Via LSP gedeelde patiëntgegevens niet end-to-end versleuteld
Patiëntgegevens die via het Landelijk Schakelpunt (LSP) worden gedeeld zijn niet end-to-end versleuteld, zo heeft minister Bruins voor Medische Zorg en Sport laten weten op vragen van de PvdD en SP. Het LSP is de infrastructuur voor het uitwisselen van vertrouwelijke medische patiëntgegevens.
Tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg stelde PvdD-Kamerlid Teunissen dat de data-uitwisseling tussen zorgverlener en patiënt, of zorgverleners onderling, van begin tot eind versleuteld zou moeten zijn. Het Kamerlid wilde van minister Bruins weten of het mogelijk is dat iemand tussen zorgverlener A en B, bijvoorbeeld de Amerikaanse operationeel beheerder CSC, inzage kan hebben in de medische gegevens van mensen.
Het Kamerlid vertelde dat er "geluiden" zijn dat de Amerikaanse beheerder CSC ertussen zou kunnen zitten. "Dit betekent dat gegevens die bij een zorgverlener liggen, weleens in handen van die beheerder kunnen komen. Dus het is cruciaal dat we weten of er momenteel sprake is van versleuteling. Zo niet, dan stelt mijn fractie voor om de NEN-normen aan te scherpen, zodat dit wel het geval is. Ik zou toch graag willen weten - misschien kan dit niet nu - of er sprake is van versleuteling", aldus Teunissen.
Ook werd de minister gevraagd of hij kon bevestigen dat medische gegevens met het LSP niet van zorgverlener tot zorgverlener versleuteld zijn. "Is hij bereid de NEN-normen die de veiligheid van gegevensuitwisseling moeten regelen op dit punt aan te scherpen?", aldus de vraag van het PvdD-Kamerlid. De minister laat nu weten dat er inderdaad geen end-to-end-encryptie wordt toegepast.
"Versleuteling is niet end-to-end, maar op de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor. Er zijn meerdere manieren om tot een sterke beveiliging te komen. De norm biedt die ruimte. De veiligheid is nu gewaarborgd via alle benodigde aanvullende maatregelen", aldus Bruins (pdf). Wel zal de minister het Nederlands Normalisatie Instituut (NEN) vragen of het nodig is om de normen hierover aan te passen.
Je verwacht het niet he?
Helemaal mee eens. Maar dit geldt ook voor wettelijke normen voor bijvoorbeeld vervuiling. "We voldoen aan de wet/norm" hoor je dan. En daar mee zijn we goed bezig.
Dus niet per definitie, wie zegt dat de norm goed is en nog van deze tijd ook?
Beter dan de norm, wat voor norm dan ook. gaat dus noooooooit gebeuren.
Hier worden versleutelde verbindingen en versleutelde inhoud door elkaar gehaald: versleutelde verbindingen verhinderen geen bewerken van inhoud (dan zou ik bijvoorbeeld niet eens dit commentaar kunnen invoeren want mijn browser praat HTTPS met security.nl). Versleutelde inhoud moet inderdaad ontsleuteld worden voordat het bewerkt (of samengevoegd, of zichtbaar gemaakt) kan worden.
Van de 3 voornaamste plekken waar je kunt versleutelen (connectie, content of disk) bestaat er gerede twijfel bij mevrouw Teunissen (en bij mij) over de *connectie*.
Hier worden versleutelde verbindingen en versleutelde inhoud door elkaar gehaald: versleutelde verbindingen verhinderen geen bewerken van inhoud (dan zou ik bijvoorbeeld niet eens dit commentaar kunnen invoeren want mijn browser praat HTTPS met security.nl). Versleutelde inhoud moet inderdaad ontsleuteld worden voordat het bewerkt (of samengevoegd, of zichtbaar gemaakt) kan worden.
Van de 3 voornaamste plekken waar je kunt versleutelen (connectie, content of disk) bestaat er gerede twijfel bij mevrouw Teunissen (en bij mij) over de *connectie*.
Faxen hangen tegenwoordig ook aan het IoT, ik zou er niet op rekenen. Ook niet op het briefgeheim. En wat boeit het nog?
Faxen hangen tegenwoordig ook aan het IoT, ik zou er niet op rekenen.
https://media.ccc.de/v/35c3-9462-what_the_fax
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Forensisch software-engineer
Nederlands Forensisch Instituut
Bij het team Forensische Software-engineering ontwikkel jij diverse complexe applicaties, die binnen en buiten het NFI gebruikt worden voor opsporing en bewijsvoering. Jij werkt mee aan het uitwerken en beschikbaar maken van nieuwe forensische analysetechnieken op het gebied van datarecovery, data-analyse, DNA, chemische analyses, (kogel)krassporen, verkeersongevallen, cryptografie, exploits en statistiek.
Netwerkengineer
Nederlands Forensisch Instituut
Van het kraken van versleuteld telefoonverkeer van criminelen en DNA-onderzoek in een geruchtmakende moordzaak, tot het onderzoeken van wapens en munitie die gevonden zijn op een plaats delict: het werk van het NFI doet ertoe. Als netwerkengineer heb jij hierin een belangrijk aandeel. Met jouw passie voor ICT en een bovengemiddeld bewustzijn van het begrip security, zorg jij voor een optimaal functionerend en veilig netwerk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?