Flevoziekenhuis lekt gegevens duizenden patiënten via usb-stick
Het Flevoziekenhuis in Almere heeft via een verloren usb-stick de gegevens van duizenden patiënten gelekt. Een zorgverlener van het ziekenhuis had tegen de regels in patiëntgegevens op een usb-stick opgeslagen. De medewerker verloor de datadrager op een parkeerterrein in de buurt van het ziekenhuis. Een gebruiker van het parkeerterrein vond de usb-stick op 9 oktober en nam die mee naar huis en opende die.
Op de usb-stick stonden gegevens van 4300 patiënten die van 2014 tot en met 2017 in behandeling waren bij de gipskamer. Het gaat om namen, geboortedata, patiëntnummer en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. "Dit had echt niet mogen gebeuren", zegt Anita Arts, voorzitter van de raad van bestuur. "Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Beide was hier niet het geval."
De vinder van de usb-stick bracht die vervolgens terug naar het ziekenhuis. Dat heeft alle patiënten die het betreft met een brief geïnformeerd. Tevens is het datalek bij de Autoriteit Persoonsgegevens gemeld. Naar aanleiding van het incident heeft het Flevoziekenhuis bestaande regels en protocollen rond het bewaren en het gebruik van patiëntengegevens verder aangescherpt.
Het is voortaan verboden om usb-sticks te gebruiken voor het opslaan van herleidbare persoonsgegevens. Het gebruik van onbeveiligde usb-sticks is sowieso niet meer toegestaan. Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde usb-sticks die nog aanwezig waren in het ziekenhuis, in te leveren. Vanaf de zomer wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een usb-stick.
Excuses konden er niet vanaf?
Serieus ? Als dit soort bassale zaken nog steeds niet op orde hebt mankeert er IMHO toch echt iets aan het ICT beleid. Dit zou bij de AP ook een belletje moeten laten rinkelen. Als dit al niet op orde is wat is er dan nog meer niet op orde ?
Serieus ? Als dit soort bassale zaken nog steeds niet op orde hebt mankeert er IMHO toch echt iets aan het ICT beleid. Dit zou bij de AP ook een belletje moeten laten rinkelen. Als dit al niet op orde is wat is er dan nog meer niet op orde ?
95% van de bedrijven gebruikt nog open USB poorts, LOL
Dat hoort in de cloud, waar iedereen erbij kan....
Serieus ? Als dit soort bassale zaken nog steeds niet op orde hebt mankeert er IMHO toch echt iets aan het ICT beleid. Dit zou bij de AP ook een belletje moeten laten rinkelen. Als dit al niet op orde is wat is er dan nog meer niet op orde ?
De vraag is of dit het basale onderdeel is. Volgens mij is het basale dat het tussen de oren van de gebruikers goed zit. Het technisch onmogelijk maken om gegevens op een USB-stick te zetten is in feite een pleister plakken. Iemand die de data toch wil meenemen zal een andere manier vinden (afdrukken, fotograferen, mailen, cloud, etc).
Het ziekenhuis kan in plaats van verbieden om data op een USB-stick op te slaan mijns inziens beter verbieden om data buiten het ziekenhuisdomein te brengen. En als er dan ook nog een uitleg volgt die ook begrepen wordt is het helemaal mooi.
Als er iets dan naar een USB stick gezet wordt, dan is er veel meer aan de hand.
- Hoe staat het met remote / thuis werken
- Welke software staat er tot de beschikking.
Als dat onvoldoende is en er is elders iets waarvan gedacht wordt dat makkelijker gaat -> copietjes…..
- Hoe staat het met de interne ICT. Backup, archivering, gegevens ter beschikking stellen die voor het werk nodig zijn.
Hier is vermoedelijk meer aan de hand, de gewoonlijke mismatch . De signalen geven een richting.
Excuses konden er niet vanaf?
In het artikel staat een link naar de website van het ziekenhuis. De laatste zin van de vierde alinea luidt:
Excuses konden er niet vanaf?
Nee, want ze moeten nog wel gebruik kunnen maken van usb devices met encryptie en daar is meer voor nodig als alleen maar een group-policy in AD aanmaken.
Daarnaast komt het bij medische aperatuur ook zomaar voor dat die geen ondersteuning hebben voor beveiligde USB sticks en die data moet het personeel dan wel weer kunnen inlezen in de applicatie op hun werkplek.
Er komt veel meer bij kijken als je denk in een ziekenhuis of andere zorg instelling.
Er hadden meer cursussen gegeven moeten worden aan het personeel over bewustwording mbt data veiligheid en de impact die er is als daar iets mee 'fout' gaat.
Nee hoor, ik heb daar geen issues mee ;) Maar goed ik heb daar een separaat systeem voor... Mogelijk de vinder ook wel.
Uithalen naar iets/iemand zonder de omstandigheden te kennen is een simpel iets.
Nee hoor, ik heb daar geen issues mee ;) Maar goed ik heb daar een separaat systeem voor... Mogelijk de vinder ook wel.
Uithalen naar iets/iemand zonder de omstandigheden te kennen is een simpel iets.
Wel hopen dat je niet te erg gehecht bent aan dat aprte device, wel eens gehoord van een "killer" USB stick ?. Veel aparaten veranderen na het inserten in een rokende puinhoop.
Nee, want ze moeten nog wel gebruik kunnen maken van usb devices met encryptie en daar is meer voor nodig als alleen maar een group-policy in AD aanmaken.
Daarnaast komt het bij medische aperatuur ook zomaar voor dat die geen ondersteuning hebben voor beveiligde USB sticks en die data moet het personeel dan wel weer kunnen inlezen in de applicatie op hun werkplek.
Er komt veel meer bij kijken als je denk in een ziekenhuis of andere zorg instelling.
Er hadden meer cursussen gegeven moeten worden aan het personeel over bewustwording mbt data veiligheid en de impact die er is als daar iets mee 'fout' gaat.
Thanks voor dit inzicht, ik had zelf kunnen bedenken dat er meer afhankelijken kunnen zijn.
Nee, want ze moeten nog wel gebruik kunnen maken van usb devices met encryptie en daar is meer voor nodig als alleen maar een group-policy in AD aanmaken.
Daarnaast komt het bij medische aperatuur ook zomaar voor dat die geen ondersteuning hebben voor beveiligde USB sticks en die data moet het personeel dan wel weer kunnen inlezen in de applicatie op hun werkplek.
Een firmware update zal wellicht met een usb stick zonder encryptie gedaan moeten worden. Maar dat word niet gedaan door het personeel dat dit soort data mee naar huis neemt voor de een of andere reden.
Er komt veel meer bij kijken als je denk in een ziekenhuis of andere zorg instelling.
Er hadden meer cursussen gegeven moeten worden aan het personeel over bewustwording mbt data veiligheid en de impact die er is als daar iets mee 'fout' gaat.
Helaas vinden mensen gemak voor hun zelf veel belangrijker dan data veiligheid. Daar helpen bewustwording cursussen maar heel erg weinig aan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.