het jaar nul. Die oude router stond daar nog, van zijn voorganger die met pensioen was gegaan.

De beste man bleek de guest account van de router onbeveiligd te gebruiken. Dat was wel zo "handig voor zijn patienten in de wachtkamer", zo vond hij. Hij had zelf niet door dat hij er zelf ook op zat te werken.

Een knulletje met een MBO-4 informatica opleiding kwam daar vrij eenvoudig met zijn Android mobieltje achter, bij toeval. De bewuste huisarts was pas overtuigd toen de door hemzelf uitgeschreven recepten uitgeprint werden getoond.

Ik heb mijn apotheek moeten wijzen op het verplichte gebruik van https, keurig netjes met melding wanneer ik de melding zou doen bij de toezichthouder. De aanpassingen waren gedaan voor de deadline (2 weken). :)

Did Merck manual is niet echt relevant. Het zijn openbare gegevens waarna je als je iets denkt te vinden nog goed moet gaan valideren. Alsof je reclameposters moet gaan beveiligen.

Een huisarts zal zelf geen eigen software gaan maken als het goed is. Hij heeft het veel te druk met zijn eigen vak.
De applicatie zal ingekocht worden. Je komt dan bij een aantal ict bedrijfjes uit die de markt bestormen met hun software. Voor het beheer een cloudbenadering want dan hoeft er niets lokaal bij de huisarts gedaan te worden.
Wat leveren die ict werknemers bij dat soort bedrijfjes? Als het de kwaliteit van iot, snel en goedkoop is tja dan kan je wat probleempjes verwachten. Het is de gangbare werkwijze.

Waarom zou niet-privacy-gevoelige, openbare informatie niet via HTTP ontsloten kunnen en mogen worden?