Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Bruins wijst zorginstellingen op dubbele versleuteling bij cloudopslag

dinsdag 8 oktober 2019, 17:16 door Redactie, 17 reacties

Zorginstellingen die ervoor kiezen om gegevens in de cloud op te slaan moeten de informatie versleutelen voordat ze die uploaden. Hierdoor is er sprake van een dubbele versleuteling, zo stelt minister Bruins voor Medische Zorg. In april kondigde de minister een onderzoek aan naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan.

Aanleiding voor het onderzoek was berichtgeving dat gegevens van honderdduizenden Nederlandse patiënten, zonder dat die dit weten of hiervoor toestemming hebben geven, bij Google zijn opgeslagen. "Uit het onderzoek dat ik heb laten verrichten, is naar voren gekomen dat het wenselijk is om gebruik te maken van een cloudprovider met een vestiging, vertegenwoordiging of opslagcapaciteit binnen de Europese Unie. Op deze cloudproviders is immers de AVG van toepassing", aldus de minister in een brief aan de Tweede Kamer.

Doordat voor deze providers de AVG geldt worden gegevens tegen onrechtmatig gebruik door de cloudprovider beschermd en kan naleving van de AVG effectief worden afgedwongen, merkt Bruins op. "Ik zal de zorginstellingen hierop wijzen en ga ervan uit dat zij voldoende maatregelen treffen in bijvoorbeeld de aanbesteding om de data alsnog goed te beschermen. Hiermee wil ik aanvullende wet- en regelgeving voor zorgaanbieders voorkomen."

De onderzoekers adviseren zorginstanties om informatie te versleutelen voordat die in de cloud wordt geplaatst, waardoor er sprake is van een dubbele versleuteling. "Ik zal het veld hierop wijzen zodat zij afspraken kunnen maken over de toepassing van deze technische maatregelen", schrijft minister Bruins, die toevoegt dat het naar een hoger plan tillen van informatieveiligheid binnen de zorgsector de komende jaren één van zijn speerpunten blijft.

Vanwege de eerder genoemde berichtgeving had de Autoriteit Persoonsgegevens aangegeven dat het een verkennend onderzoek ging doen naar eventuele overtredingen van de AVG door het bedrijf dat de data bij Google bewaarde. Op basis van gesprekken met en informatie van het bedrijf besloot de privacytoezichthouder eind september geen nader controlerend onderzoek in te stellen.

Microsoft patcht 60 kwetsbaarheden in Windows en Office
Google verhelpt ernstige beveiligingslekken in Android
Reacties (17)
08-10-2019, 17:21 door Anoniem
De industriestandaard dubbele ROT13. Echt superveilig.
08-10-2019, 18:34 door ph-cofi
Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).
08-10-2019, 19:02 door Password1234
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).

Lang antwoord, maar je moet je eerst afvragen of "de data in de cloud" wordt opgeslagen bij een SaaS-dienst of bij een IaaS/PaaS-dienst.

Om te beginnen: Zowel bij SaaS als IaaS/PaaS is de cloudprovider verantwoordelijk voor een adequate beveiliging, Onderdeel van deze adequate beveiliging is dat alles door de cloudprovider als enqrypted is (1e laag encryptie). Tenminste als je het juiste contract gesloten hebt (ik zou het nalezen, bij dezelfde cloudprovider kan door verschillende instellingen/bedrijven een ander type contract/beveiliging onderhandeld worden). Vraag dus of de overall-dienst bij de cloudprovider en iedere afgenomen sub-dienst bij de cloudprovider aan de certificeringseisen voldoet voor de betreffende bedrijfssector, en laat dit contractueel vastleggen.

Dan SaaS:
Je kan prima bij de cloudprovider de data encryted uploaden, maar dan kan je waarschijnlijk die SaaS applicatie niet meer gebruiken. Immers: Alles is onleesbaar geworden. Bij SaaS is het in dat geval nog belangrijker om echt nogmaals alle certificeringen na te lopen, onafhankelijke audits uit te voeren of audit rapporten op te vragen. En dan als instelling/bedrijf bepalen of het risico op een adequate manier afgedekt is bij de cloudprovider. En, let er op, de instelling/bedrijf blijft altijd zelf verantwoordelijk, zeker bij SaaS een attentiepunt.

IaaS/PaaS:
Dan heb je als instelling/bedrijf goed de mogelijkheid om daadwerkelijk die 2e laag encryptie toe te passen (met wat kanttekeningen/uitzonderingen). Maar je moet je als instelling/bedrijf ook realiseren dat bij IaaS/PaaS er veel meer eigen verantwoordelijkheid komt te liggen bij je zelf. O.a. dus het uitvoeren van deze 2e laag encryptie. En ook nog het beveiligingen van alle andere type toegang: Firewall, Passwords, database ConnectieStrings, Logging en Audit, Patching van OS en Applicatie, Review van je applicatie-code, Backups (gewoon nog een 3e keer encrypten), enz enz enz
08-10-2019, 20:12 door Anoniem
De onderzoekers adviseren zorginstanties om informatie te versleutelen voordat die in de cloud wordt geplaatst, waardoor er sprake is van een dubbele versleuteling.
Door eerst zelf de data sterk te versleutelen voordat het in de cloud wordt geplaatst en zelf deze sleutel goed te beheren,
hou je als zorginstelling het risico in eigen hand en is de veiligheid van de data in de cloud veel beter gegarandeerd.
Zo niet, dan ben je geheel overgeleverd aan kwaliteit, grillen en grollen etc. van de cloudprovider.

Hetzelfde verhaal is ook van toepassing op de privé data op je smartphone met een kopie in de cloud.
https://www.windowscentral.com/how-encrypt-data-storing-it-cloud-and-why-you-should
08-10-2019, 21:20 door souplost
"In april kondigde de minister een onderzoek aan naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan."
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
09-10-2019, 08:20 door Anoniem
Door Password1234:
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).

Lang antwoord, maar je moet je eerst afvragen of "de data in de cloud" wordt opgeslagen bij een SaaS-dienst of bij een IaaS/PaaS-dienst.

Om te beginnen: Zowel bij SaaS als IaaS/PaaS is de cloudprovider verantwoordelijk voor een adequate beveiliging, Onderdeel van deze adequate beveiliging is dat alles door de cloudprovider als enqrypted is (1e laag encryptie). Tenminste als je het juiste contract gesloten hebt (ik zou het nalezen, bij dezelfde cloudprovider kan door verschillende instellingen/bedrijven een ander type contract/beveiliging onderhandeld worden). Vraag dus of de overall-dienst bij de cloudprovider en iedere afgenomen sub-dienst bij de cloudprovider aan de certificeringseisen voldoet voor de betreffende bedrijfssector, en laat dit contractueel vastleggen.

Dan SaaS:
Je kan prima bij de cloudprovider de data encryted uploaden, maar dan kan je waarschijnlijk die SaaS applicatie niet meer gebruiken. Immers: Alles is onleesbaar geworden. Bij SaaS is het in dat geval nog belangrijker om echt nogmaals alle certificeringen na te lopen, onafhankelijke audits uit te voeren of audit rapporten op te vragen. En dan als instelling/bedrijf bepalen of het risico op een adequate manier afgedekt is bij de cloudprovider. En, let er op, de instelling/bedrijf blijft altijd zelf verantwoordelijk, zeker bij SaaS een attentiepunt.

IaaS/PaaS:
Dan heb je als instelling/bedrijf goed de mogelijkheid om daadwerkelijk die 2e laag encryptie toe te passen (met wat kanttekeningen/uitzonderingen). Maar je moet je als instelling/bedrijf ook realiseren dat bij IaaS/PaaS er veel meer eigen verantwoordelijkheid komt te liggen bij je zelf. O.a. dus het uitvoeren van deze 2e laag encryptie. En ook nog het beveiligingen van alle andere type toegang: Firewall, Passwords, database ConnectieStrings, Logging en Audit, Patching van OS en Applicatie, Review van je applicatie-code, Backups (gewoon nog een 3e keer encrypten), enz enz enz

ik denk dat het met een cloud voor ziekenhuizen eerder DWaaS is :) kabeltje stuk operatie mislukt?
09-10-2019, 08:36 door [Account Verwijderd] - Bijgewerkt: 09-10-2019, 08:36
Door souplost: "In april kondigde de minister een onderzoek aan naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan."
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.

Geografische grenzen stellen in deze tijd van internet niet veel meer voor. Ik vind zelf versleuteling toepassen voor het in de cloud plaatsen een goed advies.
09-10-2019, 09:48 door Anoniem
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
Wat dacht je van gewoon helemaal niet opslaan?
09-10-2019, 10:28 door Anoniem
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Nee, want met de decryptiesleutel zijn de gegevens opnieuw tot de persoon herleidbaar. Dit is een constructie duidelijk gericht op het doel onder de AVG uit te komen en men loopt het risico eerder nog zwaarder gestraft te worden voor de overtreding èn pogingen de boel te flessen dan voor de overtreding alleen. Geen goed idee...
09-10-2019, 10:51 door Anoniem
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Versleuteling is een vorm van pseudonomisering. Is dus terug te herleiden naar niet anonieme data en valt dus onder de AVG.
09-10-2019, 13:34 door Anoniem
Door Anoniem:
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Nee, want met de decryptiesleutel zijn de gegevens opnieuw tot de persoon herleidbaar. Dit is een constructie duidelijk gericht op het doel onder de AVG uit te komen en men loopt het risico eerder nog zwaarder gestraft te worden voor de overtreding èn pogingen de boel te flessen dan voor de overtreding alleen. Geen goed idee...
Dit klopt niet: als je zelf de versleuteling in handen hebt (en dat correct(!!!) doet) valt de data voor jou als organisatie nog steeds onder de AVG. Als je die data naar de cloud upload en er voor zorg draagt dan niemand anders dan jezelf bij de decryptiesleutels kan, dan is de data bij de provider niet herleidbaar (is een random set eenen en nullen) en de cloud provider hoeft niet aan de AVG te voldoen (immers, hij heeft geen herleidbare data).

Verlseuteling is dus geen alternatief voor een DPIA, je wilt ze als organisatie immers kunnen verwerken. Het is wel een mechanisme om extern op te slaan (mits bovengenoemde eis van goede versleuteliong en sleutelbeheer)
09-10-2019, 15:33 door Anoniem
Moet daar geen backdoor in ?
10-10-2019, 08:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Nee, want met de decryptiesleutel zijn de gegevens opnieuw tot de persoon herleidbaar. Dit is een constructie duidelijk gericht op het doel onder de AVG uit te komen en men loopt het risico eerder nog zwaarder gestraft te worden voor de overtreding èn pogingen de boel te flessen dan voor de overtreding alleen. Geen goed idee...
Dit klopt niet: als je zelf de versleuteling in handen hebt (en dat correct(!!!) doet) valt de data voor jou als organisatie nog steeds onder de AVG. Als je die data naar de cloud upload en er voor zorg draagt dan niemand anders dan jezelf bij de decryptiesleutels kan, dan is de data bij de provider niet herleidbaar (is een random set eenen en nullen) en de cloud provider hoeft niet aan de AVG te voldoen (immers, hij heeft geen herleidbare data).

Verlseuteling is dus geen alternatief voor een DPIA, je wilt ze als organisatie immers kunnen verwerken. Het is wel een mechanisme om extern op te slaan (mits bovengenoemde eis van goede versleuteliong en sleutelbeheer)
Feit blijft dat met als men en de versleutelde data en jouw encryptiesleutel weet te bemachtigen de data weer terug te herleiden valt. Hence valt het allemaal onder de AVG.
10-10-2019, 09:38 door [Account Verwijderd] - Bijgewerkt: 10-10-2019, 09:39
Door Anoniem:
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
Wat dacht je van gewoon helemaal niet opslaan?

Welnee! De huisarts en/of assistenten moet dat gewoon allemaal uit het hoofd leren en als de apotheek iets moet weten dan moeten die personen dat reproduceren. Eventueel mag ter ondersteuning van het geheugen e.e.a. in stenen tabletten worden gehouwen. Terug naar de basis!

https://nl.m.wikipedia.org/wiki/Tien_geboden
10-10-2019, 12:44 door Anoniem
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing?

Precies de vraag die ik de Autoriteit Persoonsgegevens ook heb voorgelegd ten tijde van de AVG invoering. Het antwoord was toen dat er érgens een decryptiesleutel bestaat -dus is er sprake van herleidbaarheid- en daarmee voldoet louter versleuteling niet. In de praktijk niet geheel onlogisch omdat de meeste informatie in de cloud server-side wordt versleuteld door dezelfde partij die ook de data host, dus is van privacygaranties dan geen sprake.

Door ph-cofi: Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).

Hier leg je inderdaad de vinger op de wond van client-side versleuteling: het sleutelmanagement bij samenwerken. Wachtwoorden zijn natuurlijk notoir onveilig, maarja om in groepen per email encryptiesleutels te gaan uitwisselen voor files dat schiet natuurlijk ook niet op. Je zou eens kunnen kijken naar een product als Storro: een partij die client-side versleuteling, versnippering van data en decentraal sleutelmanagement toepast op cloudopslag in NL. http://storro.com
12-10-2019, 23:05 door Anoniem
Door Anoniem:
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
Wat dacht je van gewoon helemaal niet opslaan?
Ja maar, eh, dan valt er niets te lekken.
31-12-2019, 14:21 door Anoniem
Op dit moment ben ik aan kijken naar Stack en de volgende nieuwe partij: https://vboxxcloud.nl/zorg-cloud Mensen die mij hierbij kunnen helpen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Werk jij nog thuis?

18 reacties
Aantal stemmen: 1304
Vacature
Image

Security Officer

36 - 40 uur

Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

16 reacties
Lees meer
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2020 Security.nl - The Security Council
RSS Twitter