image

AMC lekt patiëntgegevens via online afsprakensysteem

woensdag 1 maart 2017, 10:08 door Redactie, 11 reacties

Het Academisch Medisch Centrum in Amsterdam heeft via een online afsprakensysteem van bijna 2400 patiënten de gegevens gelekt. Beveiligingsonderzoeker Nelson Berg ontdekte dat het systeem kwetsbaar was voor SQL-injection, waardoor ingevulde afsprakenformulieren waren in te zien.

De formulieren bevatten naam, geboortedatum, geslacht, e-mailadres, telefoonnummer, adresgegevens, social security nummer, verzekeringsnummer, naam van tandarts en huisarts, omschrijving van de klacht en AMC-nummer van 2385 patiënten die een afspraak met de polikliniek Mondziekten, Kaak- en Aangezichtschirurgie hadden gemaakt. Berg waarschuwde het AMC op 24 februari, waarna het probleem snel werd verholpen. Gisteren werden alle getroffen patiënten ingelicht.

Het AMC laat weten dat de betreffende pagina een zogeheten externe pagina is. "Dat houdt in dat het geen onderdeel is van de AMC-website maar wel direct gelinkt is via onze website", aldus een verklaring van het Centrum. Inmiddels zou van alle externe webpagina’s de veiligheid zijn getest en zijn er geen verdere kwetsbare pagina's aangetroffen.

Reacties (11)
01-03-2017, 10:17 door Anoniem
Wat Nelson Berg over de manier van reageren van AMC schrijft is ook het vermelden waard:
The AMC has dealt with the problem very efficiently, were very kind, and have done absolutely everything in their power to make this right. This is by far the best way I have seen a company/institution deal with a problem so far. They could not have reacted more professionally/effectively.
01-03-2017, 10:27 door buttonius
Het "argument" dat het een "zogeheten externe pagina" was vind ik nogal zwak.
Elke pagina waar online afspraken voor medische behandelingen kunt maken of inzien moet goed beveiligd zijn. Als je zoiets voor een afdeling extern plaatst krijg je er een kwetsbaarheid bij en moet je juist extra alert zijn.
01-03-2017, 10:46 door Anoniem
Door buttonius: Het "argument" dat het een "zogeheten externe pagina" was vind ik nogal zwak.
Elke pagina waar online afspraken voor medische behandelingen kunt maken of inzien moet goed beveiligd zijn. Als je zoiets voor een afdeling extern plaatst krijg je er een kwetsbaarheid bij en moet je juist extra alert zijn.

Helemaal mee eens. De verdediging is een zwaktebod daar het qua verantwoordelijkheid nog steeds oder AMC valt.

Dat zegt ook iets over de manier waarop ze met gegevens omgaan en niet volledig hun verantwoordelijkheid nemen.
01-03-2017, 10:47 door Anoniem
Het AMC laat weten dat de betreffende pagina een zogeheten externe pagina is.
Okay, NIET ALLEEN hebben ze de gegevens gelekt MAAR OOK hebben ze dat een derde partij laten doen.

Dus er is twee keer gelekt, en allebei komen voor rekening van het AMC, maar ze zeggen dus zelf dat twee keer fout samen een keer goed is. Dit is geen handige spin, kinders.
01-03-2017, 11:42 door Anoniem
Ofwel: het AMC was zich niet voldoende bewust van gegevens onder haar beheer. Maar zijn wel verantwoordelijk. In audit termen: ze waren niet in control.

Dit wordt met de komst van de General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) alleen maar duidelijker: vanaf 25 mei 2018 moeten bedrijven aan kunnen tonen dat ze in control zijn, en dat niet alleen zijzelf maar ook al de onderaannemers/leveranciers die voor/namens hen gegevens bewerken die gegevens afdoende beschermd hebben.

De boetes kunnen oplopen tot 4% van de jaaromzet van het hele bedrijf (dus inclusief moeder bedrijf!).

Veel bedrijven denken nog dat ze daar pas volgend jaar wat aan hoeven doen, maar als je per 25 mei van al je leveranciers bewijs beschikbaar moet hebben dat ze voldoen, had je al lang moeten beginnen, want veel partijen hebben hun zaken nog niet aantoonbaar op orde...

Q
01-03-2017, 11:58 door Anoniem
Door Anoniem: Wat Nelson Berg over de manier van reageren van AMC schrijft is ook het vermelden waard:
The AMC has dealt with the problem very efficiently, were very kind, and have done absolutely everything in their power to make this right. This is by far the best way I have seen a company/institution deal with a problem so far. They could not have reacted more professionally/effectively.

Wellicht dat in deze het AMC iets te verwijten valt, voorop staat de professionele en deskundige manier waarop ze met deze 'fout' zijn omgegaan. Dat is waar het uiteindelijk om draait. Fouten maken we allemaal, het gaat om de manier waarop je het vervolgens oplost. Daar kunnen andere organisaties een voorbeeld aan nemen. Voor de volledigheid; ik ben niet verbonden aan het AMC.
01-03-2017, 12:51 door Anoniem
Door buttonius: Het "argument" dat het een "zogeheten externe pagina" was vind ik nogal zwak.
Elke pagina waar online afspraken voor medische behandelingen kunt maken of inzien moet goed beveiligd zijn. Als je zoiets voor een afdeling extern plaatst krijg je er een kwetsbaarheid bij en moet je juist extra alert zijn.
Klopt natuurlijk, maar (grote) instellingen krijgen steeds meer te maken met "Shadow IT" waar diensten buiten de deur afgenomen worden, zonder dat de eigen IT daarvan op de hoogte is. Dan wordt het ook erg lastig om de beveiliging op orde te houden, want het verkeer van van de bezoekers loopt ook volledig buiten de eigen omgeving om.
Dus goede afspraken maken, bv. in de vorm van beleid, sturen op awareness bij de gebruiker (waarom is het belangrijk), enz. enz.
01-03-2017, 12:53 door Rob Koch - Koch Consultancy
[Verwijderd door moderator]
01-03-2017, 16:17 door Anoniem
Sinds wanneer hebben we in nederland een 'social security nummer'? Zijn we weer van het BSN afgestapt? ;-)
02-03-2017, 14:43 door Anoniem
De boetes kunnen oplopen tot 4% van de jaaromzet van het hele bedrijf (dus inclusief moeder bedrijf!).
Dat stuk van inclusief moederbedrijf dat is niet zeker, de EU beraadt zich op een standpunt hierin.
Daarnaast is de 4% (of 20 miljoen) alleen van toepassing bij herhaling...voor de eerste keer is een max. van 10 miljoen of 2% van de omzet.
02-03-2017, 16:18 door Anoniem
Doe eens gek en doe een pentest !

Helaas schiet het in Nederland niet op om rechtszaken aan te spannen en er miljoenen voor te eisen.
Mocht dit succesvol zijn dan wordt er misschien gehoor gegeven om eens te starten met een fatsoenlijke penetratietest.
kost misschien 5.000/10.000 Euro maar kan zo veel gezeur schelen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.