image

Gegevens honderdduizenden patiënten bij Google opgeslagen

zondag 31 maart 2019, 08:19 door Redactie, 47 reacties

De gegevens van honderdduizenden Nederlandse patiënten zijn zonder dat die dit weten of hiervoor toestemming hebben geven bij Google opgeslagen. Het gaat om gepseudonimiseerde behandelgegevens die daar worden gehost door Medical Research Data Management (MRDM), een bedrijf uit Deventer dat namens zorgorganisaties, zoals ziekenhuizen, medische data verwerkt.

MRDM ontvangt de behandelgegevens uit de patiëntendossiers die door ziekenhuizen worden bijgehouden. Het gaat soms om wel vijfhonderd gegevens per patiënt, zoals medische complicaties, opnameduur en ingrepen. De gegevens worden naar 22 landelijke registratiebanken doorgestuurd, zo meldt het AD. Via de data kan onder andere worden gezien welke instelling een aandoening het best behandelt. Critici zijn bang dat de gepseudonimiseerde gegevens toch naar patiënten zijn te herleiden.

In een reactie op de eigen website stelt MRDM dat het aan alle wet- en regelgeving voldoet. Volgens het bedrijf is er bewust gekozen voor het Google Cloud Platform op de locatie Eemshaven en is dit in overleg met de koepelorganisaties van de ziekenhuizen gebeurd. "Als grote leverancier van dataopslag, is Google veel beter in staat om hun infrastructuur te beveiligen en te beheren dan een kleinere partij. Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

MRDM laat weten dat het niet verplicht is om toestemming aan patiënten te vragen óf om hen te informeren. Ziekenhuizen zouden dit ook niet hoeven te doen. Verder stelt het bedrijf dat Google zelf geen toegang tot de gegevens heeft en daartoe wettelijk ook niet is bevoegd. "Google kan dus zelf niets met de gegevens doen. De gegevens blijven in Nederland en vallen onder Nederlandse wet- en regelgeving", benadrukt de dataverwerker. Ook Google laat weten dat het de gegevens niet kan inzien of analyseren en dat klanten volledige controle over hun data houden.

Reacties (47)
31-03-2019, 08:28 door [Account Verwijderd]
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)
31-03-2019, 08:41 door Anoniem
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)

Zie hier het basis-probleem als niet ICTers te maken krijgen met iets dat hen persoonlijk kan raken en in een black box verdwijnt (of in ieder geval in een systeem dat ze niet begrijpen).

Maar techneuten hebben altijd al moeite met zich inleven in een ander gehad.
31-03-2019, 08:47 door Anoniem
Door Kapitein Haddock:Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)

Juridisch en technisch kan dat wel het geval zijn.
Maar als genoeg mensen onrustig worden, en politici zich ermee gaan bemoeien (om dat het stemmen trekt of omdat ze zich willen profileren, of omdat ze het echt belangrijk vinden), dan kan MRDM nog steeds aan het kortste eind trekken.
31-03-2019, 08:51 door karma4
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.
Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)

Het meer dan afdoende is een tijdelijk iets. Alleen als de situatie continue op de kwaliteit wordt bijgehouden blijft dat zou.
Best goed om te lezen dat de basis waarop dat gebeurt de NEN 7510 en iec/iso 27001 is. Dan blijft de vraag wat is met de rest van de 27k reeks om te beginnen met de iso 27002, de bia en de pia.
31-03-2019, 08:58 door Anoniem
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)

Uit het AD artikel:

" MRDM uit Deventer ontvangt de behandelinformatie rechtstreeks uit de door ziekenhuizen bijgehouden patiëntendossiers. Per patiënt betreft het soms wel vijfhonderd gegevens: van medicatie en complicaties tot opnameduur en ingrepen. Die miljarden gegevens worden versleuteld (‘gepseudonimiseerd’) doorgestuurd naar 22 landelijke registratiebanken. Zo valt ook exact te monitoren welke instelling een aandoening het best behandelt. "

Speudonimiseren vindt ik toch echt iets anders dan versleutelen.
Als je genoeg details hebt, zou dit herleidbaar kunnen zijn tot een persoon. En uiteindelijk kun je dan het algoritme kraken. (Rekenkracht hebben de overheid van de VS en Google wel)


" Tweede Kamerleden zijn bezorgd, D66 en de SP willen uitleg van het kabinet. D66-Kamerlid Kees Verhoeven: ,,De schimmige onbekendheid is verontrustend.” "

Dit is misschien wel het meest verontrustende.
Als MRDM niet uiteindelijk het onderspit wil delven, zal ze tijdig betrokkenen en politici moeten gaan voorlichten.
Leg uit wat je doet, en waarom het veilig is. In termen die een niet-ITer snapt. Zo nodig in Jip en Janneke taal voor de politici.
En welke garanties er zijn dat de leesbare data niet in handen van onbevoegden valt.

Misschien een beloning uitloven voor een succesvolle hack-poging?
31-03-2019, 09:24 door Anoniem
Door Anoniem:
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)

Uit het AD artikel:

" MRDM uit Deventer ontvangt de behandelinformatie rechtstreeks uit de door ziekenhuizen bijgehouden patiëntendossiers. Per patiënt betreft het soms wel vijfhonderd gegevens: van medicatie en complicaties tot opnameduur en ingrepen. Die miljarden gegevens worden versleuteld (‘gepseudonimiseerd’) doorgestuurd naar 22 landelijke registratiebanken. Zo valt ook exact te monitoren welke instelling een aandoening het best behandelt. "

Speudonimiseren vindt ik toch echt iets anders dan versleutelen.
Als je genoeg details hebt, zou dit herleidbaar kunnen zijn tot een persoon. En uiteindelijk kun je dan het algoritme kraken. (Rekenkracht hebben de overheid van de VS en Google wel)


AD verwart twee zaken. Staat wel in andere media goed vermeld:
- Gegevens worden gepseudonimiseerd EN
- Gegevens worden versleuteld opgeslagen
31-03-2019, 09:38 door [Account Verwijderd]
Door Anoniem: <knip> AD artikel <knip>
Het AD is gewoon slecht geïnformeerd...
31-03-2019, 09:56 door Anoniem
Dit is reeds eerder hier besproken,
ivm de inhoudsloze (volkje zoethouden) rol van de 'Autoriteit Persoonsgegevens'

https://www.security.nl/posting/592454/Autoriteit+Persoonsgegevens+een+ambtelijke+doofpot+constructie
31-03-2019, 09:59 door spatieman
en dan krijg je opeens een ADD voor je kiezen voor je aandoening (in mijn geval, mijn nieren) ,dit product zorgt er voor dat u beter kan plassen..

riekt naar delen van EPD data voor geld, mja,
31-03-2019, 10:19 door Anoniem
Door Kapitein Haddock:
Door Anoniem: <knip> AD artikel <knip>
Het AD is gewoon slecht geïnformeerd...

Kan wel zijn, maar mensen lezen het AD (of de Telegraaf of Facebook), niet het persbericht van het MRDM.

Publieke opinie kan een bedrijf maken of breken.
Dat is de werkelijkheid waar een bedrijf en politici mee te maken hebben.
Niet of het technisch allemaal sluitend is.
31-03-2019, 11:19 door [Account Verwijderd]
Door karma4:
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.
Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)

Het meer dan afdoende is een tijdelijk iets. Alleen als de situatie continue op de kwaliteit wordt bijgehouden blijft dat zou.
Best goed om te lezen dat de basis waarop dat gebeurt de NEN 7510 en iec/iso 27001 is. Dan blijft de vraag wat is met de rest van de 27k reeks om te beginnen met de iso 27002, de bia en de pia.

NEN, ISO, allemaal mooie regels en theorie. Nu de praktische uitvoering nog.
Het ontgaat mij geheel waarom je patiënt data bij Google opslaat terwijl er genoeg andere data centers zijn. Wellicht gaat het goed bij Google maar je weet het maar nooit gezien de reputatie van dit bedrijf, ze verzamelen nu eenmaal graag data.
Hoe gaat MRDM onafhankelijk bij Google auditen?
31-03-2019, 11:20 door Anoniem
Volgens het bedrijf is er bewust gekozen voor het Google Cloud Platform op de locatie Eemshaven en is dit in overleg met de koepelorganisaties van de ziekenhuizen gebeurd.
Exact. Wel in conclaaf met de koepelorganisaties, maar de patiënt vooral niet vooraf informeren.
Dat is niet echt netjes MRDM.
31-03-2019, 11:23 door Anoniem
Door Kapitein Haddock:
Door Anoniem: <knip> AD artikel <knip>
Het AD is gewoon slecht geïnformeerd...
Het feit dat de patiënt van niets weet, vind ik vrij onbeschoft.
Zo behandel je mensen niet.
31-03-2019, 11:25 door Anoniem
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)
Voor u misschien wel, maar dit zou ik als patiënt zeker niet hebben genomen.
In zo'n geval stuur ik een officiële klacht naar de organisatie.
31-03-2019, 11:31 door Anoniem
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)
Je weet niet eens hoe er versleuteld is en dan kom je hier zeggen: Meer dan afdoende?
31-03-2019, 12:08 door Anoniem
Ik heb een aantal vragen..

1.Hoe wordt er versleuteld?
2.Wie precies voert deze Audits uit?
3.Hoe vaak is "regelmatig" m.b.t. deze Audits?
4.Worden deze Audits ook door een onafhankelijke partij uitgevoerd?
5.Waarom weten de patiënten niets van de dataopslag van hun gegevens?
6.Hoe komt het dat ik documenten vind over het MRDM dat van bepaalde incidenten spreekt? Alles was toch veilig?
7.Op de website van de MRDM lees ik:
Voor mensen die het niet vertrouwen zou er eventueel wel een soort opt-out systeem kunnen komen.’
Mag ik daaruit concluderen dat er nog geen opt-out systeem bestaat?

Graag wat meer duidelijkheid MRDM!
31-03-2019, 13:52 door Anoniem
Door spatieman: en dan krijg je opeens een ADD voor je kiezen voor je aandoening (in mijn geval, mijn nieren) ,dit product zorgt er voor dat u beter kan plassen..

riekt naar delen van EPD data voor geld, mja,

Je reactie riekt meer naar, dat jij totaal geen idee hebt hoe een cloud infrastructuur in elkaar zit. Aangezien je totale onzin aan het bedenken bent. Duidelijk geen enkel verstand van wat het verschil tussen google cloud en gmail is.

Door Manjaro Linux:
NEN, ISO, allemaal mooie regels en theorie. Nu de praktische uitvoering nog.
Het ontgaat mij geheel waarom je patiënt data bij Google opslaat terwijl er genoeg andere data centers zijn. Wellicht gaat het goed bij Google maar je weet het maar nooit gezien de reputatie van dit bedrijf, ze verzamelen nu eenmaal graag data.
Hoe gaat MRDM onafhankelijk bij Google auditen?

Er zit een groot verschil tussen google gmail en de google cloud. Het zelfde dat Microsoft ook enorm groot is in de Cloud en AWS. Mega infrastructuren die gewoon goed gebruikt kunnen worden.

AD heeft gewoon een telegraaf achtig artikel geschreven om zieltjes te winnen.
31-03-2019, 15:07 door Anoniem
Behalve dat het het hier gaat om een type bedrijf als datagraaier Google, is er nog iets.
Er is hier niet alleen sprake van nederlandse of europese wet.
Er bestaat ook nog een amerikaanse wet waar amerikaanse bedrijven als Google onder vallen.

Stel iemand van Google draait (per ongeluk) een backup van deze data naar een Google server die in de usa staat,
dan is deze data dus ook toegankelijk voor de amerikaanse overheid.
En we weten allemaal wel: een ongeluk zit in een klein (br)hoekje!
Verder als amerika "welles" zegt en europa "nietes", houdt europa amerika dan werkelijk tegen als het om data surveillance gaat?

Daarbij klinkt "data is encrypted" veilig, maar hoe veilig het in werkelijkheid is, hangt natuurlijk nog van een aantal factoren af.
(zoals: - hoe sterk is het gebruikte wachtwoord, wie kennen het en hoe betrouwbaar zijn deze personen,
- welk type encryptie is er gebruikt, en zou dit eens gekraakt kunnen worden,
- kan het wachtwoord zijn uitgelekt (gehackt) of gaat dit in de toekomst gebeuren)
31-03-2019, 15:28 door Anoniem
Door Anoniem:
Volgens het bedrijf is er bewust gekozen voor het Google Cloud Platform op de locatie Eemshaven en is dit in overleg met de koepelorganisaties van de ziekenhuizen gebeurd.
Exact. Wel in conclaaf met de koepelorganisaties, maar de patiënt vooral niet vooraf informeren.
Dat is niet echt netjes MRDM.

Als MRDM de patiënt zou informeren zou dat betekenen dat zij van ziekenhuizen contactgegevens hebben gekregen van die patiënten én de doelbinding hebben om contact op te nemen, ik kan me niet voorstellen dat dat het geval is. De taak om te informeren ligt dus bij het ziekenhuis.
31-03-2019, 15:41 door Anoniem
Hoe moeilijk of hoe makkelijk moet het zijn voor bepaalde kringen binnen Google om de gepseudonimiseerde data weer terug te koppelen aan de oorspronkelijke datahouders (dus koppelen aan bestaande patienten). De koppeling is gemaskeerd echter nooit weggeweest of echt losgelaten, alleen niet direct zichtbaar voor ieder, die we in het ootje willen nemen. Dat is de grote truuk met gepseudonimiseerde data versus werkelijk anonieme data. Er moet namelijk dik aan te verdienen zijn en dat kan aan een gepseudonimiseerde data wel en aan de data van een totaal anonieme entiteit toch duidelijk iets minder.

Het is wel afhankelijk van je persoonlijke toestemming, wat er met je data gebeurt en daar zit het addertje onder het gras.
Daar wordt dus niet eens naar gevraagd. De patienten wisten niet eens dat ze in de cloud hingen/gingen.

Het is alles afhankelijk wie het maskeren van de data doet en hoe goed dit gebeurt. Dat gepseudonimiseerde data niet kan worden herleid tot de persoon is de grote misvatting. Niet achteraf voor iedereen, maar wel voor je persoonlijke filterbubbel en de commercie (ziekenhuis i.c.m. zorgverzekeraar). Daar gaat de bescherming van je privacy al het raam uit.

Dus de overheid weer bezig voor zichzelf en de interessen van enkelen en niet of eigenlijk nooit voor het algemeen belang.

#sockpuppet
31-03-2019, 15:53 door Anoniem
Bedrijven die reCAPTCHA gebruiken, zoals Medical Research Data Management dus doet, hebben werkelijk helemaal niets van privacy begrepen. (Persoons)gegevens delen met Google moet je niet willen als bedrijf.
31-03-2019, 16:02 door Anoniem
Door Anoniem: Kan wel zijn, maar mensen lezen het AD (of de Telegraaf of Facebook), niet het persbericht van het MRDM.
Kritisch nieuws over MRDM en dan als bron het persbericht van MRDM gebruiken. Wij van wc-eend, adviseren...

Daarnaast als bron iets van persgroep/mediahuis nemen is ook niet bijster slim, die vodjes staan vol fouten (simpel aantoonbaar). Moet allemaal daar snel snel, content lijkt daar steeds meer secundair te worden. Je zult daar maar als journalist werken, dat moet echt pijn doen.
31-03-2019, 17:15 door Anoniem
Door Anoniem: ...
Er is hier niet alleen sprake van nederlandse of europese wet.
Er bestaat ook nog een amerikaanse wet waar amerikaanse bedrijven als Google onder vallen.
...
Dat probleem met die amerikaanse wetten speelt veel breder, maar daar wordt hier in europa weinig rekening mee gehouden, alle waarschuwingen ten spijt. Encryptie kan wat oplossen, maar dan moet je ook erg zorgvuldig met de bijbehorende sleutels omgaan.
Helaas zijn er geen europese cloudproviders die qua techniek, omvang en prijs tegen de amerikanen op kunnen. Bedrijven kiezen daarom voor de amerikaanse oplossingen en dat versterkt het effect weer. Zonder duidelijk (en controleerbare) regelgeving dat data van europeanen binnen europa blijft (ook al kost dat meer) en bij onafhankelijke europese datacenters/bedrijven moet blijven, gaat dat niet opgelost worden.
31-03-2019, 19:50 door Anoniem
Eigenlijk vreemd dat hier alleen stemmingmakerij over datagraaien plaatsvindt en niemand heeft het over de certificeringen van Google en de HIPAA compliancy (mits je dat wel even van te voren afspreekt).
31-03-2019, 21:09 door karma4
Door Manjaro Linux:
NEN, ISO, allemaal mooie regels en theorie. Nu de praktische uitvoering nog.
Het ontgaat mij geheel waarom je patiënt data bij Google opslaat terwijl er genoeg andere data centers zijn. Wellicht gaat het goed bij Google maar je weet het maar nooit gezien de reputatie van dit bedrijf, ze verzamelen nu eenmaal graag data.
Hoe gaat MRDM onafhankelijk bij Google auditen?

Ik heb het artikel van het AD maar eens goed doorgenomen, wat staat er:
- er is sprake van een "klokkenluider" dat betekent dat een intern iemand zijn gelijk probeert te halen via de publieke opinie
Dat is een zeer slecht startpunt voor een onderbouwde serieuze discussie.

- Het gaat om de google locatie Eemshaven dus niet een VS locatie maar gewoon Nederlands.
De meeste datacenters in Nederland zijn in Amerikaanse / buitenlandse handen. Equinix bijvoorbeeld heeft veel voormalige overheidsdatacenters overgenomen. IBM draait de boel bij UWV. Bedrijven stoten de hardware en het OS gedeelte het liefste af (buiten de deur zetten). MRDM is beslist niet de enige.

- Er wordt gezegd dat het AP zelf niet bij de aanbesteding betrokken is. Lijkt me ook logisch je neemt ook niet de politie mee om een auto aan te schaffen. Hier zit vermoedelijk de wrevel van die klokkenluider.

- Het gaat om medische gegevens waarmee de kwaliteit van de handelingen vergeleken / getoetst worden. Dat is een prima zaak. Het is een overheidstaak en met preventieve geneeskunde gaat het om het algemeen belang. Deze verwerkingsgrond is in de GDPR opgenomen. Informeren naar betrokken patiënten is niet aan de orde. Zou dat wel moeten dan moet de belastingdienst gemeentes justitie ook alles aan betrokkenen melden en toestemming vragen. De zaak Anne Faber toont hoe fout dat uit kan uitpakken. Er is een algemeen belang rechtsgrond etc.

- Welk contract is er nu eigenlijk? IAAS PAAS of SAAS cloud services kent vele manieren.
Dat gegeven ontbreekt en dat is best heel slordig van de onderzoekjournalisten.
-> IAAS je neemt de hardware af maar doet de installatie van het os en al het andere zelf
-> PAAS je laat het OS met tools middelware er op zetten en beheren door de dienstverlener. De werkelijke applicatie en data doe je geheel zelf.
-> SAAS je laat de diensteverlener vrijwel alles in jou opdracht verwerken. Hier zul je er niet aan ontkomen dat de verwerker de gegevens ziet, hij doet de feitelijke analyses.

IAAS is eenvoudig ISO27002 te auditten fysieke toegang en wat er gebeurt kan een ieder begrijpen
Er zijn complete hoofdstukken die alleen dit deel beschrijven. Het beste is een regelmatige controle door een onafhankelijke auditor. Gewoon zoals elders dat soort procedures al bestaan.

PAAS wordt lastiger want de administrators rol zit ineens bij de dienstverlener.
Die dienstverlener kan ook een andere zijn dan de IAAS provider. Dan heb je meerdere contracten en aanspreekpunten.

Dan kom je bij de certificeringen en wat die zeggen. Allemaal heel open.
https://cloud.google.com/security/compliance/iso-27017/?hl=nl Het is niet de consumenten of hobby wereld.
Bedenk (om jouw te plagen) het is allemaal open source, wat zou er mis kunnen gaan, Iedereen kan de code zien dus al google zegt dat het goed is moet je niet gaan lopen emmeren dat het niet waar is. Natuurlijk kan er van alles mis gaan.
31-03-2019, 21:51 door Anoniem
Door Manjaro Linux:NEN, ISO, allemaal mooie regels en theorie. Nu de praktische uitvoering nog. [...] Hoe gaat MRDM onafhankelijk bij Google auditen?[/quote]
Wat heb je nu echt aan audits? Die controleren met name of je alles goed beschreven hebt. En zien maar beperkt wat je doet.
Ik heb al meerdere audits en auditors meegemaakt die je zo met een kluitje in het riet kan sturen als je dat wilt.
Geen grondige kennis van IT-zaken. Het zijn vaak juristen, geen ITers. Details ontgaan ze.

Denk aan Diginotar. Die hadden ook al hun audits gehaald.
Op papier wa alles in orde.
Toch ging het mis...
31-03-2019, 23:06 door Anoniem
Wat een zooitje.

Kortom, als je iets te verbergen hebt, of gewoon van je privacy of innerlijke rust wenst te genieten, dan kun je het dus niet meer permitteren om in Nederland ziek of opgenomen te worden. Wat een leuke maatschappij hebben we gekregen.
01-04-2019, 01:20 door Anoniem
@karma4,

Je kunt het allemaal nog zo goed verwoorden en aangeven, dat er niets mis kan gaan.
Google - g*dmode, too big too fail, cannot go wrong....

Dat databreaches geborgd zijn... etc.. Dat dacht men met de Petya aanval bij Maersk op de Maasvlakte ook, destijds.

Hoe komt het nu toch met alle recent insecurity nieuws in het achterhoofd,
dat ik mijn medische data in het kaartenbakje bij mijn specialist toch veiliger vindt als ergens in de cloud?

Ben ik dat nu alleen, dat maar, of zijn er ook nog meer IT-ers die zo denken?

Volop vertrouwen in de IT afdelingen van de grote ziekenhuizen des landes,
maar gezeten op zo'n electro-gasten-trolley van de ene afdeling naar de andere, zeg ik toch,
ik twijfel aan alle beweringen zonder enig voorbehoud,

Hier, zie link hieronder, kregen ze ook de kans om het goed te doen en kijk eens waar het op uitmodde,
een regelrechte plaats in de Magenta website Hall of Shame.

1469 aanbevelingen om de volgende webshop site te verbeteren, vele tips ook security gerelateerd:
https://webhint.io/scanner/8abfceb3-0c68-4eb1-87fa-bc594ec0621b

Bescheidenheid en getemperde verwachtingen zijn een teken van ervaring en wijsheid,

Altijd op z'n Rotterdams gezegd, "op de kleine steentjes blijven lopen", karma4,
dat zijn mijn two eurocents.

luntrus
01-04-2019, 07:20 door [Account Verwijderd]
Door Anoniem:
Door Kapitein Haddock:
Door Anoniem: <knip> AD artikel <knip>
Het AD is gewoon slecht geïnformeerd...

Kan wel zijn, maar mensen lezen het AD (of de Telegraaf of Facebook), niet het persbericht van het MRDM.

Publieke opinie kan een bedrijf maken of breken.
Dat is de werkelijkheid waar een bedrijf en politici mee te maken hebben.
Niet of het technisch allemaal sluitend is.

Dat heet dus fake news en het is schandalig dat een 'kwaliteitskrant' als het AD zich hieraan bevuilt!
01-04-2019, 07:23 door Anoniem
En dan hebben we nog de US Cloud Act. Dat vind ik verontrustender dan Google dat gewoon als commerciële partij optreedt.
01-04-2019, 07:52 door Anoniem
Door Kapitein Haddock:
Door Anoniem:
Door Kapitein Haddock:
Door Anoniem: <knip> AD artikel <knip>
Het AD is gewoon slecht geïnformeerd...
Kan wel zijn, maar mensen lezen het AD (of de Telegraaf of Facebook), niet het persbericht van het MRDM.
Publieke opinie kan een bedrijf maken of breken.
Dat heet dus fake news en het is schandalig dat een 'kwaliteitskrant' als het AD zich hieraan bevuilt!

Of dat het gros van de mensen (incl. journalisten) de technische/juridische oplossing niet meer snappen.
01-04-2019, 08:10 door Anoniem
Krijg je ervan als je bezuinigd.
01-04-2019, 08:36 door Anoniem
Het artikel is zodanig geschreven dat het waarheden bevat maar ook veel onzorgvuldigheden. Zo wordt het onderscheid tussen pseudonymiseren en anonimiseren onvoldoende gemaakt. Daarnaast laat men experts aan het woord die kennelijk ook de details niet weten en op basis van deze twee termen met algemeenheden gaan strooien.

Feit is dat MRDM om medische gegevens beschikt maar niet over patiëntdossiers. Deze gegevens krijgen zij omdat ziekenhuizen hiertoe wettelijke verplicht zijn of er door hun zorgverzekeraar toe gedwongen worden (om aan te tonen dat ze voldoende kwaliteit leveren). Om deze reden hoeft er geen toestemming aan de patiënt gevraagd te worden. Wellicht dat patiënten op grond van het AVG recht op beperking kunnen vragen om deze gegevens niet te verwerken: dit moet dan bij de zorginstelling aangevraagd worden zodat deze de gegevens niet langer aanlevert. Geleverde gegevens kunnen bij de MRDM vernietigd worden.

In de aanlevering aan MRDM vindt pseudonymiseren plaats. Gelet op de veelheid aan data kun je je inderdaad afvragen of dit voldoende is: als je voldoende contactmomenten met een zorginstelling vastlegt zijn deze altijd terug te koppelen naar één patiënt. Dit is een algemeen probleem in de zorg.

Wat MRDM vervolgens doet is de data versleuteld opslaan in de Cloud. Daarbij beheert MRDM de sleutels conform 'best practices' (o.a. key management systeem). Google heeft deze dus niet. Daar staan dus alleen nullen en énen.

Wie zich echt zorgen wil maken kan beter kijken naar de vele andere kwaliteitsregistraties die er in de zorg bestaan, veelal geïnitieerd door medisch specialisten. Vaak zijn de data niet eens gepseudonimiseerd. Deze worden beheerd door Stichtingen. Deze hebben niet het beveiligingsniveau van een Google of Microsoft. Deze gebruiken de data ook voor wetenschappelijk onderzoek, waarbij het niet altijd duidelijk is of er eerst geanonimiseerd wordt dan wel het anonimiseren voldoende effectief gebeurt. Dit gebeurt dan veelal zonder de patiënt adequaat te informeren en/of zonder toestemming waar dit wel wettelijk verplicht is.
Of men hanteert oneigenlijke argumenten om deze toestemming niet te vragen.
Als je pech hebt en als zorginstelling niet goed oplet dan proberen ze ook nog het BSN mee te nemen, terwijl ze wettelijk geen grondslag hebben om deze te verwerken.
Hier kan de Autororiteit Persoonsgegevens beter eens naar gaan kijken. Ze zitten echter met het dilemma dat dit ook gebeurt door heel grote organisaties en het werk dat zij doen inderdaad kan leiden tot verbetering van de kwaliteit van de zorg (behandelingen); daar profiteert de patiënt dan weer van.

Als deze mag kiezen tussen zijn gezondheid of zijn privacy dan kiest deze in de meeste gevallen toch voor zijn gezondheid (mensen die in eerste instantie geen toestemming geven om gegevens te delen komen daar in de praktijk vaak op terug zodra blijkt dat dit hun behandeling ernstig schaadt of ze zelfs niet behandeld kunnen worden).
01-04-2019, 08:52 door Anoniem
Door Anoniem: Ik heb een aantal vragen..

1.Hoe wordt er versleuteld?
2.Wie precies voert deze Audits uit?
3.Hoe vaak is "regelmatig" m.b.t. deze Audits?
4.Worden deze Audits ook door een onafhankelijke partij uitgevoerd?
5.Waarom weten de patiënten niets van de dataopslag van hun gegevens?
6.Hoe komt het dat ik documenten vind over het MRDM dat van bepaalde incidenten spreekt? Alles was toch veilig?
7.Op de website van de MRDM lees ik:
Voor mensen die het niet vertrouwen zou er eventueel wel een soort opt-out systeem kunnen komen.’
Mag ik daaruit concluderen dat er nog geen opt-out systeem bestaat?

Graag wat meer duidelijkheid MRDM!
Veel gaat jouw helemaal niets aan.
Audits.... Bij wie? Google, of MRDM.
Welke incidenten? Bron? En hebben die ook met dit artikel te maken? Of zijn je juist daarom bij een cloud leverancier gegaan?
Graat wat meer duidelijkheid Anoniem. Wa
01-04-2019, 09:01 door Anoniem
Door Anoniem: Hoe moeilijk of hoe makkelijk moet het zijn voor bepaalde kringen binnen Google om de gepseudonimiseerde data weer terug te koppelen aan de oorspronkelijke datahouders (dus koppelen aan bestaande patienten).

#sockpuppet
Ik ben betere posts van je went sockpuppet. Want jij zou toch ook wel moeten weten dat Google cloud heel iets anders is van Google?

Door Anoniem: Behalve dat het het hier gaat om een type bedrijf als datagraaier Google, is er nog iets.
Er is inderdaad nog niets. Dat Google cloud helemaal niets te maken heeft met data draaier Google.

De rest van je post is dus ook niet meer relevant.

Door Anoniem:
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)
Voor u misschien wel, maar dit zou ik als patiënt zeker niet hebben genomen.
In zo'n geval stuur ik een officiële klacht naar de organisatie.
Je kunt natuurlijk altijd een officiële klacht sturen. Laat je meteen zien dat je er geen verstand van hebt, en kunnen ze je klacht meteen afsluiten. Iets met klok en klepel.

Door karma4:
Door Manjaro Linux:
NEN, ISO, allemaal mooie regels en theorie. Nu de praktische uitvoering nog.
Het ontgaat mij geheel waarom je patiënt data bij Google opslaat terwijl er genoeg andere data centers zijn. Wellicht gaat het goed bij Google maar je weet het maar nooit gezien de reputatie van dit bedrijf, ze verzamelen nu eenmaal graag data.
Hoe gaat MRDM onafhankelijk bij Google auditen?

Ik heb het artikel van het AD maar eens goed doorgenomen, wat staat er:
- er is sprake van een "klokkenluider" dat betekent dat een intern iemand zijn gelijk probeert te halen via de publieke opinie
Dat is een zeer slecht startpunt voor een onderbouwde serieuze discussie.
....

Natuurlijk kan er van alles mis gaan.

Ik moet dit keer toegeven Karma4, een perfecte post. En verteld eigenlijk alles precies.

Iemand was het er niet mee eens, maar die persoon heeft duidelijk geen enkel idee waar die zelf mee bezig is. Dat is misschien nog wel het meest beangstigend. Blijkbaar werkt er toch persoon daar, wat niet voldoende IT kennis heeft.
01-04-2019, 09:42 door Anoniem
Er zijn hier dus lieden, die de datagraai discussie niet fundamenteel willen voeren. Of ze maken er beroepshalve deel van uit en willen de consensus niet doorbreken. Elton Musk is beducht voor waar Google heen wil, miljoenen met hem. Niemand wil.het monster temmen. Tot er grote ongelukken gebeuren, ook aan de Eemshaven.
#sockpuppet
01-04-2019, 10:13 door SPer
pseudonimisering is een vorm van encryptie (encrypte kan altijd decrypted worden als de sleutel bekend is )
zie onderstaand van www.considerati.com/nl/kennisbank/anonimiseren-en-pseudonimiseren.html

Er lijkt nogal eens onduidelijkheid te bestaan over de verschillende vormen van privacy enhancing techniques. Encryptie (versleuteling) en pseudonimisering komen op hetzelfde neer. Met de juiste sleutel of aanvullende gegevens kunnen de (persoons)gegevens ontsleuteld en leesbaar gemaakt worden, waardoor herleiden tot individuen weer mogelijk is. Er is hierbij sprake van (de mogelijkheid tot) omkeerbaarheid. Anonimisering daarentegen is onomkeerbaar, waarbij na toepassing ervan herleiden van gegevens tot individuen niet meer mogelijk is. Vormen hiervan zijn randomisatie en generalisatie.

Dus de vraag is wat deze methodiek veilig maakt. Immers de gegevens kunnen decrypted worden.
01-04-2019, 11:30 door Boudivv
Weer een typisch voorbeeld van gestuurd onzin nieuws! De titel is bewust gekozen. "Data honderdduizenden patiënten in stilte naar Google verhuisd". Alsof je ineens kan googlen op patiëntgegevens.
De genoemde privacy expert (Guido van ’t Noordende) heeft duidelijk een eigen belang!
https://www.linkedin.com/in/guido-van-t-noordende-40730319/?originalSubdomain=nl
En de journalist in kwestie heeft blijkbaar niet de capaciteit om te onderzoeken wat de werkelijke implicaties zijn van een ingefluisterd bericht.
Security.nl doet er verstandig aan dit soort bronnen niet klakkeloos te citeren.
Hoeveel data (ook van patiënten) staat bij Microsoft?, Bij IBM?, Bij Amazon? enz?
01-04-2019, 11:50 door Anoniem
@ SPer & karma4

Juist opgemerkt, SPer. Ook jij mag dus niet twijfelen aan de a priori veiligheid van Google cloudopslag pseudonimisering.
Andrea Pfundmeier van Boxcryptor, kom er maar in met je meest recente bugs. Zelf gaf Andrea toe dat haar Boxcryptor niet bestand was tegen de rekenkracht van NSA. 100% security is dus nooit te garanderen. Bij zeer gevoelige medische data is dat niet goed genoeg. Genoeg al gezien van de verwerpelijke gevolgen van doorgezette privatisering, ja zelfs globaal gezien.

Ik herinner me dienaangaande een opmerking van Putin, die op vragen van een IT journalist desgevraagd zei in een video,
dat amerikaanse diensten al overal (kunnen) meekijken. Wie de meeste AI rekenkracht bezit, maakt straks de dienst uit
en zal uiteindelijk het pleit winnen.

Dus met voldoende Langley rekenkracht hoe veilig zijn dan je private data in de USA om uit handen van big commercial third parties te blijven. Wat draait er allemaal aan bad bots in de cloud, zie bijvoorbeeld AliCloud HK abuse.

Van mijn website security ervaring weet ik, dat er erg weinig websites zijn met een top beveiligingsnveau.
Overal zijn er wel beveiligingsaanbevelingen te geven. Moet ik aannemen dat het bij Big Data beter geregeld is.
Dat daar niets rammelt en we iedereen maar op de blauwe oogjes moeten geloven front-end to back-end.;)

Het feit dat zulke besluiten genomen worden over de hoofden van de direct betrokkenen heen,
de datadragers namelijk als private personen (hen werd niets gevraagd) is typerend voor het tijdsgewricht,
waarin we leven. Er wordt voornamelijk voor u gedacht.

Wie vragen stelt is lastig, wie zich bemoeit met de beslissingen van managers en CEO's
en hun uitvoerende "poten" houdt men het liefst van het lijf.

Het lijkt op april 1940. "Gaat u maar rustig slapen, luidde de boodschap van de MP,
terwijl aan de zuidoever van de Nieuwe Maas de kisten met Duitse munitie
bij collaborerende bedrijven reeds klaar stonden.
Mag ik liever argwanend blijven, Once bitten, twice shy.

De antieke Romeinen stuurden altijd meerdere spionnen uit met elk een klein stukje van de geheime boodschap.
Als hun voetjes lichtelijk werden geroosterd, als ze in handen vielen van de vijand of partizanen,
konden ze tenminste maar een klein deel van de geheim te blijven boodschap verliezen.

Das Boot voer ook rond zonder het besef dat de enigma sleutel al lang was gekraakt.
Het kostte menig zeeman echter het leven. Mooie nieuwe serie overigens.

"Confidence in silent insecurity is loud", laat dat vooral eerst eens heel goed tot je doordringen.

#sockpuppet.
01-04-2019, 14:20 door Anoniem
Door Anoniem: Door Manjaro Linux:NEN, ISO, allemaal mooie regels en theorie. Nu de praktische uitvoering nog. [...] Hoe gaat MRDM onafhankelijk bij Google auditen?

Wat heb je nu echt aan audits? Die controleren met name of je alles goed beschreven hebt. En zien maar beperkt wat je doet.
Ik heb al meerdere audits en auditors meegemaakt die je zo met een kluitje in het riet kan sturen als je dat wilt.
Geen grondige kennis van IT-zaken. Het zijn vaak juristen, geen ITers. Details ontgaan ze.

Denk aan Diginotar. Die hadden ook al hun audits gehaald.
Op papier wa alles in orde.
Toch ging het mis...[/quote]
Ik ben IT auditor, en het gros van de IT auditors stuur je echt niet met een kluitje in het riet. Meer dan 30 jaar actief in IT, IT achtergrond, beetje juridische kennis helpt. En nee, ik controleer niet of alles goed beschreven is, maar of de beschrijving wel klopt met wat er daadwerkelijk gebeurt, net zoals het gros van mijn IT audit collega's. Jouw steekproef van n=2 is te klein om een conclusie op te baseren.
01-04-2019, 14:23 door Anoniem
Er schuilt hier een veel groter probleem achter: het gebruik van cloud-providers (IAAS, PAAS, SAAS) in zijn algemeenheid.

Wees nou eerlijk: welke bedrijf ga vandaag de dag nog zelf een datacentrum met bijbehorend 'ijzer' neerzetten en daar zijn spullen op draaien?
Zelf kan je dat nooit zo beschikbaar, integer en vertrouwelijk doen als de grote cloud-providers. Die hebben veel meer schaalgrootte en slagkracht om de beveiliging op orde te brengen.

Erg flauw dat MRDM nu aan de schandpaal wordt genageld.

Laat de wetgever maar een uitspraak doen als: alleen Europese bedrijven en Europese datacentra.
Pas daarna heeft de media een stok om mee te slaan naar bedrijven zoals MRDM. Tot die tijd heeft MRDM volledig gelijk in zijn reactie.
01-04-2019, 18:00 door karma4
Door Anoniem: ...
Bescheidenheid en getemperde verwachtingen zijn een teken van ervaring en wijsheid,

Altijd op z'n Rotterdams gezegd, "op de kleine steentjes blijven lopen", karma4,
dat zijn mijn two eurocents.

luntrus
Luntrus, ik heb niet aangegeven dat het met Google onvoorwaardelijk fout zou moeten gaan omdat ze overal bij kunnen.
Ik heb aangegeven dat het AD artikel met de beweringen gewoon niet kloppen.
Een cloud met IAAS betekent uitbesteding van de veiligheid van de fysieke omgeving. Nadeel grotere afstand met een performance op netwerkverbindingen. PAAS en SAAS verder uit te werken.
Zeker niet passief niets doen en het volledig aan de dienstverlener overlaten.


Door Anoniem: @ SPer & karma4
…..
Confidence in silent insecurity is loud", laat dat vooral eerst eens heel goed tot je doordringen.

#sockpuppet.
Zeker niet passief niets doen en het volledig aan de dienstverlener overlaten, maar ook niet MRDM nu afbranden of een onvolledig verhaal met onvolledige achtergronden. Als we het daar over eens zijn hebben een startpunt voor het bouwen aan een goede ondergrond.
01-04-2019, 19:17 door [Account Verwijderd]
Door Anoniem:
Door Kapitein Haddock:
Gegevens worden ten alle tijden versleuteld opgeslagen en zijn niet toegankelijk voor onbevoegden. Bovendien is Google Cloud Platform volledig gescheiden van de consumentendiensten van Google", aldus MRDM.

Méér dan afdoende! (Wat een gezeur weer; laat jullie niet intimideren MRDM!)

Zie hier het basis-probleem als niet ICTers te maken krijgen met iets dat hen persoonlijk kan raken en in een black box verdwijnt (of in ieder geval in een systeem dat ze niet begrijpen).

Maakt ook niet uit want als MRDM de gegevens versleutelt voordat ze de (Google) cloud in gaan dan maakt het vanaf dat moment niet meer uit.
01-04-2019, 21:27 door Anoniem

Ik ben IT auditor, en het gros van de IT auditors stuur je echt niet met een kluitje in het riet. Meer dan 30 jaar actief in IT, IT achtergrond, beetje juridische kennis helpt. En nee, ik controleer niet of alles goed beschreven is, maar of de beschrijving wel klopt met wat er daadwerkelijk gebeurt, net zoals het gros van mijn IT audit collega's. Jouw steekproef van n=2 is te klein om een conclusie op te baseren.

ha! mijn n>2 en ik wijs je eventjes op:

https://en.wikipedia.org/wiki/Dunning%E2%80%93Kruger_effect
02-04-2019, 12:40 door karma4
Je zou haast denken aan een 1 april grap, het artikel is inderdaad van die datum.
https://www.ad.nl/binnenland/honderdduizenden-patientgegevens-verhuisd-naar-google-kabinet-vraagt-om-onderzoek~afab53a7/

Een minister die gestuurd wordt voor een opdracht die niet bestaat. Nu maar hopen dat hij het door heeft, adequaat reageert.
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf
en antwoord zou kunnen zijn dat het Centrale Nederlandse Security Instituut nader onderzoek gaat doen. Dit omdat het buiten de competenties van het AP valt.
02-04-2019, 15:00 door Anoniem
Dien je dit soort besluiten ook niet te houden tegen ontwikkelingen op het gebied van decryptie?

Op het moment dat de quantum computer echt een rol gaat spelen krijg je toch hele andere verhoudingen.
04-04-2019, 22:15 door Anoniem
Door Anoniem:
Door Kapitein Haddock:
Door Anoniem: <knip> AD artikel <knip>
Het AD is gewoon slecht geïnformeerd...
Het feit dat de patiënt van niets weet, vind ik vrij onbeschoft.
Zo behandel je mensen niet.
Ach, waarschijnlijk ' weet' de patient het 'juridisch gezien' wel. Er zal wel een fors formulier zijn met heel veel kleine lettertjes, waar onderaan getekend moest worden.
Gewoon een formaliteit omdat er anders niet behandeld kon worden. Net zoiets als dat je akkoord moet gaan met cookies en anders niet verder mag. Zoals zo vaak, word je gedwongen akkoord te gaan met iets wat je niet wilt, maar je hebt eigenlijk geen echte keuze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.