Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MMC meldt DATALEK

31-12-2021, 22:58 door DataX, 8 reacties
Máxima MC (Medisch Centrum Eindhoven) is door een anonieme melder op de hoogte gebracht dat er een overzicht met patiënteninformatie van een kleine groep patiënten in de handen van deze melder terecht is gekomen.

Deze melder geeft aan dat hij/zij een overzicht heeft gevonden waarop vertrouwelijke gegevens staan van patiënten die gedurende een dienst op een afdeling in MMC lagen. Het is op dit moment nog niet duidelijk wie achter deze anonieme melding zit en hoe dit document in handen van de anonieme melder terecht is gekomen.

De bescherming van de privacy van onze patiënten heeft onze hoogste prioriteit. We zijn dan ook direct een onderzoek gestart naar wat wij beschouwen als een datalek. De betrokken patiënten hebben wij meteen persoonlijk ingelicht. Ook is melding gemaakt bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd.

https://www.mmc.nl/2021/12/31/mmc-op-de-hoogte-gebracht-van-mogelijk-datalek/
https://www.ad.nl/binnenland/maxima-medisch-centrum-meldt-datalek-patientengegevens-mogelijk-in-verkeerde-handen~aaf19848/
Reacties (8)
01-01-2022, 08:53 door Anoniem
Het is niet de vraag of je persoonlijke gegevens/informatie gelekt worden maar wanneer deze gelekt worden!?
01-01-2022, 09:25 door Anoniem
En dit vlak voor het begin van het nieuwe jaar.
We kunnen ons weer opmaken voor het volgende data-incident...
01-01-2022, 14:09 door Anoniem
https://www.mmc.nl/2021/12/31/mmc-op-de-hoogte-gebracht-van-mogelijk-datalek/

Quote:

"Het is op dit moment nog niet duidelijk wie achter deze anonieme melding zit en hoe dit document in handen van de anonieme melder terecht is gekomen."

Let wel: De vinder heeft bij de Covid-afdeling aangegeven dat deze het document op straat heeft aangetroffen. De patientengegevens lagen dus letterlijk op straat. Wat het MMC hier naar buiten brengt is dus onjuist, het is wel degelijk duidelijk: Iemand werkzaam in het MMC moet het hebben uitgeprint in het ziekenhuis, vervolgens geheel tegen het beleid in mee naar buiten hebben genomen en hij of zij is het vervolgens onderweg verloren.

Behalve dat van de betrokken patienten hun medische prive-gegevens letterlijk op straat zijn komen te liggen, is het ook betreurenswaardig dat de eerlijke vinder zich aan de burgerplicht dacht te houden door dit netjes bij het MMC te melden i.p.v. er mee naar een journalist te stappen, die de vinder vervolgens bronbescherming had kunnen bieden (dan was de zeer gevoelige inhoud van de gegevens waarschijnlijk gepubliceerd, exclusief de patientennamen uiteraard). Maar daarentegen bedreigt de afdeling gegevensbescherming de vinder nu met "genoodzaakt te zijn om aangifte te doen van verduistering" (waar 3 jaar gevangenisstraf op staat), omdat deze het document niet naar hen toe heeft gebracht, maar hen per email op de hoogte had gesteld.

De omgedraaide wereld...
01-01-2022, 19:22 door Anoniem
Door Anoniem: Let wel: De vinder heeft bij de Covid-afdeling aangegeven dat deze het document op straat heeft aangetroffen. De patientengegevens lagen dus letterlijk op straat.
Waar heb je die informatie gevonden?

Behalve dat van de betrokken patienten hun medische prive-gegevens letterlijk op straat zijn komen te liggen, is het ook betreurenswaardig dat de eerlijke vinder zich aan de burgerplicht dacht te houden door dit netjes bij het MMC te melden
[...]
Maar daarentegen bedreigt de afdeling gegevensbescherming de vinder nu met "genoodzaakt te zijn om aangifte te doen van verduistering" (waar 3 jaar gevangenisstraf op staat), omdat deze het document niet naar hen toe heeft gebracht, maar hen per email op de hoogte had gesteld.
Je weet alweer een hoop dat ik nog niet ergens anders tegen ben gekomen.

De burgerplicht is inderdaad om het te melden, bij de eigenaar of bij de gemeente, maar daar stopt de plicht niet mee. Als de vinder zich de vondst toeëigent, het document dus niet afgeeft aan de eigenaar of de gemeente als daarom gevraagd wordt, dan is het inderdaad verduistering volgens artikel 321 van het Wetboek van strafrecht.

Ik kan natuurlijk makkelijk dingen gemist hebben (en dan zou ik een link naar de informatie op prijs stellen), maar mocht je deze dingen weten omdat je zelf de vinder bent: werk jezelf niet in de nesten en snap dat je als vinder niet de eigenaar van het document bent, dat is nog steeds eigendom van het ziekenhuis. Als het ziekenhuis jou vraagt om het terug te bezorgen, bezorg het dan ook terug. Doe je dat niet, dan gedraag je je alsof je het document zelf wederrechtelijk in eigendom hebt genomen, en dan maak je je inderdaad schuldig aan verduistering.

Als het ziekenhuis op de e-mail van de vinder heeft geantwoord met het verzoek het document terug te bezorgen, en daarbij heeft aangegeven dat dat nalaten verduistering is en dat ze daar dan ook aangifte van zullen doen, dan kan ik me best voorstellen dat de vinder daar even van moet slikken, maar toch vind ik het geen bedreiging. Ik snap namelijk heel goed dat dat ziekenhuis in gebreke zou blijven als ze bij verduistering geen aangifte zouden doen. Dus is het verstandig en zelfs netjes van ze om de vinder te laten weten dat dit geen vrijblijvende vondst is en dat het een erg vervelende kant opgaat als die het document niet teruggeeft.

Dus als je de vinder bent (of weet wie dat is): wees geen rund en bezorg dat document netjes terug.
03-01-2022, 17:08 door Anoniem
We kunnen ons weer opmaken voor het volgende data-incident...
Ondertussen een regering die in gaat zetten op 'digitalisering'.

Maakt niet uit, het gaat maar om burgers.
04-01-2022, 07:59 door gradje71
Door Anoniem: Het is niet de vraag of je persoonlijke gegevens/informatie gelekt worden maar wanneer deze gelekt worden!?
Ik kan nog wel een aantal vragen meer opstellen, zoals:
* Waarom wordt deze data gelekt
* Hoe wordt deze data gelekt
* Wat wordt in deze data gelekt
* Wie lekt deze data

Dit zijn standaard vragen die iedereen kan bedenken. De vragen die ik zou stellen: Is het opzet geweest?
04-01-2022, 09:15 door majortom
Door Anoniem:
Door Anoniem: Let wel: De vinder heeft bij de Covid-afdeling aangegeven dat deze het document op straat heeft aangetroffen. De patientengegevens lagen dus letterlijk op straat.
Waar heb je die informatie gevonden?
https://www.mmc.nl/2021/12/31/mmc-op-de-hoogte-gebracht-van-mogelijk-datalek/

Daar staat:
Onderzoek van Máxima MC heeft bevestigd dat er vertrouwelijke informatie van een kleine groep patienten in handen is gekomen van een anonieme melder. De anonieme melder heeft ons laten weten een papieren document van Máxima MC op straat te hebben gevonden.

Door Anoniem:
Door Anoniem: Behalve dat van de betrokken patienten hun medische prive-gegevens letterlijk op straat zijn komen te liggen, is het ook betreurenswaardig dat de eerlijke vinder zich aan de burgerplicht dacht te houden door dit netjes bij het MMC te melden
[...]
Maar daarentegen bedreigt de afdeling gegevensbescherming de vinder nu met "genoodzaakt te zijn om aangifte te doen van verduistering" (waar 3 jaar gevangenisstraf op staat), omdat deze het document niet naar hen toe heeft gebracht, maar hen per email op de hoogte had gesteld.
Je weet alweer een hoop dat ik nog niet ergens anders tegen ben gekomen.
Ik weet niet waar dat vandaan komt, maar in bovenstaande link staat
De melder heeft het ziekenhuis schriftelijk laten weten de informatie niet verder te hebben gedeeld en het briefje te hebben vernietigd.
Verder niets te lezen over aangifte wegens verduistering. Of dat is verwijderd uit deberichtgeving of een broodje aap.
14-01-2022, 18:35 door Anoniem
Zowel dit bericht

van 1-1-2022
https://www.ed.nl/veldhoven/onderzoek-naar-datalek-maxima-medisch-centrum-br-nog-gaande-patientgegevens-vermoedelijk-niet-breder-gedeeld~a6f8a4f6/

als dit bericht

van 3-1-2022
https://www.ed.nl/veldhoven/datalek-bij-maxima-mc-veldhoven-was-a4-tje-met-daarop-gegevens-van-13-patienten~ab5436e8/

zijn best lachertjes:

Ten eerste staat in het persbericht van 1 januari dat het ziekenhuis 'gisteren' een anonieme melding kreeg, terwijl de vinder op 28 december de melding al deed.
De grap is dat de vinder daarna dus eerst bedreigd werd met "wij zijn verplicht om" en "de noodzaak om aangifte te doen van verduistering", terwijl een verzoek tot vernietigen van dit gedeeltelijke dossier voldoende was geweest. Pas toen de vinder aangaf dat het dan waarschijnlijk een rechtzaak zou worden waarbij de pers uiteraard ook op de hoogte zou geraken van het lek, heeft het MMC ineens in allerijl een persbericht naar buiten gedaan.

Verder schrijven ze in hetzelfde artikel; "We weten dus niet wie deze persoon is, en wat zijn functie is", aldus Rijpma", terwijl de vinder al meteen had aangegeven een toevallige voorbijganger te zijn die geen functie had in het ziekenhuis, noch baat had bij verspreiding van het dossier. Het lijkt erop dat ze de oorzaak van het lek in de eerste instantie bij de vinder probeerden te leggen, ipv het aan een interne fout te wijten.

In het tweede artikel stond eerst vermeld dat de patienten om wie het ging excuses en een bloemetje van het ziekenhuis hadden ontvangen en dat de vinder zeker ook een bloemetje had gekregen als ze wisten wie het was. (Vooruitgang: Van dreiging met 3 jaar gevangenisstraf naar "we zijn hem er zeer erkentelijk voor" plus; een bosje bloemen!!) maar daarna is uit het artikel weer ineens weggehaald dat de patienten excuses en een bloemetje hebben gekregen?! Ik denk dat een patient zijn of haar bloemetje kwam opeisen ofzo ;) enfin, in de latere rectificatie zijn de betrokken patienten slechts "op de hoogte gesteld". Ik zie ze er bij de afdeling beveiliging en communicatie van het MMC zelfs toe in staat dat ze de uitgedeelde bloemetjes bij nader inzien weer bij de patienten hebben opgehaald. :P

En het bloemetje voor de vinder; dat mogen ze op een prominente plek op de balie van de Covid-afdeling zetten...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.