image

HagaZiekenhuis beboet voor slechte beveiliging medische dossiers

dinsdag 16 juli 2019, 10:54 door Redactie, 41 reacties
Laatst bijgewerkt: 16-07-2019, 12:37

De Autoriteit Persoonsgegevens heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd voor het slecht beveiligen van de medische dossiers van patiënten, waarmee het de Algemene verordening gegevensbescherming (AVG) heeft overtreden. Daarnaast is er een last onder dwangsom opgelegd om de beveiliging voor 2 oktober van dit jaar op orde te hebben. Anders moet het ziekenhuis maximaal 300.000 euro betalen. Het ziekenhuis heeft aangegeven maatregelen te zullen nemen.

Het HagaZiekenhuis kwam vorig jaar in het nieuws dat 85 medewerkers onrechtmatig het dossier van Samantha de Jong, beter bekend als Barbie, hadden ingezien. Zij hadden geen behandel- of zorgrelatie met De Jong, maar bekeken toch het dossier. De medewerkers kregen een officiële waarschuwing. Voor allen was dit de eerste waarschuwing. Bij een volgende overtreding volgt direct ontslag op staande voet.

Naar aanleiding van het incident stelde de Autoriteit Persoonsgegevens een onderzoek in. Daaruit bleek dat de beveiliging van patiëntendossiers op twee punten te kort schiet. Het ziekenhuis controleert niet regelmatig genoeg welke medewerkers welk dossiers hebben ingezien. Daarnaast moet het ziekenhuis het authenticeren van gebruikers die toegang tot een medisch dossier willen beter regelen. Het ziekenhuis moet deze maatregelen voor 2 oktober 2019 hebben doorgevoerd, anders moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro.

Het HagaZiekenhuis geeft aan maatregelen te zullen nemen. Op dit moment loggen medewerkers in met een gebruikersnaam en wachtwoord of met hun persoonlijke personeelspas en pincode. Die pincode moet nu al elke vier uur opnieuw worden ingetikt. De authenticatie wordt nu zo aangepast dat medewerkers bij elke inlog ook hun persoonlijke pincode moeten intikken en het niet meer mogelijk is om zonder pas in te loggen. De eerste aanpassingen zijn al doorgevoerd.

Daarnaast gaat het ziekenhuis vaker controleren en zal de privacytoezichthouder vragen hoeveel controles afdoende zijn om het vereiste stempel 'systematisch te krijgen. Wet- en regelgeving geven nu geen uitsluitsel over het gewenste aantal controles per jaar, zo stelt het ziekenhuis. "De AP eist ook dat we meer controles van de logging gaan uitvoeren. Dat doen we tot nu toe handmatig en dat is tijdrovend. Daar zoeken we nu slimme software voor om het sneller en vaker te kunnen doen", zegt Haga-directievoorzitter Carla van de Wiel.

De Autoriteit Persoonsgegevens vindt het een kwalijke zaak dat het ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. "Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent", zegt Aleid Wolfsen, voorzitter van de AP. Van de Wiel vindt het zuur dat het opgelegde boetebedrag niet aan patiëntenzorg kan worden besteed. Het ziekenhuis kan nog beroep tegen de boete aantekenen.

Reacties (41)
16-07-2019, 11:36 door Anoniem
Voor mijn gevoel halen Haga ziekenhuis, en gedeeltelijk ook AP, authenticatie en autorisatie door elkaar. Voor mijn gevoel zit het knelpunt in de autorisatie, in het Need-to-Know principe (er voor zorgen dat personeel bij de (gedeelten van) de dossiers kan die ze ook daadwerkelijk nodig hebben voor de behandeling dan wel de zorg, maar dan ook alleen die). Dat moet haast kunnen, medische instanties houden sowieso van moment tot moment bij wie een bepaalde persoon behandelt en waarvoor. De dossiers hebben dus in hun eigen informatie wat er nodig is om tot een goede, levende, autorisatiematrix te komen. Een zekere mate van fraude blijft mogelijk, maar dat is al een hele verbetering.

De authenticatie lijkt niet zozeer gefaald te hebben. Een dergelijke pas heeft gewoonlijk een private key en certificaat, een sterke authenticatie. Je kan met een gecachede PIN nog steeds heel behoorlijk vaststellen wie bij een bepaald dossier is geweest.

Wel kan je vraagtekens stellen bij de audit als 85 medewerkers (blijkbaar over een langer tijdsbestek) kans zien gegevens waarvoor ze ten onrechte geautoriseerd zijn in te zien en niemand het merkt. Het is een veeg teken dat men bezig is te hakketakken over het aantal controles per jaar. Dat betekent dat als je een probleem hebt, dat je er blijkbaar ongeveer een kwartaal of nog later achter komt. Dat is wel heel lang... Wat dacht je van dagelijks? Of nog beter, detectie in real time (als je dan toch een goed autorisatiesysteem opzet, is het waarschuwen voor overschrijdingen en mismatches functionaliteit die in een logisch verlengde ligt)?

Tegelijk zitten we, autorisatie of authenticatie, nog steeds met een overtreding van artikel 32 AVG (beveiliging) en het beginsel van integriteit en vertrouwelijkheid (artikel 5 lid 1f). Mijn kritiek is eerder op het geven van misschien op technische gronden onjuiste aanwijzingen. Voor mijn gevoel kan de situatie ontstaan dat Haga de aanwijzingen netjes opvolgt en dan de beveiliging nog steeds niet op orde heeft, en dat kan niet de bedoeling zijn.

Met betrekking tot dat mevrouw Van der Wiel het zuur vindt dat het opgelegde boetebedrag niet aan patiëntenzorg kan worden besteed. Ja eens, maar die verantwoordelijkheid ligt bij haar. Dat had ze misschien kunnen bedenken voordat ze toeliet dat de beveiliging niet op orde is...

Tot slot is het jammer dat het persbericht niet verder ingaat op de verzwarende of verzachtende omstandigheden conform artikel 83. Dat zou voor analyse interessant zijn geweest.
16-07-2019, 11:44 door Anoniem
Hoofdelijke aansprakelijkheid zou een beter middel zijn.
16-07-2019, 11:51 door Anoniem
Het Haga kan beter ook flink wat aan de cultuur doen. Medisch personeel, overal, gaat heel slordig om met persoons- en medische gegevens tenzij je als patiënt of familielid iets vraagt, dan is er ineens een Godzilla van een medisch beroepsgeheim in de kamer.
Doordring alle personeel ervan dat het niet normaal is dat ze alles van elke patiënt ooit mogen weten, delen, er hardop over praten aan de telefoon of met elkaar waar anderen mee kunnen luisteren etc.

Dus niet alle telefoongesprekken met patiënten hardop doen en pas de deur dichttrekken als er een persoonlijk gesprek tussen twee personeelsleden plaatsvindt, zoals ik een keer meemaakte (goh, dus jullie weten dat er iemand mee luistert maar het boeit jullie pas als er even lekker geroddeld moet worden).

Ik ben gelukkig zelden patiënt maar bij elk contact met een medische instelling zie ik zaken die qua privacy beter kunnen - en dat is altijd een mentaliteitsprobleem, nooit een technisch issue.
16-07-2019, 12:20 door Anoniem
Dus dat zijn de dossiers van een ziekenhuis waard... 460k. Een schijntje!
16-07-2019, 12:27 door Anoniem
Nul effect dit.
Net zoals boetens uitgeven aan de politie.
Dat geld zal ergens vandaan komen,. en rara wie dat gaat betalen,. de verzekering, de staat, dus de burgers,.

Geldboetes hebben geen effect in dit geval.
Verlaag subsidies, ondersteuning, leg regels op die nageleefd moeten worden,. of sluit die bende.
16-07-2019, 12:33 door Anoniem
Vroeger had je een papieren archief en iemand die bijhield wie er allemaal in het archief wilde. Het totale gemak van een electronisch dossier op je scherm toveren en het gebrek aan iemand moeten aanspreken om bij een dossier te komen maakt het een stuk lastiger voor sommigen om met hun tengels af te blijven van dossiers waar ze niets in te snuffelen hebben.

Dat kost nu dus viereneenhalve ton. Daar kun je toch zo'n archiefbeheerder een paar jaartjes van betalen.
16-07-2019, 12:51 door Anoniem
Blijkens andere sites gaat het bij authenticatie om het niet toepassen van 2FA. De AVG stelt dat je tot passende maatregelen moet komen door toepassing van risicoanalyse en kosten-batenanalyse. Feitelijk stelt ook NEN-7510 hetzelfde (dan nog eens in combinatie met de PDCA-cyclus).
Wat je hier ziet is dat NEN-7510 deel 2 zogenaamde zorgspecifieke maatregelen kent in aanvulling op de systematiek van ISO-27002. Daarin staat hard de eis van 2FA genoemd. Daarmee laat je dus min of meer het basis principe los om op basis van risicoanalyse de mogelijke beheersingsmaatregelen te kiezen die invulling geven aan de hogere beveiligingsdoelstelling. De mogelijke maatregel wordt nu de (keiharde) norm. [De zorg hangt zichzelf dan op door dit zo vast te leggen.]

Hiermee vervalt de AP in dezelfde fout als haar voorgangers. Destijds was er AV-21 als aanvullende beveiligingsrichtlijn op de Wbp. Daar stond bijvoorbeeld in dat je voor kritieke gegevens maximaal 3 foutieve inlogpogingen mocht toestaan. Wellicht verstandig als wachtwoorden je enige authenticatiemiddel zijn. Ik heb toen echter ervaren dat een organisatie die 2FA toepaste (hardwaretokens met wachtwoord) niet door een audit op basis van AV-21 kwam omdat ze genoemde instelling op 5 hadden staan).

Dit laat onverlet dat dat er geen passende invulling is gegeven aan systematische controle op mogelijk misbruik van toegang tot patiëntdossiers (veel zorginstellingen worstelen hiermee). Als Haga HiX van ChipSoft gebruikt, dan kunnen ze twee modules aanschaffen die gestructureerde controles ondersteunen (CS Inzage audit en CS Steekproef).

Overigens is het te hopen dat het ziekenhuis bezwaar aantekent. Vorig jaar rond de invoering van de AVG begrepen van juristen dat de boetebevoegdheid van de AP op zodanige (afwijkende) wijze in ons recht verankerd is dat dit alleen al een mogelijkheid tot verweer zou bieden. Ben echter te weinig jurist om hiervan de details te kennen. Voor dit bedrag moet het mogelijk zijn een dergelijke jurist in te huren.
16-07-2019, 13:02 door Anoniem
Door Anoniem: Nul effect dit.
Net zoals boetens uitgeven aan de politie.
Dat geld zal ergens vandaan komen,. en rara wie dat gaat betalen,. de verzekering, de staat, dus de burgers,.

Geldboetes hebben geen effect in dit geval.
Verlaag subsidies, ondersteuning, leg regels op die nageleefd moeten worden,. of sluit die bende.
Natuurlijk, sluit maar even een ziekenhuis.
16-07-2019, 13:20 door Anoniem
Het hele verhaal is zeer beschamend voor de hele medische stand. Ook grote advocatenkantoren en accountants maatschappen lezen hopelijk mee en doen hier wat nuttigs mee.

(Ik ga al jaren liever naar een klein advocaatje dan naar een groot kantoor...)
16-07-2019, 13:31 door Anoniem
Door Anoniem: Verlaag subsidies, ondersteuning, leg regels op die nageleefd moeten worden,. of sluit die bende.
Dus als ik je goed begrijp zou €460000 minder geld hebben door een korting op de subsidie meer effect hebben dan €460000 minder geld hebben door een boete, en die boete niets te maken met regels die nageleefd moeten worden.
16-07-2019, 13:41 door Anoniem
Door Anoniem: Nul effect dit.
Net zoals boetens uitgeven aan de politie.
Dat geld zal ergens vandaan komen,. en rara wie dat gaat betalen,. de verzekering, de staat, dus de burgers,.

Geldboetes hebben geen effect in dit geval.
Verlaag subsidies, ondersteuning, leg regels op die nageleefd moeten worden,. of sluit die bende.
Hoever sta jij precies van de werkelijkheid af?

We hebben het over de zorg he.... Dit boete bekend inderdaad dat er gewoon minder geld is voor de zorg, gebouw onderhoud, patiënten ondersteuning of extratjes.

Op een doelgroep die het al allemaal niet breed heeft. Zowel het personeel als de patiënten, dus een leuke actie van AP. Maar uit eindelijk zijn er alleen maar verliezers.
16-07-2019, 14:00 door Anoniem
“High trust, high penalty” is hier logisch. In een ziekenhuis zijn tientallen mensen bij behandeling betrokken. De verpleegkundige nachtploeg, bijvoorbeeld, moet bij gegevens kunnen om goede zorg te kunnen leveren. Daarom is controle zo belangrijk. Want je kunt niet vooraf zeggen wie er allemaal betrokken zal zijn.
16-07-2019, 14:32 door Anoniem
Door Anoniem:
Door Anoniem: Nul effect dit.
Net zoals boetens uitgeven aan de politie.
Dat geld zal ergens vandaan komen,. en rara wie dat gaat betalen,. de verzekering, de staat, dus de burgers,.

Geldboetes hebben geen effect in dit geval.
Verlaag subsidies, ondersteuning, leg regels op die nageleefd moeten worden,. of sluit die bende.
Natuurlijk, sluit maar even een ziekenhuis.

Of ontsla op zn minst het hoofd wat hier verantwoordeljik voor is.
16-07-2019, 15:06 door MZi038
Door Anoniem: Voor mijn gevoel halen Haga ziekenhuis, en gedeeltelijk ook AP, authenticatie en autorisatie door elkaar.

Door matige authenticatie (1F) kunnen accounts gezamenlijk gebruikt worden. Met 2F (en de nodige awareness) zal dit minder zijn. Het delen van accounts maakt de controle (logs) van de autorisaties moeilijker of zelfs onmogelijk. Dus zowel 2FA als controles op de logging moet worden geregeld.
16-07-2019, 15:10 door MZi038
Door Anoniem: Vroeger had je een papieren archief en iemand die bijhield wie er allemaal in het archief wilde. Het totale gemak van een electronisch dossier op je scherm toveren en het gebrek aan iemand moeten aanspreken om bij een dossier te komen maakt het een stuk lastiger voor sommigen om met hun tengels af te blijven van dossiers waar ze niets in te snuffelen hebben.

Dat kost nu dus viereneenhalve ton. Daar kun je toch zo'n archiefbeheerder een paar jaartjes van betalen.

Ja, en de archiefbeheerder checkt anno 2019 de digitale logs, die gewoon aan horen te staan. Het liefst met een tool. Scheelt een boel tijd, maar je moet het wel even doen.
16-07-2019, 15:11 door MZi038
Door Anoniem: Hoofdelijke aansprakelijkheid zou een beter middel zijn.

Waarom? Wat lost dat op qua privacy?
16-07-2019, 15:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nul effect dit.
Net zoals boetens uitgeven aan de politie.
Dat geld zal ergens vandaan komen,. en rara wie dat gaat betalen,. de verzekering, de staat, dus de burgers,.

Geldboetes hebben geen effect in dit geval.
Verlaag subsidies, ondersteuning, leg regels op die nageleefd moeten worden,. of sluit die bende.
Natuurlijk, sluit maar even een ziekenhuis.

Of ontsla op zn minst het hoofd wat hier verantwoordeljik voor is.
Alle hoofden? En dan... mocht je het nog niet weten, er is een groot tekort aan personeel.

Een belangrijkere vraag zou eigenlijk moeten zijn.... Is her wel veel beter bij andere ziekenhuizen?
16-07-2019, 15:46 door Anoniem
Die medewerkers die gaan gluren zijn vooral het probleem. Als ik mijn voordeur laat openstaan voor bekenden betekent dat niet een uitnodiging voor onbekenden die dus niets met een behandelrelatie te maken hebben. En wie is hier nou echt de dupe van deze boete...mensen die zorg nodig hebben...
16-07-2019, 16:33 door Cornelius
Er wordt nu heel hard geroepen dat 2FA vereist is om toegang tot de dossiers te krijgen. Dit staat ook in de NEN7510 (9.4.1, zorgspecifieke beheersmaatregel). Maar nu mijn vraag:

Is er al een zorginstelling die dit voor elkaar heeft gekregen?

Ik ben benieuwd of er mensen op het forum zitten die in een ziekenhuisomgeving (of anders kantooromgeving) het voor elkaar hebben gekregen om 2FA op werkbare wijze te implementeren, zonder dat het personeel zich de hele dag loopt te ergeren.

Daarnaast is het nog maar de vraag of (zoals iemand hierboven ook al noemt) of authenticatie echt het issue is. Te ruime autorisaties op legitieme gebruikers is een veel groter probleem. En dat los je niet op met het implementeren van 2FA.
16-07-2019, 17:06 door Anoniem
Door Cornelius:

Ik ben benieuwd of er mensen op het forum zitten die in een ziekenhuisomgeving (of anders kantooromgeving) het voor elkaar hebben gekregen om 2FA op werkbare wijze te implementeren, zonder dat het personeel zich de hele dag loopt te ergeren.

Werk zelf in een ziekenhuis (niet Haga overigens) als IT'er. Kan je zeggen dat technieken als 2FA door de ICT afdeling heel graag wordt geïmplementeerd maar dit wordt geblokkeerd omdat de zorg hier niet op ingericht is qua processen. Alles moet snel kunnen wisselen en daar rekent men in seconden. Iedere stap ze extra moeten doen kost seconden. Een gemiddelde verpleegkundige logt vele malen (tientallen als het niet meer is) per dienst in op een systeem. Iedere keer 2FA afdwingen wordt hier "onwerkbaar" en dus niet doorgevoerd.

Probleem in deze casus is niet het inloggen op een werkplek (waar men nu aanpassingen op doet) maar toegang tot informatie. Het EPD waar de meeste ziekenhuizen mee werken is niet echt flexibel te noemen wat betreft "moderne" methodes. De controle op toegang moet hier gebeuren op applicatieniveau. Controle en verantwoording is hier het sleutelwoord.
16-07-2019, 17:28 door Anoniem
Door MZi038:
Door Anoniem: Hoofdelijke aansprakelijkheid zou een beter middel zijn.

Waarom? Wat lost dat op qua privacy?
Niets maar de boete ook niet.
Straffen prima, maar dan we de hoofdelijke aansprakelijke, nu merken zij zelf er niets van en gaan de kosten uiteindelijk naar patiënten en personeel.
16-07-2019, 17:47 door karma4 - Bijgewerkt: 16-07-2019, 17:57
Alle kosten verhalen op de zogenaamde klokkenluider.
De hele achtergrond toont een richting waarbij het ap iets onwerkbaars met grote privacy gevolgen veroorzaakt.
Je zult maar medisch falen op je geweten willen hebben wegens dat soort regels.

Even verder: er zal geen auto rondrijden die in een perfecte staat is. Dus elke autobezitter maar flink beboeten wegens de overtreding.


 Het EPD waar de meeste ziekenhuizen mee werken is niet echt flexibel te noemen wat betreft "moderne" methodes. De controle op toegang moet hier gebeuren op applicatieniveau. Controle en verantwoording is hier het sleutelwoord.

Midden jaren 80 is de weg gezet om het zoveel mogelijk uit de applicaties te halen zodat je het centraal kan regelen.
Eind jaren 90 heeft zich dat met een ander os herhaald.
Er is echter nog steeds een os waar dat niet goed te beheren valt. Dan is het heel makkelijk om te roepen dan het aan de applicatie ligt.
16-07-2019, 18:04 door Anoniem
Door Cornelius: Er wordt nu heel hard geroepen dat 2FA vereist is om toegang tot de dossiers te krijgen. Dit staat ook in de NEN7510 (9.4.1, zorgspecifieke beheersmaatregel). Maar nu mijn vraag:

Is er al een zorginstelling die dit voor elkaar heeft gekregen?

Ik ben benieuwd of er mensen op het forum zitten die in een ziekenhuisomgeving (of anders kantooromgeving) het voor elkaar hebben gekregen om 2FA op werkbare wijze te implementeren, zonder dat het personeel zich de hele dag loopt te ergeren.

De ergernis zal vooral te maken hebben met 1) geen centrale authenticatie en 2) geen single sign-on .

Ik heb gewerkt voor een (erg groot) bedrijf [geen zorg] waarin dit inderdaad goed geregeld was . Login met een smart card + pin , en een heel groot deel van de applicaties was gekoppeld zodat SSO werkte.
(dwz: na inloggen op de werkplek vroeg een groot deel van de applicaties geen eigen login meer).
Ook een efficiënt helpdesk proces voor tijdelijke toegang wanneer je de smarcard vergeten was (of kapot o.i.d.) .


Daarnaast is het nog maar de vraag of (zoals iemand hierboven ook al noemt) of authenticatie echt het issue is. Te ruime autorisaties op legitieme gebruikers is een veel groter probleem. En dat los je niet op met het implementeren van 2FA.

Inderdaad. Het is vaker besproken, maar de pool mensen in een ziekenhuis die legitiem toegang kan/moet hebben tot dossiers van opgenomen patienten van dat ziekenhuis zal gewoon behoorlijk groot zijn.
(hele ploegendiensten van de verpleging, laboratorium ploegen etc etc).
Ik zie eigenlijk niet hoe je dat echt kunt verkleinen zonder werkbaarheid ,zorg en patient-veiligheid te riskeren.

Ik denk dat het beste wat je kunt bereiken is voldoende audit logging - en wellicht een sanctie-reminder email als er een Bekende Patient wordt opgenomen.
16-07-2019, 20:15 door Anoniem
Door Anoniem:
Met betrekking tot dat mevrouw Van der Wiel het zuur vindt dat het opgelegde boetebedrag niet aan patiëntenzorg kan worden besteed. Ja eens, maar die verantwoordelijkheid ligt bij haar. Dat had ze misschien kunnen bedenken voordat ze toeliet dat de beveiliging niet op orde is...

Maar het geld wat besteed had moeten worden aan het WEL op ode brengen van die beveiliging (waarschijnlijk meer
dan nu de boete is) dat had OOK niet besteed kunnen worden aan de zorg!
Dat is het probleem met beveiliging. Het kost een hoop geld en het levert je in het bedrijfsproces geen flikker op, het
is alleen maar nodig omdat er kwaadwillenden in de samenleving zijn die als er geen beveiliging is hun slag slaan.

Dat is een thema wat steeds weer terug komt, ook buiten de ziekenhuizen. Alleen in dit geval was het niet zozeer de
beveiliging zelf die het probleem is, maar meer het gedrag van de gewone medewerker die te nieuwsgierig is.

Echter in het algemeen wordt er hardstikke veel geld verkwist om de klokenluider-achtige types die graag aan de kaak
stellen dat de beveiliging niet 100% is koest te houden. Daar mogen we best wel eens bij stil staan.
16-07-2019, 21:23 door karma4
Door Cornelius: Er wordt nu heel hard geroepen dat 2FA vereist is om toegang tot de dossiers te krijgen. Dit staat ook in de NEN7510 (9.4.1, zorgspecifieke beheersmaatregel). …..

Een bewering, laten we eens controleren.
- pag 48,49 9.2.1. Registratie en afmelden van gebruikers
onder a/ het gebruik van groepsidentificaties mag bij operationele onderbouwde redenen
- gebruikers (clënten) zouden anoniem via websites werken.
Ah de opstellers van de NEN7510 vergeten alle trackers. Dat lijkt me een ernstige inschattingsfout.
- pag 51 exteren toegang tot bijvoorbeeld de betrokken huisarts moet mogelijk zijn.
- pag 52 let even op het ongepast gebruik met speciale rechten van de systeembeheerder,
. pag 57 9.4.1. Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.
- pag 58 0.4.2 Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen …
In geval van ….
etc.... Alles hangt af van de classificatie van de informatie.

Je stellige bewering is er een die van zo'n klokkenluider kan komen en via het publiek zo zijn gelijk probeert te halen.
Dat lijkt me de echte schadelijke figuur in dit verhaal, Wil je de zorgverlening blokkeren omdat er niet met en voor mensen gewerkt mag worden dan is het ap aardig op die weg bezig.
16-07-2019, 21:33 door Anoniem
Door Anoniem:
Door Anoniem:
Met betrekking tot dat mevrouw Van der Wiel het zuur vindt dat het opgelegde boetebedrag niet aan patiëntenzorg kan worden besteed. Ja eens, maar die verantwoordelijkheid ligt bij haar. Dat had ze misschien kunnen bedenken voordat ze toeliet dat de beveiliging niet op orde is...

Maar het geld wat besteed had moeten worden aan het WEL op ode brengen van die beveiliging (waarschijnlijk meer
dan nu de boete is) dat had OOK niet besteed kunnen worden aan de zorg!
Dat is het probleem met beveiliging. Het kost een hoop geld en het levert je in het bedrijfsproces geen flikker op, het
is alleen maar nodig omdat er kwaadwillenden in de samenleving zijn die als er geen beveiliging is hun slag slaan.

Dat is een thema wat steeds weer terug komt, ook buiten de ziekenhuizen. Alleen in dit geval was het niet zozeer de
beveiliging zelf die het probleem is, maar meer het gedrag van de gewone medewerker die te nieuwsgierig is.

Echter in het algemeen wordt er hardstikke veel geld verkwist om de klokenluider-achtige types die graag aan de kaak
stellen dat de beveiliging niet 100% is koest te houden. Daar mogen we best wel eens bij stil staan.
Maar nu is er een boete en het probleem nog niet opgelost en straks komen er nog meer dwangopleggingen.
Dus beter de zaakjes op orde hebben, daar is zij bestuurder voor.
16-07-2019, 21:37 door Anoniem
Door Anoniem: Blijkens andere sites gaat het bij authenticatie om het niet toepassen van 2FA. De AVG stelt dat je tot passende maatregelen moet komen door toepassing van risicoanalyse en kosten-batenanalyse. Feitelijk stelt ook NEN-7510 hetzelfde (dan nog eens in combinatie met de PDCA-cyclus).
Wat je hier ziet is dat NEN-7510 deel 2 zogenaamde zorgspecifieke maatregelen kent in aanvulling op de systematiek van ISO-27002. Daarin staat hard de eis van 2FA genoemd. Daarmee laat je dus min of meer het basis principe los om op basis van risicoanalyse de mogelijke beheersingsmaatregelen te kiezen die invulling geven aan de hogere beveiligingsdoelstelling. De mogelijke maatregel wordt nu de (keiharde) norm. [De zorg hangt zichzelf dan op door dit zo vast te leggen.]

Hiermee vervalt de AP in dezelfde fout als haar voorgangers. Destijds was er AV-21 als aanvullende beveiligingsrichtlijn op de Wbp. Daar stond bijvoorbeeld in dat je voor kritieke gegevens maximaal 3 foutieve inlogpogingen mocht toestaan. Wellicht verstandig als wachtwoorden je enige authenticatiemiddel zijn. Ik heb toen echter ervaren dat een organisatie die 2FA toepaste (hardwaretokens met wachtwoord) niet door een audit op basis van AV-21 kwam omdat ze genoemde instelling op 5 hadden staan).

Dit laat onverlet dat dat er geen passende invulling is gegeven aan systematische controle op mogelijk misbruik van toegang tot patiëntdossiers (veel zorginstellingen worstelen hiermee). Als Haga HiX van ChipSoft gebruikt, dan kunnen ze twee modules aanschaffen die gestructureerde controles ondersteunen (CS Inzage audit en CS Steekproef).

Overigens is het te hopen dat het ziekenhuis bezwaar aantekent. Vorig jaar rond de invoering van de AVG begrepen van juristen dat de boetebevoegdheid van de AP op zodanige (afwijkende) wijze in ons recht verankerd is dat dit alleen al een mogelijkheid tot verweer zou bieden. Ben echter te weinig jurist om hiervan de details te kennen. Voor dit bedrag moet het mogelijk zijn een dergelijke jurist in te huren.
Vooral het 2FA gedeelte is interessant.
De NEN 7510 schrijft dit namelijk niet voor. De organisatie moet een beoordeling doen van risico's en vervolgens beheersmaatregelen kiezen om deze risico's te beheersen. De beheersmaatregelen worden vervolgens vertaald naar beleid, waarbij altijd een interpretatie plaatsvindt en aanpassing aan de lokale situatie.
Er is dus harde geen eis tot 2FA, en zeker niet zoals de AP hem altijd uitlegt, namelijk ten alle tijde inloggen met twee factoren. Genoeg reden om bezwaar aan te tekenen lijkt mij. Goede kans dat dit geen standhoudt, zeker omdat er geen greintje bewijs is dat 2FA in dit geval had geholpen.
Daarnaast ben ik heel benieuwd wat er was gebeurd als de AP dit had gedaan bij een ziekenhuis dat was gecertificeerd voor NEN 7510.
Feitelijk gaat de AP hier namelijk op de stoel van externe auditor zitten en de norm interpreteren.
Daar zullen Kiwa en DEKRA en DNV GL blij mee zijn, ze mogen dan ook gaan toetsen aan de jurisprudentie van de AP in plaats van de norm.
17-07-2019, 09:05 door Anoniem
En dan hebben ze ook nog het lef om in beroep te gaan ipv. gewoon het boetekleed aantrekken...
17-07-2019, 09:05 door [Account Verwijderd] - Bijgewerkt: 17-07-2019, 09:16
Door karma4:
Door Cornelius: ...
Je stellige bewering is er een die van zo'n klokkenluider kan komen en via het publiek zo zijn gelijk probeert te halen.
Dat lijkt me de echte schadelijke figuur in dit verhaal,

Welke klokkenluider? In dit geval betrof het een publiek figuur en waren het publicaties in landelijke media die onderzoek naar de herkomst in gang zette.
17-07-2019, 09:18 door Anoniem
Door En Rattshaverist:
Door karma4:
Door Cornelius: ...
Je stellige bewering is er een die van zo'n klokkenluider kan komen en via het publiek zo zijn gelijk probeert te halen.
Dat lijkt me de echte schadelijke figuur in dit verhaal,

Welke klokkenluider? In dit geval betrof het een publiek figuur en waren het publicaties in landelijke media die onderzoek naar de herkomst in gang zette.
Bedoel je met "publiek figuur" barbie? Want die heeft het niet naar buiten gebracht. Ze was al wel op de hoogte van het onderzoek.

Intern wat het namelijk al bekend en was men er mee bezig, alleen vond een klokkenluider dit niet genoeg en stapte naar de pers.
17-07-2019, 10:15 door Anoniem
Een hoop gebabbel over 2FA en andere authenticatie maar daar ligt het probleem helemaal niet!
Het probleem is niet dat er hackers zijn binnengekomen, het probleem is dat correct geauthenticeerde gebruikers
vervolgens dingen doen waar ze wel de autorisatie voor hebben maar die ethisch niet geoorloofd zijn.
Dat ga je niet oplossen met 2FA of wat voor authenticatie dan ook, dat vereist een strakkere autorisatie en/of alarmen
op dit soort situaties (buitengewoon veel raadplegingen van een bepaald dossier bijvoorbeeld).
17-07-2019, 10:37 door Ron625 - Bijgewerkt: 17-07-2019, 10:37
Door Anoniem:
Intern wat het namelijk al bekend en was men er mee bezig, alleen vond een klokkenluider dit niet genoeg en stapte naar de pers.
Terecht, wanneer je het niet in 3 jaar (!) kunt oplossen, dan bewijs je de onkunde van de organisatie......
17-07-2019, 10:37 door [Account Verwijderd]
Door Anoniem:
Door En Rattshaverist:
Door karma4:
Door Cornelius: ...
Je stellige bewering is er een die van zo'n klokkenluider kan komen en via het publiek zo zijn gelijk probeert te halen.
Dat lijkt me de echte schadelijke figuur in dit verhaal,

Welke klokkenluider? In dit geval betrof het een publiek figuur en waren het publicaties in landelijke media die onderzoek naar de herkomst in gang zette.
Bedoel je met "publiek figuur" barbie? Want die heeft het niet naar buiten gebracht. Ze was al wel op de hoogte van het onderzoek.

Intern wat het namelijk al bekend en was men er mee bezig, alleen vond een klokkenluider dit niet genoeg en stapte naar de pers.

https://www.security.nl/posting/556983/Medisch+dossier+Barbie+door+ziekenhuispersoneel+illegaal+ingezien

Ik zie het, je hebt helemaal gelijk. Ik herinnerde het mij heel anders maar dat blijkt dus een fake memory.
17-07-2019, 11:34 door DLans
De autorisaties inregelen is een lastig iets. Ik heb een aantal maanden in een ziekenhuis gewerkt (in de IT, niet als zorgverlener), en ik sprak regelmatig artsen die vanuit hun functie soms rondes moesten maken op een afdeling omdat een collega ziek was oid. Hoe ga je daar mee om? Want die arts loopt een ronde over de afdeling, bezoekt iedereen (dus toegang nodig tot alle dossiers) terwijl dat vooraf niet gepland was. Regel je de autorisatie op afdelingsniveau? Dan krijg je dus al snel weer dat te veel mensen toegang hebben tot dossiers waar ze niet noodzakelijkerwijs iets mee te maken hebben.
17-07-2019, 11:44 door DLans
Door Cornelius:
Ik ben benieuwd of er mensen op het forum zitten die in een ziekenhuisomgeving (of anders kantooromgeving) het voor elkaar hebben gekregen om 2FA op werkbare wijze te implementeren, zonder dat het personeel zich de hele dag loopt te ergeren.

Ik heb maar een aantal maanden bij een ziekenhuis gewerkt (niet het Haga ziekenhuis overigens). De meeste afdelingen hebben een aantal vaste werkplekken waarbij op Windows alleen met hun gebruikersnaam/wachtwoord wordt ingelogd. Vervolgens moeten ze nog een keer in het EPD systeem inloggen.

Wat de afdelingen ook hebben zijn COW's, of computer on wheels. Van die apparaten met batterijen die een hele shift mee gaan. Dan kunnen ze de patienten af. In ons geval was de machine een thin client waarmee men kon inloggen door hun pas langs het systeem te halen. Daarmee logde de machine in, en als het verder op de dag was pakte hij de Citrix sessie van elders over.

Het slechtste van al mijn ervaringen in de zorg is het 'vertrouwen' wat het zorgpersoneel in IT heeft. Ik werd extern ingehuurd en ik ben een keer op een afdeling geweest die ging lunchen. Daar zat ik dan, met 3 computers allen ingelogd op HiX (het EPD systeem). Ik had een half uur lang gewoon kunnen rondneuzen onder het account van die mensen. En toen ik klaar was verliet ik de ruimte waarbij ik de PC's maar gelockt heb, want aan de andere kant van de deur zaten patienten te wachten. Ik kon de deur niet op slot doen ... Letterlijk iedereen had even snel kunnen kijken omdat men gewoon niet nadenkt. Technisch zou het systeem die mensen moeten locken na x minuten, maar dat deed het niet ..
17-07-2019, 11:45 door DLans
Door DLans: Ik had een half uur lang gewoon kunnen rondneuzen onder het account van die mensen.

Denk dat het wel duidelijk is, maar wilde het toch nog even vermelden: ik heb dat dus niet gedaan ;-)
17-07-2019, 13:09 door Anoniem
Door DLans: Wat de afdelingen ook hebben zijn COW's, of computer on wheels. Van die apparaten met batterijen die een hele shift mee gaan. Dan kunnen ze de patienten af. In ons geval was de machine een thin client waarmee men kon inloggen door hun pas langs het systeem te halen. Daarmee logde de machine in, en als het verder op de dag was pakte hij de Citrix sessie van elders over.

[...]

Technisch zou het systeem die mensen moeten locken na x minuten, maar dat deed het niet ..
Alweer heel wat jaren geleden las ik over een ziekenhuis (mogelijk in de VS, maar dat weet ik niet meer zeker) waar men de toegangspassen had vervangen door RFID-polsbandjes voor zowel de toegang tot ruimtes als tot werkstations. Die waren uitgerust met een RFID-sensor die de aanwezigheid van de aangelogde persoon bij het werkstation in de gaten hield en de sessie blokkeerde zodra die weg was, en deblokkeerde als de polsband weer werd waargenomen.

Het voordeel van polsbandjes was dat die niet al te makkelijk even ergens blijven liggen of uitgeleend worden, het is althans laagdrempeliger voor medewerkers om dat ding de hele dag om hun pols te laten zitten en als gevolg daarvan altijd hun eigen pas voor hun eigen werk te gebruiken. Dat werkte kennelijk uitstekend, veel beter dan met pasjes.

Deze opzet is misschien lastig te combineren met het automatisch overnemen van Citrix-sessies. Het werkt vermoedelijk alleen goed als een polsbandje van een redelijke afstand door een sensor wordt opgepakt, sessies die te snel geblokkeerd worden wekken irritatie op, bijvoorbeeld als je even je hand naar een kop koffie uitsteekt of van een paar stappen afstand nog even een blik op de gegevens op het beeldscherm moet werpen. Maar als er meerdere medewerkers binnen het bereik van de sensor zijn moet het systeem ook niet willekeurig gaan kiezen wiens sessie geactiveerd wordt.
17-07-2019, 14:30 door Anoniem
Door DLans: Technisch zou het systeem die mensen moeten locken na x minuten, maar dat deed het niet ..
Het probleem met de technische oplossing is, dat dit ook de zorg kan hinderen of vertraging kan opleveren.

En er is een juiste procedure voor. Dat is je scherm locken bij het verlaten van de COW. Maarja... De mens.....

Alternatief zou een smartcard zijn die je altijd overal nodig hebt om "alles te doen" en gemakkelijk gebruikt kan worden voor de unlock van je scherm. Eventueel BT of NCF cards die dit ook mogelijk maken?
17-07-2019, 15:05 door [Account Verwijderd]
Door Anoniem:
Door DLans: Technisch zou het systeem die mensen moeten locken na x minuten, maar dat deed het niet ..
Het probleem met de technische oplossing is, dat dit ook de zorg kan hinderen of vertraging kan opleveren.

En er is een juiste procedure voor. Dat is je scherm locken bij het verlaten van de COW. Maarja... De mens.....

Inderdaad, de mens... Die lockt z'n scherm niet altijd (dus moet dat ook automatisch na x minuten).

Door Anoniem: Alternatief zou een smartcard zijn die je altijd overal nodig hebt om "alles te doen" en gemakkelijk gebruikt kan worden voor de unlock van je scherm. Eventueel BT of NCF cards die dit ook mogelijk maken?

Die gebruiken ze bij banken ook. Zodra de medewerker die kaart eruit trekt dan lockt het systeem en is niet meer toegankelijk.
17-07-2019, 21:11 door Anoniem
Rondom MFA wordt de NEN7510 aangehaald terwijl de AP recent nog voor toegang van email de eIdas aanhaalde met niveau substantieel, dat lijkt me veel meer sluitend dan het enigszins interpretabele artikel van de NEN. Laat onverlet dat ik denk zo’n 50% van de ziekenhuizen helemaal geen autorisatiematrix hebben ingesteld waaronder de chipsoft ziekenhuizen die nog op versie 5 hangen en veel van de xcare huizen. Dat Haga nu wordt getroffen is onfortuinlijk maar een fatsoenlijke verplcihte controle op de werking van een aantal belangrijke normel in de autorisatielaag en basisbeveiliging van de ISO27001/NEN7510 lijkt me wel eens handig....
18-07-2019, 08:52 door Anoniem
Door En Rattshaverist:
Door Anoniem:
Door DLans: Technisch zou het systeem die mensen moeten locken na x minuten, maar dat deed het niet ..
Het probleem met de technische oplossing is, dat dit ook de zorg kan hinderen of vertraging kan opleveren.

En er is een juiste procedure voor. Dat is je scherm locken bij het verlaten van de COW. Maarja... De mens.....

Inderdaad, de mens... Die lockt z'n scherm niet altijd (dus moet dat ook automatisch na x minuten).
Kan alleen lastig zijn als dit te snel gebeurt of te vaak gebeurt. Vanuit security zeker een gewenste oplossing, maar vanuit zorgverlening een stuk minder. Of de timeout moet "lang" zijn, maar dan heeft het weer een stuk minder effect. \

Het is een lastige, waarbij de balans tussen security en zorg goed in balans moet zijn.

Door Anoniem: Alternatief zou een smartcard zijn die je altijd overal nodig hebt om "alles te doen" en gemakkelijk gebruikt kan worden voor de unlock van je scherm. Eventueel BT of NCF cards die dit ook mogelijk maken?

Die gebruiken ze bij banken ook. Zodra de medewerker die kaart eruit trekt dan lockt het systeem en is niet meer toegankelijk.
Klopt ook. Werkt ook heel goed. Maar bij een bank lopen ze minder en zijn de handelingen heel anders dan in een ziekenhuis.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.