Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Tandartspraktijk krijgt patiëntendatabase niet terug van leverancier

zaterdag 24 november 2018, 10:22 door Redactie, 22 reacties

Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd voor een mogelijk datalek omdat de softwareleverancier die de patiëntendatabase beheerde die niet wil teruggeven nu het contract is beëindigd. De Key Dental Group ontving naar eigen zeggen een bericht van MOGO, een leverancier van elektronische medische dossiers, dat het de database met medische dossiers van de tandartspraktijk niet zal teruggeven.

Dit stond echter wel in de licentieovereenkomst vermeld, aldus de tandartspraktijk. Volgens de Key Dental Group lijkt de beslissing van MOGO dan ook in strijd met de gebruikerslicentie en delen van de Health Insurance Portability and Accountability Act (HIPAA), de Amerikaanse wetgeving voor de gezondheidssector.

De tandartspraktijk stelt dat het niet langer meer de database kan monitoren om te voorkomen dat ongeautoriseerde partijen er toegang toe krijgen. De database bevat namen, adresgegevens, geboortedata, gezondheidsverleden, diagnoses, testuitslagen, behandelinformatie, medicatie, verzekeringsgegevens en in bepaalde gevallen ook social security nummers. Patiënten krijgen dan ook het advies om alert te zijn op identiteitsdiefstal en fraude.

Consumentenbond waarschuwt voor malafide webshops
AP ontvangt 7000 klachten en tips over vermeende privacyschendingen
Reacties (22)
24-11-2018, 10:37 door Anoniem
Dat zou in Nederland natuurlijk echt nooooooit kunnen gebeuren met al die cloud oplossingen. Echt nooit...
24-11-2018, 17:07 door Anoniem
Door Anoniem: Dat zou in Nederland natuurlijk echt nooooooit kunnen gebeuren met al die cloud oplossingen. Echt nooit...

Grappig genoeg staat er in de AVG wel het een en ander over vendor lock in. Dat je dat als verwerker moet vermijden, bijvoorbeeld. Wat logisch is omdat het nogal wat consequenties kan hebben voor de beschikbaarheid van de data, zoals in bovengenoemd voorbeeld.
24-11-2018, 18:15 door Anoniem
Toch maar weer op papier alles bijhouden?
24-11-2018, 19:01 door VilaNova
Ik denk alleen maar aan het elektronisch patiëntendossier.
Club failliet, curator verkoopt het serverpark doodleuk aan de vereniging van zorgverzekeraars. Ook gaf minister Schippers toestemming dat zorgverzekeraars inzage in patiëntendossiers krijgt, en nu dus heeft, om fraude op te sporen. Dus de privacy is er niet meer.
Dank u minister Schippers.
24-11-2018, 22:13 door Anoniem
De eigenaar van persoonsgegevens hoort gewoon de persoon te zijn en blijven waar die gegevens van zijn. Is dat nou zo moeilijk? Zal ik het anders in braille tikken, dat iedereen het beter kan zien?
25-11-2018, 04:31 door Anoniem
Daarom vertrouw ik online boekhoudprogrammas ook niet. Dat is net zoiets.
25-11-2018, 08:33 door karma4
Door VilaNova: Ik denk alleen maar aan het elektronisch patiëntendossier.
Club failliet, curator verkoopt het serverpark doodleuk aan de vereniging van zorgverzekeraars. Ook gaf minister Schippers toestemming dat zorgverzekeraars inzage in patiëntendossiers krijgt, en nu dus heeft, om fraude op te sporen. Dus de privacy is er niet meer.
Dank u minister Schippers.
Een landelijk EPD mocht niet, in dat geval zou er namelijk een zware overheidstaak zijn.
De keus was dat elke zorgleverancier elek ziekenhuis het als ondernemer in de vrije markt moest oplossen.
Dat daarbij niets voorzien is als de ondernemer failliet gaat of anderszins ophoudt te bestaan is het korte termijn denken.
25-11-2018, 09:54 door Briolet - Bijgewerkt: 25-11-2018, 09:56
Ik zou het hele artikel met wantrouwen bekijken. Je hoort nu slechts één kant van het verhaal. De redactie heeft alleen naar het artikel gekeken dat deze tandartspraktijk zelf geschreven heeft. Het is niet eens een journalist die het verhaal van deze praktijk opschrijft.

Misschien is er en onenigheid over de betalingen. Of misschien wil de praktijk de database terug met software om er zelf mee te kunnen werken, i.p.v. een kaal cvs bestand. (of een andere versie van ruwe data)

Zonder twee kanten gehoord te hebben, kun je geen mening vormen over bovenstaande. En verhaal van één kant, bij twee ruziënde partijen, zal altijd heel gekleurd opgeschreven zijn.
25-11-2018, 13:49 door Anoniem
Door Briolet: Ik zou het hele artikel met wantrouwen bekijken. Je hoort nu slechts één kant van het verhaal..
Je slaat de spijker op z'n kop! Vooral in kranten en elektronische media kom je heel vaak de slechts-één-kant-verhalen tegen, en soms ook vooral om de schuld van de andere partij - die geen wederhoor krijgt - groter te maken dan ze in werkelijkheid is. Sommigen hebben het zó bont gemaakt, dat die bij mij op een zwarte lijst zijn komen te staan. Ik lees ze daarom niet meer.
25-11-2018, 18:50 door Eric-Jan H te D
Wat gek dat niemand ooit voor dit soort taferelen heeft gewaarschuwd bij al die data in de cloud of anderszins extern beheerd. … Oh wacht eens, ik zie hier dat dat wel is gebeurt maar er is slechts sporadisch naar geluisterd.

Andere variant is: U wil uw gegevens; dat kan. Hier heeft u de database. Maar daar kan ik niks mee!. Het zijn uw gegevens nu; u zoekt het maar uit. Voor de database software van fabrikant X willen wij u er wel op attent maken dat wanneer u die wilt aanschaffen, u de versie van 4,5 jaar geleden moet hebben. Het kan wat moeilijk zijn om die op dit moment nog te vinden, want fabrikant X is inmiddels helaas failliet en de software werd slechts door enkele gekkies in de wereld gebruikt. Jaja wij zijn zelf ook een gekkie. Bovendien hebben wij aan de database software nog wat stored procedures toegevoegd welke intellectueel van ons zijn en die de inhoud van bepaalde cruciale velden versleutelen. Die kunnen wij u natuurlijk wel in licentie geven, maar daar hangt een stevig prijskaartje aan. Zo stevig dat u uw praktijk misschien beter gelijk kunt sluiten. Goedenmiddag!

Zover de "fictie". Nu de harde realiteit:

Pas nadat ik de eigenaar achter Centis na weken bij zijn nieuwe werkgever had weten op te sporen en hij daar een beetje zenuwachtig van werd, kreeg ik uiteindelijk mijn backup's toegespeeld. Centis was een backup leverancier met, zoals na informeren bij Ahsay bleek, een illegale copy/trial versie van het Ahsay backup programma.
De site zag er goed uit. De backups zouden zelfs fysiek op twee verschillende plaatsen worden gerepliceerd. De contracten zagen er ook professioneel uit. Volgens mij was het uiteindelijk allemaal een bordkartonnen façade.
Ik hoop de backups nooit nodig te hebben. Over een jaar of tien slaap ik pas weer rustig. Dan kunnen de oude backups door de shredder.


Ahsay backup, wordt door diverse partijen in de markt gebruikt om hun backup diensten aan te bieden en is in mijn ogen een mooi product. Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.
26-11-2018, 08:38 door Anoniem
Door Eric-Jan H te A:Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.

Want Microsoft is we te vertrouwen?
26-11-2018, 08:40 door Anoniem
Door Anoniem:Grappig genoeg staat er in de AVG wel het een en ander over vendor lock in. Dat je dat als verwerker moet vermijden, bijvoorbeeld.

Dan zouden alle gemeenten in Nederland een probleem hebben. En de rijksoverheid ook.
Als er ergens sprake is van "vendor lock in" dan is het wel bij gemeenten (Pink, Centric, etc)
26-11-2018, 10:11 door Anoniem
Een landelijk EPD mocht niet, in dat geval zou er namelijk een zware overheidstaak zijn.

LOL. Alsof het feit dat het een zware overheidstaak zou zijn de reden is dat het landelijke EPD niet door ging.
26-11-2018, 10:12 door Anoniem
Want Microsoft is we te vertrouwen?

Onderbouw eens inhoudelijk waarom Microsoft OneDrive *niet* te vertrouwen is, en geef eens 1-2 praktijk voorbeelden ?
26-11-2018, 10:30 door Anoniem
Door Anoniem:
Door Eric-Jan H te A:Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.

Want Microsoft is we te vertrouwen?
Is Microsoft dan niet te vertrouwen? Onedrive heeft een goede uptime, werkt goed, en zakelijk gezien kan Onedrive gewoon bij O365 afnemen, inclusief de SLA afspraken hierover.

Dus of je hebt andere feiten waarop je jouw conclusie kan trekken?

Daarnaast MOGO draait gewoon in Azure.
26-11-2018, 12:37 door Anoniem
Door Anoniem: Dat zou in Nederland natuurlijk echt nooooooit kunnen gebeuren met al die cloud oplossingen. Echt nooit...

Als je je data in de cloud zet via een standaard <X>aaS model, dan ben jij nog steeds verantwoordelijk voor de beveiliging van de gegevens.
Dit is deels geoutsourced and afgedekt via contractuele clausules, maar geen enkele cloud provider voorziet standaard backups. (Bijvoorbeeld voor als een gebruiker belangrijke gegevens verwijderd.)

Jij dient nog steeds een backup van je data te maken, al dan niet via een andere cloud provider.
26-11-2018, 15:23 door Anoniem
De tandartspraktijk stelt dat het niet langer meer de database kan monitoren om te voorkomen dat ongeautoriseerde partijen er toegang toe krijgen.

Haha, dit konden/deden ze vroeger al niet (want de database stond bij de leverancier), en nu nog steeds niet. What changed?
Dat ze moeilijk verantwoordelijk gehouden kunnen worden. Heerlijk toch! Geniet ervan inplaats van smadelijke berichten naar buiten te brengen ;)
27-11-2018, 19:59 door -karma4 - Bijgewerkt: 27-11-2018, 20:02
Door Anoniem:
Door Anoniem:
Door Eric-Jan H te A:Maar ik houd het tegenwoordig bij een locale backup op een andere machine en een replicatie naar Microsoft's Onedrive.

Want Microsoft is we te vertrouwen?
Is Microsoft dan niet te vertrouwen? Onedrive heeft een goede uptime, werkt goed, en zakelijk gezien kan Onedrive gewoon bij O365 afnemen, inclusief de SLA afspraken hierover.

Dus of je hebt andere feiten waarop je jouw conclusie kan trekken?

Daarnaast MOGO draait gewoon in Azure.

Altijd, bij eender welke cloud provider, je gegevens eerst zelf versleutelen en dan pas naar de cloud sturen. Zelf gebruik ik het open source en gratis Restic programma - https://restic.net/.

Te gebruiken voor/met: Local; SFTP; REST Server; Amazon S3; Minio Server; OpenStack Swift; Backblaze B2; Microsoft Azure Blob Storage; Google Cloud Storage; Other Services via rclone; Password prompt on Windows.

Docs: https://restic.readthedocs.io/en/stable/
27-11-2018, 21:57 door Eric-Jan H te D
Als reactie op diverse commentaren:
- Microsoft schopt niet zomaar de stoelpoten onder je Onedrive contract vandaan. Sterker nog als je stopt met betalen kun je nog een tijd je gegevens lezen.
- Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld
- En in het slechtste geval heb ik nog een lokale back-up op een Enterprise grade WD Gold drive die met SMART gemonitord wordt en elke vier jaar door een nieuwe wordt vervangen. (De bron schijf is trouwens van dezelfde kwaliteit)


Voor een kleine praktijk lijkt mij dat afdoende
28-11-2018, 10:20 door -karma4
Door Eric-Jan H te A: - Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld

Natuurlijk? Je moest eens weten voor hoevelen dat helemaal niet zo natuurlijk is.
29-11-2018, 10:13 door Anoniem
Door The FOSS - a free radical:
Door Eric-Jan H te A: - Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld

Natuurlijk? Je moest eens weten voor hoevelen dat helemaal niet zo natuurlijk is.
Je moet ook eens weten, hoeveel met een versleutelde backup, de recovery keys niet meer hebben. En daar kom je altijd achter als je de backup nodig hebt.....

Door voor vele is het, om geen versleuteling te gebruiken.
29-11-2018, 20:20 door -karma4
Door Anoniem:
Door The FOSS - a free radical:
Door Eric-Jan H te A: - Natuurlijk zijn de externe (en ook de interne) back-ups versleuteld

Natuurlijk? Je moest eens weten voor hoevelen dat helemaal niet zo natuurlijk is.
Je moet ook eens weten, hoeveel met een versleutelde backup, de recovery keys niet meer hebben. En daar kom je altijd achter als je de backup nodig hebt.....

Door voor vele is het, om geen versleuteling te gebruiken.

Het is inderdaad veel beter dat persoonlijke gegevens (meestal die van anderen) op straat komen te liggen. Als men persoonlijke gegevens van anderen wil verwerken maar niet in staat is om fatsoenlijke maatregelen te nemen om die te beschermen, dan kan men beter ander werk gaan zoeken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Vacature
Vacature

Digital Forensic Researcher

Netherlands Forensic Institute (NFI)

Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.

Lees meer
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Vacature
Image

IT Security Officer

Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!

Lees meer
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer
Vacature
Vacature

Digital Forensic Researcher Mobile Device Hacking

Netherlands Forensic Institute (NFI)

As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter