image

Bruins wijst zorginstellingen op dubbele versleuteling bij cloudopslag

dinsdag 8 oktober 2019, 17:16 door Redactie, 17 reacties

Zorginstellingen die ervoor kiezen om gegevens in de cloud op te slaan moeten de informatie versleutelen voordat ze die uploaden. Hierdoor is er sprake van een dubbele versleuteling, zo stelt minister Bruins voor Medische Zorg. In april kondigde de minister een onderzoek aan naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan.

Aanleiding voor het onderzoek was berichtgeving dat gegevens van honderdduizenden Nederlandse patiënten, zonder dat die dit weten of hiervoor toestemming hebben geven, bij Google zijn opgeslagen. "Uit het onderzoek dat ik heb laten verrichten, is naar voren gekomen dat het wenselijk is om gebruik te maken van een cloudprovider met een vestiging, vertegenwoordiging of opslagcapaciteit binnen de Europese Unie. Op deze cloudproviders is immers de AVG van toepassing", aldus de minister in een brief aan de Tweede Kamer.

Doordat voor deze providers de AVG geldt worden gegevens tegen onrechtmatig gebruik door de cloudprovider beschermd en kan naleving van de AVG effectief worden afgedwongen, merkt Bruins op. "Ik zal de zorginstellingen hierop wijzen en ga ervan uit dat zij voldoende maatregelen treffen in bijvoorbeeld de aanbesteding om de data alsnog goed te beschermen. Hiermee wil ik aanvullende wet- en regelgeving voor zorgaanbieders voorkomen."

De onderzoekers adviseren zorginstanties om informatie te versleutelen voordat die in de cloud wordt geplaatst, waardoor er sprake is van een dubbele versleuteling. "Ik zal het veld hierop wijzen zodat zij afspraken kunnen maken over de toepassing van deze technische maatregelen", schrijft minister Bruins, die toevoegt dat het naar een hoger plan tillen van informatieveiligheid binnen de zorgsector de komende jaren één van zijn speerpunten blijft.

Vanwege de eerder genoemde berichtgeving had de Autoriteit Persoonsgegevens aangegeven dat het een verkennend onderzoek ging doen naar eventuele overtredingen van de AVG door het bedrijf dat de data bij Google bewaarde. Op basis van gesprekken met en informatie van het bedrijf besloot de privacytoezichthouder eind september geen nader controlerend onderzoek in te stellen.

Reacties (17)
08-10-2019, 17:21 door Anoniem
De industriestandaard dubbele ROT13. Echt superveilig.
08-10-2019, 18:34 door ph-cofi
Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).
08-10-2019, 19:02 door Password1234
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).

Lang antwoord, maar je moet je eerst afvragen of "de data in de cloud" wordt opgeslagen bij een SaaS-dienst of bij een IaaS/PaaS-dienst.

Om te beginnen: Zowel bij SaaS als IaaS/PaaS is de cloudprovider verantwoordelijk voor een adequate beveiliging, Onderdeel van deze adequate beveiliging is dat alles door de cloudprovider als enqrypted is (1e laag encryptie). Tenminste als je het juiste contract gesloten hebt (ik zou het nalezen, bij dezelfde cloudprovider kan door verschillende instellingen/bedrijven een ander type contract/beveiliging onderhandeld worden). Vraag dus of de overall-dienst bij de cloudprovider en iedere afgenomen sub-dienst bij de cloudprovider aan de certificeringseisen voldoet voor de betreffende bedrijfssector, en laat dit contractueel vastleggen.

Dan SaaS:
Je kan prima bij de cloudprovider de data encryted uploaden, maar dan kan je waarschijnlijk die SaaS applicatie niet meer gebruiken. Immers: Alles is onleesbaar geworden. Bij SaaS is het in dat geval nog belangrijker om echt nogmaals alle certificeringen na te lopen, onafhankelijke audits uit te voeren of audit rapporten op te vragen. En dan als instelling/bedrijf bepalen of het risico op een adequate manier afgedekt is bij de cloudprovider. En, let er op, de instelling/bedrijf blijft altijd zelf verantwoordelijk, zeker bij SaaS een attentiepunt.

IaaS/PaaS:
Dan heb je als instelling/bedrijf goed de mogelijkheid om daadwerkelijk die 2e laag encryptie toe te passen (met wat kanttekeningen/uitzonderingen). Maar je moet je als instelling/bedrijf ook realiseren dat bij IaaS/PaaS er veel meer eigen verantwoordelijkheid komt te liggen bij je zelf. O.a. dus het uitvoeren van deze 2e laag encryptie. En ook nog het beveiligingen van alle andere type toegang: Firewall, Passwords, database ConnectieStrings, Logging en Audit, Patching van OS en Applicatie, Review van je applicatie-code, Backups (gewoon nog een 3e keer encrypten), enz enz enz
08-10-2019, 20:12 door Anoniem
De onderzoekers adviseren zorginstanties om informatie te versleutelen voordat die in de cloud wordt geplaatst, waardoor er sprake is van een dubbele versleuteling.
Door eerst zelf de data sterk te versleutelen voordat het in de cloud wordt geplaatst en zelf deze sleutel goed te beheren,
hou je als zorginstelling het risico in eigen hand en is de veiligheid van de data in de cloud veel beter gegarandeerd.
Zo niet, dan ben je geheel overgeleverd aan kwaliteit, grillen en grollen etc. van de cloudprovider.

Hetzelfde verhaal is ook van toepassing op de privé data op je smartphone met een kopie in de cloud.
https://www.windowscentral.com/how-encrypt-data-storing-it-cloud-and-why-you-should
08-10-2019, 21:20 door souplost
"In april kondigde de minister een onderzoek aan naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan."
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
09-10-2019, 08:20 door Anoniem
Door Password1234:
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).

Lang antwoord, maar je moet je eerst afvragen of "de data in de cloud" wordt opgeslagen bij een SaaS-dienst of bij een IaaS/PaaS-dienst.

Om te beginnen: Zowel bij SaaS als IaaS/PaaS is de cloudprovider verantwoordelijk voor een adequate beveiliging, Onderdeel van deze adequate beveiliging is dat alles door de cloudprovider als enqrypted is (1e laag encryptie). Tenminste als je het juiste contract gesloten hebt (ik zou het nalezen, bij dezelfde cloudprovider kan door verschillende instellingen/bedrijven een ander type contract/beveiliging onderhandeld worden). Vraag dus of de overall-dienst bij de cloudprovider en iedere afgenomen sub-dienst bij de cloudprovider aan de certificeringseisen voldoet voor de betreffende bedrijfssector, en laat dit contractueel vastleggen.

Dan SaaS:
Je kan prima bij de cloudprovider de data encryted uploaden, maar dan kan je waarschijnlijk die SaaS applicatie niet meer gebruiken. Immers: Alles is onleesbaar geworden. Bij SaaS is het in dat geval nog belangrijker om echt nogmaals alle certificeringen na te lopen, onafhankelijke audits uit te voeren of audit rapporten op te vragen. En dan als instelling/bedrijf bepalen of het risico op een adequate manier afgedekt is bij de cloudprovider. En, let er op, de instelling/bedrijf blijft altijd zelf verantwoordelijk, zeker bij SaaS een attentiepunt.

IaaS/PaaS:
Dan heb je als instelling/bedrijf goed de mogelijkheid om daadwerkelijk die 2e laag encryptie toe te passen (met wat kanttekeningen/uitzonderingen). Maar je moet je als instelling/bedrijf ook realiseren dat bij IaaS/PaaS er veel meer eigen verantwoordelijkheid komt te liggen bij je zelf. O.a. dus het uitvoeren van deze 2e laag encryptie. En ook nog het beveiligingen van alle andere type toegang: Firewall, Passwords, database ConnectieStrings, Logging en Audit, Patching van OS en Applicatie, Review van je applicatie-code, Backups (gewoon nog een 3e keer encrypten), enz enz enz

ik denk dat het met een cloud voor ziekenhuizen eerder DWaaS is :) kabeltje stuk operatie mislukt?
09-10-2019, 08:36 door [Account Verwijderd] - Bijgewerkt: 09-10-2019, 08:36
Door souplost: "In april kondigde de minister een onderzoek aan naar de wenselijkheid om patiëntgegevens bij niet Europese cloudplatformen op te slaan."
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.

Geografische grenzen stellen in deze tijd van internet niet veel meer voor. Ik vind zelf versleuteling toepassen voor het in de cloud plaatsen een goed advies.
09-10-2019, 09:48 door Anoniem
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
Wat dacht je van gewoon helemaal niet opslaan?
09-10-2019, 10:28 door Anoniem
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Nee, want met de decryptiesleutel zijn de gegevens opnieuw tot de persoon herleidbaar. Dit is een constructie duidelijk gericht op het doel onder de AVG uit te komen en men loopt het risico eerder nog zwaarder gestraft te worden voor de overtreding èn pogingen de boel te flessen dan voor de overtreding alleen. Geen goed idee...
09-10-2019, 10:51 door Anoniem
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Versleuteling is een vorm van pseudonomisering. Is dus terug te herleiden naar niet anonieme data en valt dus onder de AVG.
09-10-2019, 13:34 door Anoniem
Door Anoniem:
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Nee, want met de decryptiesleutel zijn de gegevens opnieuw tot de persoon herleidbaar. Dit is een constructie duidelijk gericht op het doel onder de AVG uit te komen en men loopt het risico eerder nog zwaarder gestraft te worden voor de overtreding èn pogingen de boel te flessen dan voor de overtreding alleen. Geen goed idee...
Dit klopt niet: als je zelf de versleuteling in handen hebt (en dat correct(!!!) doet) valt de data voor jou als organisatie nog steeds onder de AVG. Als je die data naar de cloud upload en er voor zorg draagt dan niemand anders dan jezelf bij de decryptiesleutels kan, dan is de data bij de provider niet herleidbaar (is een random set eenen en nullen) en de cloud provider hoeft niet aan de AVG te voldoen (immers, hij heeft geen herleidbare data).

Verlseuteling is dus geen alternatief voor een DPIA, je wilt ze als organisatie immers kunnen verwerken. Het is wel een mechanisme om extern op te slaan (mits bovengenoemde eis van goede versleuteliong en sleutelbeheer)
09-10-2019, 15:33 door Anoniem
Moet daar geen backdoor in ?
10-10-2019, 08:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing? Daarmee is het een alternatief voor DPIA's et al? Dat zou de organisaties flink geld kunnen sparen.

Nee, want met de decryptiesleutel zijn de gegevens opnieuw tot de persoon herleidbaar. Dit is een constructie duidelijk gericht op het doel onder de AVG uit te komen en men loopt het risico eerder nog zwaarder gestraft te worden voor de overtreding èn pogingen de boel te flessen dan voor de overtreding alleen. Geen goed idee...
Dit klopt niet: als je zelf de versleuteling in handen hebt (en dat correct(!!!) doet) valt de data voor jou als organisatie nog steeds onder de AVG. Als je die data naar de cloud upload en er voor zorg draagt dan niemand anders dan jezelf bij de decryptiesleutels kan, dan is de data bij de provider niet herleidbaar (is een random set eenen en nullen) en de cloud provider hoeft niet aan de AVG te voldoen (immers, hij heeft geen herleidbare data).

Verlseuteling is dus geen alternatief voor een DPIA, je wilt ze als organisatie immers kunnen verwerken. Het is wel een mechanisme om extern op te slaan (mits bovengenoemde eis van goede versleuteliong en sleutelbeheer)
Feit blijft dat met als men en de versleutelde data en jouw encryptiesleutel weet te bemachtigen de data weer terug te herleiden valt. Hence valt het allemaal onder de AVG.
10-10-2019, 09:38 door [Account Verwijderd] - Bijgewerkt: 10-10-2019, 09:39
Door Anoniem:
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
Wat dacht je van gewoon helemaal niet opslaan?

Welnee! De huisarts en/of assistenten moet dat gewoon allemaal uit het hoofd leren en als de apotheek iets moet weten dan moeten die personen dat reproduceren. Eventueel mag ter ondersteuning van het geheugen e.e.a. in stenen tabletten worden gehouwen. Terug naar de basis!

https://nl.m.wikipedia.org/wiki/Tien_geboden
10-10-2019, 12:44 door Anoniem
Door ph-cofi: Klopt het mijn veronderstelling: als de persoonsgegevens versleuteld worden vóór opslag in de cloud, zijn het geen tot de persoon herleidbare gegevens meer en is de AVG niet van toepassing?

Precies de vraag die ik de Autoriteit Persoonsgegevens ook heb voorgelegd ten tijde van de AVG invoering. Het antwoord was toen dat er érgens een decryptiesleutel bestaat -dus is er sprake van herleidbaarheid- en daarmee voldoet louter versleuteling niet. In de praktijk niet geheel onlogisch omdat de meeste informatie in de cloud server-side wordt versleuteld door dezelfde partij die ook de data host, dus is van privacygaranties dan geen sprake.

Door ph-cofi: Het zou toegang tot de gegevens door zorgpersoneel kunnen hinderen, zeker over instellingen heen (oftewel, iedereen moet het wachtwoord weten, dat daardoor ook niet vaak kan wijzigen).

Hier leg je inderdaad de vinger op de wond van client-side versleuteling: het sleutelmanagement bij samenwerken. Wachtwoorden zijn natuurlijk notoir onveilig, maarja om in groepen per email encryptiesleutels te gaan uitwisselen voor files dat schiet natuurlijk ook niet op. Je zou eens kunnen kijken naar een product als Storro: een partij die client-side versleuteling, versnippering van data en decentraal sleutelmanagement toepast op cloudopslag in NL. http://storro.com
12-10-2019, 23:05 door Anoniem
Door Anoniem:
Wenselijkheid! kom op zeg. Onze Patiëntgegevens horen niet buiten Europ opgeslagen te worden. Eigenlijk niet buiten Nederland.
Wat dacht je van gewoon helemaal niet opslaan?
Ja maar, eh, dan valt er niets te lekken.
31-12-2019, 14:21 door Anoniem
Op dit moment ben ik aan kijken naar Stack en de volgende nieuwe partij: https://vboxxcloud.nl/zorg-cloud Mensen die mij hierbij kunnen helpen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.