image

Usb-stick met gegevens bijna 2000 patiënten VUmc gestolen

vrijdag 26 mei 2017, 17:25 door Redactie, 35 reacties

Eerder deze maand is er een usb-stick met de gegevens van bijna 2000 patiënten van het VU medisch centrum (VUmc) in Amsterdam gestolen. Op de datadrager, die bij één van de medewerkers van Roche Diagnostics Nederland werd buitgemaakt, stonden identificerende- en laboratoriumgegevens.

Dat heeft het academisch ziekenhuis vandaag bekendgemaakt. Volgens het VUmc zijn de gegevens door een "verkeerde instelling in de apparatuur" bij onderhoudswerkzaamheden door Roche Diagnostics Nederland onbedoeld op de usb-stick terechtgekomen. Van de diefstal is aangifte bij de politie gedaan. Daarnaast is de Autoriteit Persoonsgegevens geïnformeerd. De patiënten van wie de gegevens op de usb-stick staan zijn inmiddels per persoonlijke brief op de hoogte gesteld.

Reacties (35)
26-05-2017, 17:32 door Anoniem
Lekker moeilijk he, je stick even encrypten, misschien wordt het eens tijd dat die mensen op staande voet ontslagen worden.
26-05-2017, 18:47 door Anoniem
Dus (1) het had helemaal niet op de stick moeten komen, (2) niemand heeft dat gemerkt en (3) de stick is gestolen? Hoe weten we dan dat de data erop stonden?
Of (1) het had helemaal niet op de stick moeten komen, (2) men wist dat en heeft er niets aan gedaan en (3) de stick is ook nog eens gestolen?

Kan er wat meer informatie over wat er fout is gegaan komen? Hier leert niemand wat van, behalve dat er kennelijk meermaals dom is gehandeld.

Wat moet je met die excuses?
26-05-2017, 18:57 door [Account Verwijderd] - Bijgewerkt: 26-05-2017, 19:01
[Verwijderd]
26-05-2017, 19:17 door Anoniem
Beetje slap om de apparatuur als schuldige te benoemen. Computers maken geen fouten Mensen daarintegen, maken deze achter elkaar door.
Al zouden de gegevens per abuis op de USB stick terecht zijn gekomen. Dan is dit blijkbaar niet onopgemerkt gebleven. Anders had men bij diefstal van de stick hiervan waarschijnlijk geen aangifte gedaan; de USB stick zelf heeft immers nauwelijks waarde. De medewerker had de gegevens dus ook direct na het overdragen ervan weer kunnen vernietigen.
Het lijkt hoe dan ook meer op een smoes om falend beleid te verzachten.
26-05-2017, 20:42 door Anoniem
Waarom staat privacy gegevens in godsnaam altijd op een USB stick?
26-05-2017, 21:09 door karma4
Hoe je het web of keert de faal zit bij vumc. Zij hebben besloten om werkzaamheden aam roche diagnostics uit te besteden.
Daarbij hoort een gedegen onderzoek VOORAF hoe men met de toegang tot vertrouwelijke data omgaat.
Dat men achteraf dit wel bekend durft te maken is wel positief.
26-05-2017, 21:44 door Anoniem
Door Anoniem: Lekker moeilijk he, je stick even encrypten, misschien wordt het eens tijd dat die mensen op staande voet ontslagen worden.
Stick kan niet encrypted werken. Apparatuur kan daar niet mee over weg.

Deze data had er nooit op mogen staan, daar zit hem het issue. Dat zou de vraag moeten zijn, hoe kan het zijn dat deze data op deze stick kwam?
26-05-2017, 22:08 door Anoniem
Ik ben 1 van die mensen die de brief heeft gekregen en waarvan data dus is gelekt. Baart me best wel zorgen. Wie is wat over me te weten gekomen? Adres? Bsn? Vertrouwelijke medische informatie? Zit ik niet op te wachten...
Hoe weten ze inderdaad achteraf welke info en van wie er is gestolen als dat vooraf bekend was dat het gebeurde?
26-05-2017, 22:16 door Anoniem
Door Anoniem:
Door Anoniem: Lekker moeilijk he, je stick even encrypten, misschien wordt het eens tijd dat die mensen op staande voet ontslagen worden.
Stick kan niet encrypted werken. Apparatuur kan daar niet mee over weg.
Nee, dat klopt niet wat je hier zegt. Als jij een versleutelde stick hebt, dan wordt bij het benaderen van de stick via het systeem deze eerst bij gebruik en na intypen van je wachtwoord de stick ontsleuteld, na afsluiten en verwijderen wordt de stick gewoon weer versleuteld. Verlies je dat ding, dan kunnen ze niet bij de info komen.
26-05-2017, 22:28 door karma4
Door Anoniem:
Door Anoniem: Lekker moeilijk he, je stick even encrypten, misschien wordt het eens tijd dat die mensen op staande voet ontslagen worden.
Stick kan niet encrypted werken. Apparatuur kan daar niet mee over weg.

Deze data had er nooit op mogen staan, daar zit hem het issue. Dat zou de vraag moeten zijn, hoe kan het zijn dat deze data op deze stick kwam?
Mits op de goede plaats geïnstalleerd in het OS van de apparatuur is er geen enkele reden dat de apparatuur er niet mee overweg zou kunnen. 4amrak gaat natuurlijk achter elke fabrikant aan. Ik wacht er op dat hij roche wil gaan aanklagen voor de betreffende faal. Wat voor OS er achter flow of wat anders zit is niet zo relevant.
27-05-2017, 02:59 door Anoniem
....
Stick kan niet encrypted werken. Apparatuur kan daar niet mee over weg.
....

Die bestaan wel degelijk. Koekel maar 's op "encrypted pen drives"
27-05-2017, 06:31 door Anoniem
Door karma4: Hoe je het web of keert de faal zit bij vumc. Zij hebben besloten om werkzaamheden aam roche diagnostics uit te besteden.
Het is geen partij aan wie VUmc diagnostische werkzaamheden uitbesteedt, Roche Diagnostics is een leverancier van laboratoriumapparatuur, een fabrikant van apparaten. Die staan bij VUmc zelf en het ging mis bij onderhoudswerkzaamheden die bij VUmc werden uitgevoerd door de fabrikant.
27-05-2017, 13:06 door Anoniem
Wat weinig mensen weten....
Patiëntgegevens is big business in de inlichtingenwereld. Enu misschien ook bij criminelen, denk aan afpersing of exploitatie van gezondheid.

Een gestolen usb stick is voor de politie iets om hun schouders op te halen (onderzoek, 'ja, haha') en de dader is zelf ingedekt mocht iemand er achter komen.

Tot zover de hacker mindset.
27-05-2017, 13:18 door Anoniem
Door Anoniem:
Door karma4: Hoe je het web of keert de faal zit bij vumc. Zij hebben besloten om werkzaamheden aam roche diagnostics uit te besteden.
Het is geen partij aan wie VUmc diagnostische werkzaamheden uitbesteedt, Roche Diagnostics is een leverancier van laboratoriumapparatuur, een fabrikant van apparaten. Die staan bij VUmc zelf en het ging mis bij onderhoudswerkzaamheden die bij VUmc werden uitgevoerd door de fabrikant.

En kennelijk slaat die apparatuur dus gegevens op in plaats van deze over te hevelen naar een ZIS.
Tsjongejonge...
27-05-2017, 13:38 door [Account Verwijderd]
[Verwijderd]
27-05-2017, 20:43 door karma4
Door 4amrak:
had niet mogen gebeuren, is toch gebeurt, had niet mogen kunnen is toch mogelijk... tja, die theorie en praktij weer he :). btw fabrikant had usb kunnen disablen default in apparaat, beheerder had beter in kunnen richten, gebruiker had beter kunnen denken etc. oh en vergeet de dief niet, als die er niet was dan... tja de gehel kenet dus weer, meerdere faken op meerdere plekken en nu komt die karma, ja ja eenvoudige logica, de fabrikant dus OOK (<-- zie je die benadrukking, ook, betekent dus niet alleen, en gedeeld betekent dus ook niet exclusief) to diffcult i guess.
Iemand met een echte wetenschapsachtergrond had het issue geanalyseerd en dan pas conclusies getrokken.
Wat weten we:
- het is apparatuur van Roche aangeschaft door het ziekenhuis
- Deze apparatuur is goedgekeurd voor medische toepassingen dan kom je langs de FDA en de Nederlandse tegenhanger(s). Daar zijn wetten voor http://wetten.overheid.nl/BWBR0002697/2016-08-01 je komt dan bij https://www.igz.nl/ uit.
- Het onderhoud op apparatuur van Roche is door Roche Diaognostics ofwel de fabrikant zelf uitgevoerd.

Wat kun je nagaan:
- Onderhoudsvoorschriften van Roche apparatuur zijn niet openbaar, mogelijk is er wat concurrentie op de markt maar voor de thuisgebruiker hacker is er drempel voor de gesloten Roche opzet.
- De ICT security is medische apparatuur is ondermaats. Ik kan de keuringseisen van IGZ niet 123 nagaan. Het zou een interessant wetenschappelijke onderzoeksvraag zijn zie b.v. https://www.security.nl/posting/516894/Onderzoekers+vinden+duizenden+lekken+in+pacemakersystemen
- De onderhoudsmonteur van Roche heeft met een USB stick zijn door Roche opgelegd onderhoudsacties uitgevoerd.
Welk merk USB stick gebruikt is van de action Sandisk Toshiba Samsung NXP of wat anders maakt niet uit. Het enige wezenlijke: er is niet geinvesteerd in USB sticks die automatisch encrypten. Ja die bestaan ook. https://nl.hardware.info/reviews/6583/2/encrypted-usb-flashdrive-review-drie-beveiligde-sticks-getest-korte-introductie-kingston-en-integral

Wat voor vragen zou je als wetenschapper moeten stellen:
- Wat is de reden dat het ziekenhuis en/of Roche het te melden als datalek?
Als de dief met een zwijggeld is gekomen dan is er echt data gelekt.
- Waarom heeft het IGZ geen eisen voor de apparatuur m.b.t. cybersecurity als er zoveel mee mis kan gaan?

Je hebt over beheerder, die speelt na de analyse geen rol in dit verhaal.
Je hebt het over de gebruiker, dat is het ziekenhuis als koper van die apparatuur. Die is er van uit gegaan dat de leverancier en IGZ hun taken wel goed gedaan zouden hebben.

4amrak ik zie geen wetenschapper in je. Het ziet er niet zo uit, je gedraag je er niet naar en de smaak van post kloppen niet. Dan zal het met "de eend" vaststellingsprotocol in het hoofd, als eerste conclusie met een statistische betrouwbaarheid wel geen wetenschapper zijn.
Het klopt wel met dat je er enkel op uit bent om 1 merknaam te bashen en ander alternatief op te hemelen als feilloos
Bewijs nu eens degelijk met een goede onderbouwing dat het anders is.
27-05-2017, 21:01 door Anoniem
Door Anoniem: Waarom staat privacy gegevens in godsnaam altijd op een USB stick?
In principe is het veiliger dan computers waar hackers via internet bij kunnen...
Behalve wanneer de USB stick wordt verloren of gestolen natuurlijk.
28-05-2017, 10:13 door [Account Verwijderd] - Bijgewerkt: 28-05-2017, 10:51
[Verwijderd]
28-05-2017, 10:54 door [Account Verwijderd]
[Verwijderd]
28-05-2017, 13:54 door Anoniem
Nieuw ziekenhuis hier was supermodern. Kostte ook wat. Helaas techniek eerst en mensen laatst. (Mortaliteit cijfers in top slechtste van Nederland). Maar wel robots in de kelder. Ondertussen liggen her en der pasjes, blijft men ingelogt , kijken verplegers Netflix etcetera. Ik denk dat zo'n instantie de netwerken fysiek moet scheiden en verder alles segmenteren. Een firewall en ids per afdeling zoals vroeger het geval was.
28-05-2017, 17:05 door karma4
Door 4amrak:
nou ja zeg, is de fabrikant misschien wel een beetje verantwoordelijk hier? jeej welk een conclusie... waarom hier wel en bij een andere fabrikant deze princiepes ineens laten varen dan?
Ik heb de principes niet laten varen en dat is analyseren deduceren en dan meest waarschijnlijke optie naar voren halen. Dat is de wetenschappelijke benadering. Van zoiets ben ik een voorstander. Ik neem het niet waar bij je.

De pseudo wetenschappelijke ofwel evangelistische is: (naampje) is per definitie fout (naampje) is per definitie goed/ heilig.
Daar ben ik een tegenstander van. Dat is het gedrag wat ik waarneem bij je.

Je kan niet een verzinnen waarom de data naar de USB gezet zou zijn in een onderhoudsstap, ik wel.
Als men vermoed iets mogelijk te moeten vervangen dan wel het hele opslagsysteem gaat converteren dan is het gangbaar dat men geen data van de klant wil kwijt maken. Dat betekent een backup naar een apart medium en die dan later weer terug zetten. Het was denk ik goedkoper geweest om dan het opslag medium dubbel uit te voeren als totaal concept.
Dat is echter een kostenpost tijdens het ontwerpproces dat andere overwegingen heeft.

Nu laat je je lekker gaan in het negatieve. Eerder een onderbouwing van een juiste conclusie dan het wat serieus bijdraagt. Betrapte oplichters hebben die zelfde houding het waren altijd die anderen die het foute veroorzaakten.
28-05-2017, 17:41 door Anoniem
- Wat is de reden dat het ziekenhuis en/of Roche het te melden als datalek?
Die reden is al gegeven: er is een USB-stick met onversleutelde gegevens van bijna 2000 patiënten gestolen.
Als de dief met een zwijggeld is gekomen dan is er echt data gelekt.
Nee, wat er gebeurd is sowieso een datalek. Het criterium is niet dat onrechtmatig aangetoond kan worden, het criterium is dat onrechtmatig gebruik redelijkerwijs niet uit te sluiten is.
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf
28-05-2017, 18:32 door Anoniem
Door karma4: Ik kan de keuringseisen van IGZ niet 123 nagaan.
Waarom heeft het IGZ geen eisen voor de apparatuur m.b.t. cybersecurity als er zoveel mee mis kan gaan?
Die citaten komen uit dezelfde rectie. Eerst kan je de keuringseisen niet 123 nagaan en even later hebben ze geen eisen voor cybersecurity. Kon je het tijdens het schrijven opeens wel nagaan of stel je een "onderzoeksvraag" die een aanname bevat die nergens op gebaseerd is? Ga nou niet hoog uit de boom blazen over het gebrekkige wetenschappelijke niveau van een ander als je zelf ook niet bepaald feilloos bent in dat opzicht, da's arrogant. Je kan argumenten ook zonder een "ik weet het beter dan jij"-houding gebruiken, en dat discussieert een heel stuk prettiger en is nog effectiever ook.

Waar vermoed ik (geen wetenschap dus) dat de kern van het probleem zit? In het razendsnelle tempo van technologische ontwikkelingen die voor techneuten al bijna niet bij te benen is en die voor niet-techneuten al helemaal niet te doen is. Dát is in mijn ogen de reden dat we voortdurend achterlopen in goed omgaan met de technische mogelijkheden. En fabrikanten van medische apparatuur lopen achter in inzicht van de risico's van IT die ze erin toepassen. En dat managers en verkopers van alles en nog wat aanzwengelen dat tot rammelende resultaten leidt kan je in allerlei sectoren meemaken, dat is vrijwel universeel.
29-05-2017, 08:17 door Assad Baig
Naaste USB moet encrypted zijn, maar zou ook fijn zijn als alle hoge segment USB standard "Call Home" optie kunnen beschikken, 3G of 4G of gewoon via internet. Dan weet je achteraf wie heeft geprobeerd om in te lezen. Tuurlijk slime mensen kunnen dit makklijk omzeilen, maar het is niet altijd de geval dat gestolem media altijd bij slime mensen terecht komt...
29-05-2017, 10:25 door karma4
Door Anoniem: Die citaten komen uit dezelfde rectie. Eerst kan je de keuringseisen niet 123 nagaan en even later hebben ze geen eisen voor cybersecurity. Kon je het tijdens het schrijven opeens wel nagaan of stel je een "onderzoeksvraag" die een aanname bevat die nergens op gebaseerd is? ..
Het is een door IGZ gekeurd apparaat. Dat is een gegeven.
Daarvoor zijn er een keuringseisen, dat kun je niet ontkennen. Ik heb er geen verwijzingen of links naar kunnen vinden, het hoeft niet publiekelijk openbaar te zijn. Dus de inhoud van die keuringseisen kan ik niet doorlopen.
Wat wel bekend is dat de cybersecurity van medische apparatuur regelmatig het nieuws haalt van open hacks slecht beveiligd. Als er degelijke keuringseisen op dat vlak waren geweest was dat niet gebeurt.

Niets van aannames en het is gewoon gebaseerd op bekende gegevens.
Het razendsnelle tempo van technologische vooruitgang valt ook mee. Het meeste is al tientallen jaren bekend. Je zou kunnen zeggen dat de betrokken mensen niet in staat zijn iets nieuws te leren en we minsten 40 jaar op iets moeten wachten. Dat is wel erg negatief over het lerend effect. Tegenvoorbeeld is de luchtvaart. Ongelofelijk veel veranderingen in een tempo waar de algemene ICT niet aan kant tippen. JA dat BA debacle is triest maar dat schijnt juist in de algemene ICT met DR fall-back etc te maken te hebben.
29-05-2017, 10:57 door Rolfwil
Als ze privacy gevoelige gegevens nu eens niet op zo'n klein stickje zetten, dan zou dat al een hoop ellende voorkomen. Hoe vaak horen we dit soort verhalen niet, het gaat iedere keer mis.
29-05-2017, 11:59 door Anoniem
Door karma4: Het is een door IGZ gekeurd apparaat. Dat is een gegeven.
Daarvoor zijn er een keuringseisen, dat kun je niet ontkennen. Ik heb er geen verwijzingen of links naar kunnen vinden, het hoeft niet publiekelijk openbaar te zijn. Dus de inhoud van die keuringseisen kan ik niet doorlopen.
Wat wel bekend is dat de cybersecurity van medische apparatuur regelmatig het nieuws haalt van open hacks slecht beveiligd. Als er degelijke keuringseisen op dat vlak waren geweest was dat niet gebeurt.
Ik zie de logica, maar je hebt het over een wetenschappelijke benadering. Een wetenschapper snapt dat die verklaring een hypothese is en zal zich niet zo stellig uitlaten als jij. Je hebt nog te onderzoeken of je hypothese klopt, zelfs als je er goede aanwijzingen voor hebt.
29-05-2017, 12:32 door Anoniem
Door Assad Baig: Naaste USB moet encrypted zijn, maar zou ook fijn zijn als alle hoge segment USB standard "Call Home" optie kunnen beschikken, 3G of 4G of gewoon via internet. Dan weet je achteraf wie heeft geprobeerd om in te lezen. Tuurlijk slime mensen kunnen dit makklijk omzeilen, maar het is niet altijd de geval dat gestolem media altijd bij slime mensen terecht komt...

99% van alle USB / Laptop / Desktop diefstallen, zijn gelegenheids diefstallen, en willen/hebben helemaal niets met de data te maken. Snel verkopen is waar het om gaat.
29-05-2017, 15:01 door Anoniem
Door Anoniem:
Door Assad Baig: Naaste USB moet encrypted zijn, maar zou ook fijn zijn als alle hoge segment USB standard "Call Home" optie kunnen beschikken, 3G of 4G of gewoon via internet. Dan weet je achteraf wie heeft geprobeerd om in te lezen. Tuurlijk slime mensen kunnen dit makklijk omzeilen, maar het is niet altijd de geval dat gestolem media altijd bij slime mensen terecht komt...

99% van alle USB / Laptop / Desktop diefstallen, zijn gelegenheids diefstallen, en willen/hebben helemaal niets met de data te maken. Snel verkopen is waar het om gaat.

Wat brengt een gestolen USB stick nou op?
29-05-2017, 15:04 door Anoniem
Door Anoniem: Wat weinig mensen weten....
Patiëntgegevens is big business in de inlichtingenwereld. Enu misschien ook bij criminelen, denk aan afpersing of exploitatie van gezondheid.

Een gestolen usb stick is voor de politie iets om hun schouders op te halen (onderzoek, 'ja, haha') en de dader is zelf ingedekt mocht iemand er achter komen.

Tot zover de hacker mindset.

Interessante visie. Politie neemt dit inderdaad niet serieus, maar het is een raar verhaal, van die data die "per ongeluk" op een USB stick komen en die stick ligt dan in de auto en wordt gestolen. Erg toevallig en niet erg logische manier van werken als je apparatuur onderhoudt. Als op de USB stick alleen software staat dan zou hij schrijfbeveiligd moeten zijn (anders weet je niet of je update wel klopt) en als er logging op gezet wordt tijdens onderhoud dan kijk je daarnaar en dan zie je dat er ineens verkeerde data op is gekomen. En hoezo doet een apparaat dat, die gaan toch niet spontaan data naar USB schrijven.
29-05-2017, 17:05 door karma4
Door Anoniem: Ik zie de logica, maar je hebt het over een wetenschappelijke benadering. Een wetenschapper snapt dat die verklaring een hypothese is en zal zich niet zo stellig uitlaten als jij. Je hebt nog te onderzoeken of je hypothese klopt, zelfs als je er goede aanwijzingen voor hebt.
Mooi dan heb je de eerste stappen gezet.
Heb je de moed en de connecties tijd en budget dan kan nog zien te verifïeren of dat klopt.
Moet dat voor 100% onderbouwd, nou nee. Dat het hoogst waarschijnlijk correct is, is al voldoende.
Die ja/nee zwart-wit benadering komt bij doorgeschoten niet communicerende IT-nerds en andere extremisten voor.

Overigens ken je de vele wetenschappeljjke studies gebaseerd op hypotheses en dan een kleine enquete meting met 95% betrouwbaar als statistisch relevant. Met een kpi tot publiceren en publiek aandacht gaat het naar buiten.
Wetenschappelijke rapporten gaan niet altijd met onderbouwde 100% zekerheid, 95% is de norm. Met een pareto associatie zit je op 80%. Die wordt al gebruikt zonder onderbouwing maar met de aanname van een werkbare hypothese (kan ook 20 zijn). In sociale wetenschap is met aantoonbare minimale verschillen al tevreden.
29-05-2017, 23:48 door [Account Verwijderd] - Bijgewerkt: 30-05-2017, 00:17
[Verwijderd]
29-05-2017, 23:51 door [Account Verwijderd]
[Verwijderd]
30-05-2017, 20:11 door karma4
Door 4amrak:
k zou niet zo hoog van de toren blazen als ik jouw was... voor iemand die niet eens wetenschapplijk geschoold is hebben je uitspraken niet veel inhoud / waarde op dat vlak.
Jij wilde je graag via de macht van wetenschap als beter voordoen. Je bent door het ijs gezakt en laat je aardig kennen. Enig idee wat de filosofie rond mijn avatar inhoudt?
30-05-2017, 21:31 door [Account Verwijderd] - Bijgewerkt: 30-05-2017, 21:37
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.