image

Minister laat security zorginstellingen via pentests onderzoeken

donderdag 18 april 2019, 10:51 door Redactie, 5 reacties

Minister De Jonge van Volksgezond zal de digitale veiligheid van zorginstellingen via penetratietests laten onderzoeken. Het gaat om een "thematisch onderzoek", aldus de minister. Een motie waarin de regering werd opgeroepen om dit uit te laten voeren werd tijdens een debat over het datalek bij Bureau Jeugdzorg Utrecht door een meerderheid in de Tweede Kamer aangenomen.

Via het datalek kwamen vertrouwelijke dossiers van duizenden kinderen in handen van onbevoegden. De motie van SP-Kamerlid Hijink verzocht de regering om in samenwerking met brancheorganisaties, cybersecurityexperts en ethische hackers, de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd pentests te laten uitvoeren bij zorgorganisaties in alle zorgsectoren. Op deze manier moet worden onderzocht of zij toegang kunnen krijgen tot medische dossiers, waarbij ingezet wordt op minimaal inzicht in toegankelijk gemaakte medische dossiers.

Minister De Jonge merkte eerst nog op dat het wel moest gaan om een "thematisch onderzoek" naar hoe het staat met gegevensbeveiliging en databeveiliging in de jeugdzorgsector. "Ik ben er niet voor om dat op alle zorginstellingen of alle jeugdzorginstellingen te doen, omdat dat gewoon ook een enorme belasting geeft. Er zijn alleen al 6.000 jeugdzorginstellingen, ook al zitten daar ook kleintjes tussen. Het moet allemaal ook wel een beetje te behappen blijven", aldus de minister.

De Jonge ging er later in het debat mee akkoord dat het onderzoek naar instanties in alle zorgsectoren wordt uitgevoerd. Afhankelijk van de resultaten kan er worden besloten om de inzet van penetratietests onderdeel van de werkwijze van de inspectie te maken. "We bekijken op grond van het thematisch onderzoek of dat iets toevoegt en of het noodzakelijk is", merkte de minister op.

Encryptie

Het datalek bij jeugdzorg ontstond mede doordat e-mails onversleuteld werden verstuurd. De Jonge stelde dat er een e-mail-NEN-norm in ontwikkeling is, die in mei zal verschijnen. "Vanaf dat moment is dat de geldende NEN-norm waar alle instellingen in de zorg zich aan te houden hebben, dus ook de jeugdzorginstellingen", zo liet de minister weten.

De Partij voor de Dieren had de regering eerder al via een aangenomen motie verzocht om te onderzoeken of end-to-endencryptie toepasbaar is voor de bestaande uitwisselingssystemen in de zorg, en tevens in kaart te brengen welke communicatiesystemen in de zorg op dit moment al end-to-endencryptie gebruiken. De minister kon tijdens het debat nog niet zeggen wat de status van het onderzoek is en zal hier later op terugkomen.

Reacties (5)
18-04-2019, 11:15 door Anoniem
Goed initiatief. Een datalek zoals bij Jeugdzorg Utrecht kan daarmee echter niet worden voorkomen, omdat een oude domeinnaam werd 'gekaapt', en daarmee ook alle e-mailadressen van dat domein.
18-04-2019, 12:20 door Anoniem
Even los van het feit of dit de goede maatregel is bij het specifieke geval, lijkt met het uitvoeren van een pentest toch wel het bijna minimale om te doen tegenwoordig... Schijnbaar niet in de zorg? Ondanks alle NEN normen (die dit volgens mij ook voorschrijven als onderdeel van het testen van maatregelen)... Ik neem aan dat er dus toch nog voldoende bestuurders zijn die uit pure kostenoverweging en mogelijk weinig feeling met IT besluiten die Pentesten dus maar over te slaan... Anno 2019.
18-04-2019, 13:52 door karma4
Door Anoniem: Goed initiatief. Een datalek zoals bij Jeugdzorg Utrecht kan daarmee echter niet worden voorkomen, omdat een oude domeinnaam werd 'gekaapt', en daarmee ook alle e-mailadressen van dat domein.
Een pentest is heel wat anders dan falende management met het laten ontstaan van verouderde domeinnamen verouderde systemen. Als je daar wat aan wil doen moet je een management-test hebben. Deze moet dan ook bij politici gedaan worden.

Wat ideeën voor zo'n test:
- digivaardigheid
- nationale AI cursus
- ethische eed aflegging (onder andere: niet liegen)
Vermoed dat er weinig van komt.
18-04-2019, 14:54 door Anoniem
Het gaat om een "thematisch onderzoek", aldus de minister.
Oftewel, er mag iemand z'n CV opleuken met een leuk projectje. Altijd handig om eigenlijk overtollige ambtenaren mee zoet te houden. Of carrieretijgers van het ambtelijke soort. Al naar gelang de gelegenheid.

Pentesten is overigens leuk en aardig, maar "afwezigheid van bewijs is geen bewijs van afwezigheid". Het zou goed zijn als de minister zich dat ook realiseert. We zullen het wel zien, of niet, in de persberichtjes bij de eerstvolgende calamiteit.

"Er zijn alleen al 6.000 jeugdzorginstellingen, ook al zitten daar ook kleintjes tussen."
Dat krijg je met dat jarenlang driest "op afstand zetten".

"Het moet allemaal ook wel een beetje te behappen blijven", aldus de minister.
Dat hadden ze zich mischien wat eerder mogen bedenken. Moeten bedenken. Dat is toch wel van het soort dat je van landsbestuur mag verwachten. Competent landsbestuur, tenminste.
23-04-2019, 10:24 door Anoniem
Wil de eerste pentester nog tegenkomen die zonder een goede overeenkomst met de te onderzoeken organisatie een dergelijke test zal willen doen ....

Eerste versie van de Nen-norm inzake e-mailen in de zorg was onuitvoerbaar: als zorginstelling werd je verantwoordelijk voor onderdelen die buiten jouw invloed liggen (zoals de client die een patiënt gebruikt). Als deze versie niet aanzienlijk verbeterd wordt, zal na fax ook de e-mail uitgefaseerd worden en is communicatie alleen nog mogelijk via portalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.