Via LSP gedeelde patiëntgegevens niet end-to-end versleuteld
Patiëntgegevens die via het Landelijk Schakelpunt (LSP) worden gedeeld zijn niet end-to-end versleuteld, zo heeft minister Bruins voor Medische Zorg en Sport laten weten op vragen van de PvdD en SP. Het LSP is de infrastructuur voor het uitwisselen van vertrouwelijke medische patiëntgegevens.
Tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg stelde PvdD-Kamerlid Teunissen dat de data-uitwisseling tussen zorgverlener en patiënt, of zorgverleners onderling, van begin tot eind versleuteld zou moeten zijn. Het Kamerlid wilde van minister Bruins weten of het mogelijk is dat iemand tussen zorgverlener A en B, bijvoorbeeld de Amerikaanse operationeel beheerder CSC, inzage kan hebben in de medische gegevens van mensen.
Het Kamerlid vertelde dat er "geluiden" zijn dat de Amerikaanse beheerder CSC ertussen zou kunnen zitten. "Dit betekent dat gegevens die bij een zorgverlener liggen, weleens in handen van die beheerder kunnen komen. Dus het is cruciaal dat we weten of er momenteel sprake is van versleuteling. Zo niet, dan stelt mijn fractie voor om de NEN-normen aan te scherpen, zodat dit wel het geval is. Ik zou toch graag willen weten - misschien kan dit niet nu - of er sprake is van versleuteling", aldus Teunissen.
Ook werd de minister gevraagd of hij kon bevestigen dat medische gegevens met het LSP niet van zorgverlener tot zorgverlener versleuteld zijn. "Is hij bereid de NEN-normen die de veiligheid van gegevensuitwisseling moeten regelen op dit punt aan te scherpen?", aldus de vraag van het PvdD-Kamerlid. De minister laat nu weten dat er inderdaad geen end-to-end-encryptie wordt toegepast.
"Versleuteling is niet end-to-end, maar op de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor. Er zijn meerdere manieren om tot een sterke beveiliging te komen. De norm biedt die ruimte. De veiligheid is nu gewaarborgd via alle benodigde aanvullende maatregelen", aldus Bruins (pdf). Wel zal de minister het Nederlands Normalisatie Instituut (NEN) vragen of het nodig is om de normen hierover aan te passen.
Je verwacht het niet he?
Helemaal mee eens. Maar dit geldt ook voor wettelijke normen voor bijvoorbeeld vervuiling. "We voldoen aan de wet/norm" hoor je dan. En daar mee zijn we goed bezig.
Dus niet per definitie, wie zegt dat de norm goed is en nog van deze tijd ook?
Beter dan de norm, wat voor norm dan ook. gaat dus noooooooit gebeuren.
Hier worden versleutelde verbindingen en versleutelde inhoud door elkaar gehaald: versleutelde verbindingen verhinderen geen bewerken van inhoud (dan zou ik bijvoorbeeld niet eens dit commentaar kunnen invoeren want mijn browser praat HTTPS met security.nl). Versleutelde inhoud moet inderdaad ontsleuteld worden voordat het bewerkt (of samengevoegd, of zichtbaar gemaakt) kan worden.
Van de 3 voornaamste plekken waar je kunt versleutelen (connectie, content of disk) bestaat er gerede twijfel bij mevrouw Teunissen (en bij mij) over de *connectie*.
Hier worden versleutelde verbindingen en versleutelde inhoud door elkaar gehaald: versleutelde verbindingen verhinderen geen bewerken van inhoud (dan zou ik bijvoorbeeld niet eens dit commentaar kunnen invoeren want mijn browser praat HTTPS met security.nl). Versleutelde inhoud moet inderdaad ontsleuteld worden voordat het bewerkt (of samengevoegd, of zichtbaar gemaakt) kan worden.
Van de 3 voornaamste plekken waar je kunt versleutelen (connectie, content of disk) bestaat er gerede twijfel bij mevrouw Teunissen (en bij mij) over de *connectie*.
Faxen hangen tegenwoordig ook aan het IoT, ik zou er niet op rekenen. Ook niet op het briefgeheim. En wat boeit het nog?
Faxen hangen tegenwoordig ook aan het IoT, ik zou er niet op rekenen.
https://media.ccc.de/v/35c3-9462-what_the_fax
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technisch Consultant Cyber Security
Zijn ontwerpen en implementaties op het gebied van next-gen firewalls, IPS, DLP, antivirus, antispam en WAF producten dagelijkse kost voor jou? Dan heeft Axians de uitdaging van je leven en dit bij de meest toonaangevende opdrachtgevers.
Challenge Developer
Wil je werken bij het beste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Een Certified Secure challenge developer is een coder, een échte. Je snapt dat syntax niet het probleem is en dat de uitdaging van coding ligt in het zoeken naar de meest efficiënte oplossing en het cleanste design.