Ziekenhuizen reageren op datadiefstal bij medisch laboratorium
Verschillende Nederlandse ziekenhuizen hebben gereageerd op de datadiefstal bij het medische laboratorium Clinical Diagnostics uit Rijswijk en berichtgeving dat ook gegevens van ziekenhuispatiënten zijn gestolen. Gisterenmiddag meldden Bevolkingsonderzoek Nederland en demissionair minister Jansen van Volksgezondheid dat bij het laboratorium de gegevens van 485.000 vrouwen zijn gestolen die deel hebben genomen aan het bevolkingsonderzoek baarmoederhalskanker.
Clinical Diagnostics meldde niet veel later dat er ook data is gestolen van zorgverleners en patiënten die onderzoek hebben laten verrichten bij het laboratorium. "Helaas gaat dit datalek verder dan alleen Bevolkingsonderzoek Nederland", aldus Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg. Dat laat aanvullend weten dat het andere zorginstellingen die rechtstreeks zijn geraakt heeft kunnen informeren. Namen van deze andere zorginstellingen zijn niet bekendgemaakt. De aanvallers claimen bij het lab 300 gigabyte aan data te hebben gestolen, zo lieten ze op 6 juli op de eigen website weten. De criminelen, een ransomwaregroep genaamd Nova, deelden 100MB aan gestolen data.
RTL Nieuws meldde op basis van de gelekte gegevens dat het ook om data gaat van patiënten van het Leids Universitair Medisch Centrum (LUMC), Amphia ziekenhuis en Alrijne ziekenhuis, alsmede veel onderzoeken die door huisartsen zijn uitgeschreven. De ziekenhuizen zijn vandaag met een reactie gekomen. Alrijne laat weten dat het bevestiging van Clinical Diagnostics kreeg dat er geen data van patiënten van Alrijne was gestolen. "Inmiddels vernemen we via de media andere berichten. We zijn hier uiteraard van geschrokken", aldus het ziekenhuis, dat het lab om extra informatie en opheldering heeft gevraagd.
"Verschillende media plaatsten gisteren berichten over een datalek van patiëntgegevens bij het Rijswijkse laboratorium Clinical Diagnostics. Daarbij werd ook gemeld dat het LUMC zou zijn getroffen", meldt het Leids Universitair Medisch Centrum. "Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens. Het LUMC is zelf niet gehackt. Het LUMC stuurt incidenteel onderzoeksmateriaal, zoals weefsel, naar Rijswijk voor verdere analyse."
"Amphia heeft kennisgenomen van de berichtgeving over een datalek bij Bevolkingsonderzoek Nederland. We betreuren het dat dit hen is overkomen. Er is geen sprake van een datalek bij Amphia", laat het Amphia Ziekenhuis weten. Het ziekenhuis zegt dat het nog geen verdere informatie heeft ontvangen over de omvang van het datalek en in hoeverre zorgverleners en patiënten hierdoor zijn geraakt. "Over de ernst van de situatie kan Amphia daarom nu geen uitspraak doen."
"Op basis van door de hackersgroep gedeelde sample hebben wij kunnen vaststellen dat ook de eerstelijnszorg, waaronder huisartspraktijken, is geraakt", aldus Z-CERT. De organisatie stelt dat het vanwege de beperkte omvang van de gelekte data geen verdere conclusies kan trekken over de impact van de ransomware-aanval. "Hier is meer informatie voor nodig vanuit Clinical Diagnostics." Hoe de gegevens konden worden gestolen is nog niet bekendgemaakt. Organisaties die de gegevensverwerking aan aan andere partijen uitbesteden zijn vaak nog wel voor de data verantwoordelijk, zo laat de Autoriteit Persoonsgegevens weten.
Reacties (24)
Gisteren, 15:34 door
Anoniem
Dit is toch wel 1 van de grootste privacy datalekken tot nu toe in Nederland ! Wordt je niet vrolijk van als patient....
Gisteren, 15:51 door
Anoniem
Wat ik mij afvraag hoe het toch mogelijk is dat data (naw gegevens) 1 op 1 wordt doorgegeven naar derden.
Zeer onsmakelijk. Die data had op zijn minst versleuteld moeten zijn, want het gaat een lab niks aan van wie het is.
Ik heb het gevoel dat ook al die ziekenhuizen kunnen worden aangeklaagd voor het doorspelen van NAW gegevens.
Daarnaast lees ik net dat de MIcrosoft infrastructuur ook niet voldoet aan NEN7510. Is dat waar?
Zeer onsmakelijk. Die data had op zijn minst versleuteld moeten zijn, want het gaat een lab niks aan van wie het is.
Ik heb het gevoel dat ook al die ziekenhuizen kunnen worden aangeklaagd voor het doorspelen van NAW gegevens.
Daarnaast lees ik net dat de MIcrosoft infrastructuur ook niet voldoet aan NEN7510. Is dat waar?
Gisteren, 15:52 door
Anoniem
Interessant standpunt van LUMC:
het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens.
. Ik geloof niet dat het zo werkt. Ik denk ook dat de AP niet heel blij is als er geen (voorlopige) datalekmelding door LUMC is gedaan.
Gisteren, 15:56 door
Anoniem
Grappig:
"Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
"Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
Gisteren, 16:05 door
Anoniem
De Telegraaf
Roof medische gegevens ’goudmijn’ voor criminelen:
’Ze kunnen dit jarenlang misbruiken voor fraude en chantage’
https://www.telegraaf.nl/binnenland/roof-medische-gegevens-goudmijn-voor-criminelen-ze-kunnen-dit-jarenlang-misbruiken-voor-fraude-en-chantage/83009276.html
Roof medische gegevens ’goudmijn’ voor criminelen:
’Ze kunnen dit jarenlang misbruiken voor fraude en chantage’
https://www.telegraaf.nl/binnenland/roof-medische-gegevens-goudmijn-voor-criminelen-ze-kunnen-dit-jarenlang-misbruiken-voor-fraude-en-chantage/83009276.html
Gisteren, 16:22 door
Anoniem
Door Anoniem: Grappig:
"Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
"Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
Als LUMC de opdracht geeft, is LUMC volgens de AVG de verwerkingsverantwoordelijke (art. 4 onder 7 AVG).
Lijkt me een gevalletje "Mijn naam is haas" van LUMC. Futiele poging om het eigen stoepje schoon te vegen. Vooral geen verantwoordelijkheid nemen lijkt het devies. Zoals zo vaak als het om de privacy van mensen gaat.
Zou LUMC wel verantwoordelijkheid nemen als er bij de MEDISCHE behandeling van patiënten wat mis gaat? Of is het dan ook zo'n attitude van: "Vraagt u het maar aan de dokter die de operatie heeft uitgevoerd, het LUMC zelf heeft niet te maken met het feit dat er een medisch instrument in de buikholte van de patiënt is achtergebleven." ..??
Gisteren, 16:32 door
Anoniem
Door Anoniem: Grappig:
"Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
Het zal van de kleine lettertjes in de contracten afhangen. Als het laboratorium daarin als verwerkingsverantwoordeijke wordt aangemerkt, dan moeten de ziekenhuizen alleen verantwoording af leggen voor het kiezen van een gegevenslekke onderaannemer en het (nodeloos?) delen van gegevens met hen. De ziekenhuizen houden hier een eigen verantwoordelijkheid."Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
Wanneer het laboratorium slechts als verwerker wordt aangemerkt (onwaarschijnlijk), dan zitten de ziekenhuizen behoorlijk diep in de problemen. Gebrekkige instructies verstrekt, onvoldoende controle uitgeoefend...
Gisteren, 16:52 door
Reinder
Door Anoniem: Wat ik mij afvraag hoe het toch mogelijk is dat data (naw gegevens) 1 op 1 wordt doorgegeven naar derden.
Zeer onsmakelijk. Die data had op zijn minst versleuteld moeten zijn, want het gaat een lab niks aan van wie het is.
Ik heb het gevoel dat ook al die ziekenhuizen kunnen worden aangeklaagd voor het doorspelen van NAW gegevens.
Daarnaast lees ik net dat de MIcrosoft infrastructuur ook niet voldoet aan NEN7510. Is dat waar?
Zeer onsmakelijk. Die data had op zijn minst versleuteld moeten zijn, want het gaat een lab niks aan van wie het is.
Ik heb het gevoel dat ook al die ziekenhuizen kunnen worden aangeklaagd voor het doorspelen van NAW gegevens.
Daarnaast lees ik net dat de MIcrosoft infrastructuur ook niet voldoet aan NEN7510. Is dat waar?
Waarom t.b.v weefselonderzoek voor huisartsen zo'n lab beschikt over de NAW gegevens van de patient weet ik niet, ik weet ook niet of dat uberhaupt zo is. Als die gegevens daar ook in zitten dan kan je daar vragen bij stellen alhoewel er ook meerdere verklaringen mogelijk zijn en het dus niet noodzakelijkerwijs onnodig was.
Waarom bij een grootschalig bevolkingsonderzoek (ik heb het niet specifiek over dit onderzoek, maar in het algemeen) de NAW-gegevens in de dataset zitten is wel eenvoudiger te verklaren; als je wil onderzoeken of er een relatie bestaat tussen bijvoorbeeld de woonplaats en bepaalde aandoeningen. Ter illustratie, stel dat je wil onderzoeken of longkanker vaker voorkomt als mensen dichterbij een staalfabriek wonen, dan wil je zo nauwkeurig mogelijk weten waar mensen wonen. Op zich is dat dus niet zo heel vreemd.
Voor wat betreft die versleuteling: Data versleutelen is niet de magische oplossing voor alles. Ja dat moet, en misschien was het zelfs ook wel zo. Dit helpt als die data getransporteerd wordt, of als een datadrager verloren raakt. Maar als je die data wil gebruiken, dan moet op enig moment die data ontsleuteld beschikbaar zijn anders kan je er niets mee. Als jij met je browser over een HTTPS-verbinding versleuteld een website bezoekt dan is de data tijdens transport versleuteld, maar iemand die op jouw systeem mee kan kijken naar wat op jouw scherm staat heeft daar geen enkele last van, jouw browser moet het ontsleutelen om de data te presenteren. Ik heb geen exacte details kunnen vinden over hoe precies deze data is buitgemaakt en in welke vorm, maar op enig moment moet ergens die data ontsleuteld worden voor gebruik in analyse-software. Als daar de kwetsbaarheid zat dan biedt versleuteling geen bescherming.
Gisteren, 17:07 door
Anoniem
Door Anoniem:
Wanneer het laboratorium slechts als verwerker wordt aangemerkt (onwaarschijnlijk), dan zitten de ziekenhuizen behoorlijk diep in de problemen. Gebrekkige instructies verstrekt, onvoldoende controle uitgeoefend...
Door Anoniem: Grappig:
"Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
Het zal van de kleine lettertjes in de contracten afhangen. Als het laboratorium daarin als verwerkingsverantwoordeijke wordt aangemerkt, dan moeten de ziekenhuizen alleen verantwoording af leggen voor het kiezen van een gegevenslekke onderaannemer en het (nodeloos?) delen van gegevens met hen. De ziekenhuizen houden hier een eigen verantwoordelijkheid."Echter, het LUMC zelf heeft niet te maken met een datalek of diefstal van patiëntgegevens."
"Er is geen sprake van een datalek bij Amphia"
Dus zij zijn niet de "eigenaar" / "opdrachtgever" van de data die door het medische laboratorium Clinical Diagnostics uit Rijswijk voor hen wordt verwerkt?
Mis ik iets?
Wanneer het laboratorium slechts als verwerker wordt aangemerkt (onwaarschijnlijk), dan zitten de ziekenhuizen behoorlijk diep in de problemen. Gebrekkige instructies verstrekt, onvoldoende controle uitgeoefend...
Zucht. Waarom gaan toch zoveel mensen een beetje raden en eigen verhaaltjes bedenken terwijl het kristalhelder in de AVG is bepaald:
"Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. De organisatie die een andere organisatie inschakelt, is de verwerkingsverantwoordelijke. En die andere organisatie, die alleen maar feitelijk de verwerkingen uitvoert volgens de opdracht van de verwerkingsverantwoordelijke, heet een verwerker."
Oftewel de ziekenhuizen hangen. En dat werd hoog tijd ook want het is een enorme bende vwb verwerking van deze bijzondere persoonsgegevens.
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verantwoordelijke-en-verwerker
En voor de volledigheid: ook opslag en transport, dus zonder mutatie, vallen onder verwerking.
Gisteren, 17:11 door
Anoniem
Door Reinder: Waarom bij een grootschalig bevolkingsonderzoek (ik heb het niet specifiek over dit onderzoek, maar in het algemeen) de NAW-gegevens in de dataset zitten is wel eenvoudiger te verklaren; als je wil onderzoeken of er een relatie bestaat tussen bijvoorbeeld de woonplaats en bepaalde aandoeningen. Ter illustratie, stel dat je wil onderzoeken of longkanker vaker voorkomt als mensen dichterbij een staalfabriek wonen, dan wil je zo nauwkeurig mogelijk weten waar mensen wonen. Op zich is dat dus niet zo heel vreemd.
Toch wel erg vreemd. Want als mensen dichterbij een staalfabriek wonen, kan dat ook duidelijk worden uit in welke wijk ze wonen. Hun precieze naam en adres is dan niet relevant, laat staan hun BSN-nummer.
Daar komt bij, je moet niet alles volledig nauwkeurig willen weten. Het leidt vaak tot schijnprecisie en schijnduidelijkheid. Bijvoorbeeld dat "de economie" of "het BBP" of "het BNP" met 2,13% is gegroeid, op basis van de cijfers. Daar klampen mensen zich dan aanvast, omdat de groei "versneld" is omdat die "in het vorige kwartaal op jaarbasis" slechts 2,05% was gegroeid.
Gisteren, 17:12 door
Anoniem
Door Reinder: Waarom t.b.v weefselonderzoek voor huisartsen zo'n lab beschikt over de NAW gegevens van de patient weet ik niet, ik weet ook niet of dat uberhaupt zo is. Als die gegevens daar ook in zitten dan kan je daar vragen bij stellen alhoewel er ook meerdere verklaringen mogelijk zijn en het dus niet noodzakelijkerwijs onnodig was.
Omdat patientverwisselingen direct dodelijke gevolgen hebben. Het verschil tussen wel/geen kanker is nogal cruciaal. Daarom is 20 jaar geleden het BSN in de zorg ook ingevoerd, omdat de situatie met patientnummers een klerebende was waar dit regelmatig gebeurde.
Gisteren, 17:24 door
e.r.
Waar blijven de critische vragen van journalisten over nen7510 en waarom ze in godsnaam illegaal bsn nummers hebben? Waarom een certificeringsinstantie hem dat certificaat gunt terwijl ze het niet verdienen? Waar bojjft het intrekken?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Gisteren, 17:31 door
Anoniem
Door Anoniem:
Omdat patientverwisselingen direct dodelijke gevolgen hebben. Het verschil tussen wel/geen kanker is nogal cruciaal. Daarom is 20 jaar geleden het BSN in de zorg ook ingevoerd, omdat de situatie met patientnummers een klerebende was waar dit regelmatig gebeurde.
Door Reinder: Waarom t.b.v weefselonderzoek voor huisartsen zo'n lab beschikt over de NAW gegevens van de patient weet ik niet, ik weet ook niet of dat uberhaupt zo is. Als die gegevens daar ook in zitten dan kan je daar vragen bij stellen alhoewel er ook meerdere verklaringen mogelijk zijn en het dus niet noodzakelijkerwijs onnodig was.
Omdat patientverwisselingen direct dodelijke gevolgen hebben. Het verschil tussen wel/geen kanker is nogal cruciaal. Daarom is 20 jaar geleden het BSN in de zorg ook ingevoerd, omdat de situatie met patientnummers een klerebende was waar dit regelmatig gebeurde.
Blijkbaar is het nu een andere klerebende.
In dat opzicht is er dus niet veel veranderd.
Marktwerking (in oa. de zorg) zou toch alle problemen oplossen, was het mantra van de regeringen de afgelopen 20-30 jaar?
Niet dus.
Tijd voor een andere aanpak?
Gisteren, 17:33 door
Anoniem
Door Anoniem:
"Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. De organisatie die een andere organisatie inschakelt, is de verwerkingsverantwoordelijke. En die andere organisatie, die alleen maar feitelijk de verwerkingen uitvoert volgens de opdracht van de verwerkingsverantwoordelijke, heet een verwerker."
De zaak ligt subtiel anders. Het laboratorium is ingeschakeld om monsters te analyseren en heeft op dat gebied een eigen verantwoordelijkheid. Zij genereert data (informatie) in de vorm van analyseresultaten. Ik zie het laboratorium dan ook als verwerkingsverantwoordelijke voor deze resultaten. Waarom de ziekenhuizen volledige NAW gegevens verstrekken is mij onduidelijk."Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. De organisatie die een andere organisatie inschakelt, is de verwerkingsverantwoordelijke. En die andere organisatie, die alleen maar feitelijk de verwerkingen uitvoert volgens de opdracht van de verwerkingsverantwoordelijke, heet een verwerker."
(Ter vergelijking: is een webwinkel verwerkingsverantwoordelijke voor de gegevensverwerking van de pakketbezorgdienst die zij inschakelt?)
Gisteren, 18:01 door
Anoniem
Door Anoniem:
Omdat patientverwisselingen direct dodelijke gevolgen hebben. Het verschil tussen wel/geen kanker is nogal cruciaal. Daarom is 20 jaar geleden het BSN in de zorg ook ingevoerd, omdat de situatie met patientnummers een klerebende was waar dit regelmatig gebeurde.
Dan had die klerebende met patiëntnummers opgeruimd moeten worden.Door Reinder: Waarom t.b.v weefselonderzoek voor huisartsen zo'n lab beschikt over de NAW gegevens van de patient weet ik niet, ik weet ook niet of dat uberhaupt zo is. Als die gegevens daar ook in zitten dan kan je daar vragen bij stellen alhoewel er ook meerdere verklaringen mogelijk zijn en het dus niet noodzakelijkerwijs onnodig was.
Omdat patientverwisselingen direct dodelijke gevolgen hebben. Het verschil tussen wel/geen kanker is nogal cruciaal. Daarom is 20 jaar geleden het BSN in de zorg ook ingevoerd, omdat de situatie met patientnummers een klerebende was waar dit regelmatig gebeurde.
In plaats van de medische privacy van alle patiënten voor de bus te gooien.
Maar ja, dat BSN-nummer was er nu eenmaal, dus dan is het legaliseren van grootschalige function creep en privacy aantasting de makkelijkste weg voor incompetente managers, parlementsleden en regering.
Zo gezegd, zo gedaan en kijk, 20 jaar later zitten we met de gebakken peren. Waar die managers, parlementsleden en ministers van destijds helemaal geen last van hebben, want die hebben ergens een lucratief baantje of zijn al met pensioen.
Gisteren, 18:06 door
Anoniem
Door e.r.: Waar blijven de critische vragen van journalisten over nen7510 en waarom ze in godsnaam illegaal bsn nummers hebben? Waarom een certificeringsinstantie hem dat certificaat gunt terwijl ze het niet verdienen? Waar bojjft het intrekken?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Omdat iedereen op social media en gratis websites zit, zijn de abonnementen op de kranten gigantisch teruggegaan. Het zijn vooral deze kranten die de onderzoeksjournalisten in dienst hadden. Dus de vraag “waar zijn de journalisten” is eigenlijk de vraag:”heeft U nog een krantenabonnement?”
Gisteren, 18:35 door
VM
Waar ik mij nog het meest over opwindt is het feit dat je als gewone burger nergens kunt vaststellen welke gegevens dan over je gelekt zijn. Iedereen houdt zijn kaken stijf dicht.
Gisteren, 18:35 door
Anoniem
Door e.r.: Waar blijven de critische vragen van journalisten over nen7510 en waarom ze in godsnaam illegaal bsn nummers hebben? Waarom een certificeringsinstantie hem dat certificaat gunt terwijl ze het niet verdienen? Waar bojjft het intrekken?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Er zijn zat kritische nieuwsartikelen en het wordt uitvoerig besproken in de overheid, ook was het in het NOS-journaal.Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
En inderdaad, wij zijn er ook gezellig met z'n allen over aan het praten.
Gisteren, 18:37 door
Anoniem
Door e.r.: Waar blijven de critische vragen van journalisten over nen7510 en waarom ze in godsnaam illegaal bsn nummers hebben? Waarom een certificeringsinstantie hem dat certificaat gunt terwijl ze het niet verdienen? Waar bojjft het intrekken?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Oh... nen7510... Ik dacht dat u het over het huidige onderwerp had, excuses daarvoor, my bad.Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Gisteren, 20:49 door
Anoniem
Door e.r.: Waar blijven de critische vragen van journalisten over nen7510 en waarom ze in godsnaam illegaal bsn nummers hebben? Waarom een certificeringsinstantie hem dat certificaat gunt terwijl ze het niet verdienen? Waar bojjft het intrekken?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
Waar zijn de èchte journalisten gebleven ipv de napraters/schrijvers?
"nen7510". Daar haal je krantenkoppen en het journaal mee.
Elke ervaren redacteur zal zo'n item, als een journalist daar mee aankomt, meteen de prullenbak in bonjouren.
Want het is niet sexy. En de lezer/kijker snapt het niet (op een paar ICT-nerds na)
Dus wat is een betere aanvlieg route?
?? RTL: gegevens minister, tbs'ers en gedetineerden in datalek laboratorium ??
Dat trekt aandacht.
Is begrijpbaar voor het plebs met een korte aandachtspanne. (en geen kennis nodig van nen-normen)
Nu jij weer. :-)
Hoe denk jij dat zo;n artikel over nen7510 en dit incident de aandacht van de lezer of kijker kan grijoen.
En dien het daarna ook eens in bij een krant of het journaal. Kijken hoe die reageren.
Gisteren, 20:51 door
Anoniem
Door Anoniem:
Precies, bovendien kun je als je het nog nauwkeuriger wilt hebben met postcodes (zònder huisnummer) werken. Nog geen man overboord.Door Reinder: Waarom bij een grootschalig bevolkingsonderzoek (ik heb het niet specifiek over dit onderzoek, maar in het algemeen) de NAW-gegevens in de dataset zitten is wel eenvoudiger te verklaren; als je wil onderzoeken of er een relatie bestaat tussen bijvoorbeeld de woonplaats en bepaalde aandoeningen. Ter illustratie, stel dat je wil onderzoeken of longkanker vaker voorkomt als mensen dichterbij een staalfabriek wonen, dan wil je zo nauwkeurig mogelijk weten waar mensen wonen. Op zich is dat dus niet zo heel vreemd.
Toch wel erg vreemd. Want als mensen dichterbij een staalfabriek wonen, kan dat ook duidelijk worden uit in welke wijk ze wonen. Hun precieze naam en adres is dan niet relevant, laat staan hun BSN-nummer.(..)
Gisteren, 21:34 door
Anoniem
Daar komt bij, je moet niet alles volledig nauwkeurig willen weten. Het leidt vaak tot schijnprecisie en schijnduidelijkheid. Bijvoorbeeld dat "de economie" of "het BBP" of "het BNP" met 2,13% is gegroeid, op basis van de cijfers. Daar klampen mensen zich dan aanvast, omdat de groei "versneld" is omdat die "in het vorige kwartaal op jaarbasis" slechts 2,05% was gegroeid.
Wat je wel en wat je (persé) niet wilt weten wordt natuurlijk in hoge mate politiek bepaald (financiering van onderzoek). Waar wordt wèl onderzoek naar gedaan en waarnaar niét (een beroemd voorbeeld is oversterfte en het aandeel van vaccinaties in het veroorzaken van gezondheidsschade).
Los daarvan hebben we een getallenfetisjisme omdat getallen exact lijken, maar vaak als verpakking dienen voor datamanipulatie. Die manipulatie wil dan niet gezien worden (want daar hangen veel kostwinningen aan vast) dus dan gaan we het hebben over de spreekwoordelijke drie_cijfers_achter_de_komma, die de voor-of achteruitgang van een maatschappelijk verschijnsel (probleem) zouden aanduiden.
Zo creëren we een schijnwerkelijkheid waarin het beter verwijlen is, zolang je materiële leven nog niet wordt aangetast, dan de echte werkelijkheid. De 'performance'-politiek is, kortom, breed doorgedrongen.
Ik heb zelf de opvatting dat het grootste en meest belangrijke deel van de maatschappelijke werkelijkheid niet met getallen te benaderen is en dat daarom vrijwel al het kwantitatieve onderzoek afgeschaft kan worden.
Zaken als ethiek, (on)wil en (on)macht van mensen zijn veel doorslaggevender.
Maar ook veel confronterender dan menige onderzoeksuitkomst of "statistiek".
Gisteren, 22:02 door
Anoniem
Door Anoniem:
(Ter vergelijking: is een webwinkel verwerkingsverantwoordelijke voor de gegevensverwerking van de pakketbezorgdienst die zij inschakelt?)
Door Anoniem:
"Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. De organisatie die een andere organisatie inschakelt, is de verwerkingsverantwoordelijke. En die andere organisatie, die alleen maar feitelijk de verwerkingen uitvoert volgens de opdracht van de verwerkingsverantwoordelijke, heet een verwerker."
De zaak ligt subtiel anders. Het laboratorium is ingeschakeld om monsters te analyseren en heeft op dat gebied een eigen verantwoordelijkheid. Zij genereert data (informatie) in de vorm van analyseresultaten. Ik zie het laboratorium dan ook als verwerkingsverantwoordelijke voor deze resultaten. Waarom de ziekenhuizen volledige NAW gegevens verstrekken is mij onduidelijk."Organisaties schakelen vaak andere organisaties in om persoonsgegevens voor hen te verwerken. Bijvoorbeeld door de boekhouding uit te besteden. Of door gebruik te maken van een clouddienst die persoonsgegevens opslaat. De organisatie die een andere organisatie inschakelt, is de verwerkingsverantwoordelijke. En die andere organisatie, die alleen maar feitelijk de verwerkingen uitvoert volgens de opdracht van de verwerkingsverantwoordelijke, heet een verwerker."
(Ter vergelijking: is een webwinkel verwerkingsverantwoordelijke voor de gegevensverwerking van de pakketbezorgdienst die zij inschakelt?)
Lees de AVG nu eens voordat je iets "ziet". De verwerkingsverantwoordelijke (data controller) is de persoon of organisatie die "het doel van de verwerking van persoonsgegevens vaststelt" (artikel 4 onder 7 AVG). Dat is bijvoorbeeld Bevolkingsonderzoek Nederland (waarbij betrokkenen zich uit vrije wil hebben aangemeld), of een ziekenhuis (waarmee patiënten een behandelingsovereenkomst hebben afgesloten op grond van de WGBO - Wet Geneeskundige Behandelingsovereenkomst).
Het laboratorium krijgt die persoonsgegevens alleen in handen om ze voor de doelen van bijv. Bevolkingsonderzoek Nederland te verwerken, of voor de doelen van zo'n ziekenhuis. Daarmee is het laboratorium een verwerker ("processor", artikel 4 onder 8 AVG). De patiënt geeft die data niet zelf aan het laboratorium, het laboratorium werkt in opdracht van de verwerkingsverantwoordelijken die de doelen vaststellen (nadat de patiënt of het datasubject daarmee heeft ingestemd, rechtstreeks of via een "contract" met de verwerkingsverantwoordelijke).
Elke verwerker heeft inderdaad een eigen verantwoordelijkheid, maar dat is de verantwoordelijkheid om zich te houden aan de verwerkersovereenkomst die hij met de verwerkingsverantwoordelijke heeft afgesloten.
Als er in die verwerkersovereenkomst iets geks staat, bijvoorbeeld dat de data mogen worden overgeheveld naar een misdaadsyndicaat of dat ze mogen worden gepubliceerd op het dark web, dan kan om te beginnen de verwerkingsverantwoordelijke daarop worden aangesproken (en in tweede instantie ook de verwerker, bijvoorbeeld als er in de verwerkersovereenkomst iets strafbaars wordt afgesproken).
Meestal staat er in zo'n verwerkersovereenkomst iets heel anders, namelijk dat de verwerker de gegevens goed zal beveiligen, vaak met nog een toelichting erbij. Bijvoorbeeld "conform de normen van..." zeg, NEN7510 of iets dergelijks. Eén belangrijke vraag is nu dus wat er in dit geval staat in de verwerkersovereenkomsten tussen de verantwoordelijken (de data controllers) en het laboratorium, en of het laboratorium zich daaraan gehouden heeft.
Als de AP een onderzoek gaat instellen, dan is dat één van de vragen waarvan de AP zal moeten vaststellen hoe die beantwoord moet worden. Want dat bepaalt mede welke partijen op welke manier de AVG hebben overtreden.
Het alternatief is natuurlijk dat de AP zegt dat iedereen alles prima heeft gedaan maar dat er "helaas iets mis is gegaan" zonder dat iemand daaraan schuld heeft. Daarmee zou de AP zichzelf onsterfelijk belachelijk maken, maar goed, dat heeft de AP al vaker gedaan, dus dat zou niets nieuws onder de zon zijn. Gezien de publiciteit die e.e.a. nu gekregen heeft, verwacht ik dat de AP zich in dit geval ietsjes strenger zal uitspreken, en dan met opvallend milde sancties zal komen, bijvoorbeeld omdat verwerkingsverantwoordelijken en de verwerker beterschap beloven en de AP dat graag wil geloven.
Want ja, lief zijn voor elkaar, maar niet voor de burgers.
Gisteren, 22:20 door
Anoniem
Door Reinder:
Waarom t.b.v weefselonderzoek voor huisartsen zo'n lab beschikt over de NAW gegevens van de patient weet ik niet, ik weet ook niet of dat uberhaupt zo is. Als die gegevens daar ook in zitten dan kan je daar vragen bij stellen alhoewel er ook meerdere verklaringen mogelijk zijn en het dus niet noodzakelijkerwijs onnodig was.
Waarom bij een grootschalig bevolkingsonderzoek (ik heb het niet specifiek over dit onderzoek, maar in het algemeen) de NAW-gegevens in de dataset zitten is wel eenvoudiger te verklaren; als je wil onderzoeken of er een relatie bestaat tussen bijvoorbeeld de woonplaats en bepaalde aandoeningen. Ter illustratie, stel dat je wil onderzoeken of longkanker vaker voorkomt als mensen dichterbij een staalfabriek wonen, dan wil je zo nauwkeurig mogelijk weten waar mensen wonen. Op zich is dat dus niet zo heel vreemd.
Voor wat betreft die versleuteling: Data versleutelen is niet de magische oplossing voor alles. Ja dat moet, en misschien was het zelfs ook wel zo. Dit helpt als die data getransporteerd wordt, of als een datadrager verloren raakt. Maar als je die data wil gebruiken, dan moet op enig moment die data ontsleuteld beschikbaar zijn anders kan je er niets mee. Als jij met je browser over een HTTPS-verbinding versleuteld een website bezoekt dan is de data tijdens transport versleuteld, maar iemand die op jouw systeem mee kan kijken naar wat op jouw scherm staat heeft daar geen enkele last van, jouw browser moet het ontsleutelen om de data te presenteren. Ik heb geen exacte details kunnen vinden over hoe precies deze data is buitgemaakt en in welke vorm, maar op enig moment moet ergens die data ontsleuteld worden voor gebruik in analyse-software. Als daar de kwetsbaarheid zat dan biedt versleuteling geen bescherming.
Dat lab hoeft geen NAW gegevens te ontsleutelen. Het hoeft alleen maar te meten en het resultaat te noteren zonder dat men weet aan welke patient het is gekoppeld. Hoe moeilijk is dat?Door Anoniem: Wat ik mij afvraag hoe het toch mogelijk is dat data (naw gegevens) 1 op 1 wordt doorgegeven naar derden.
Zeer onsmakelijk. Die data had op zijn minst versleuteld moeten zijn, want het gaat een lab niks aan van wie het is.
Ik heb het gevoel dat ook al die ziekenhuizen kunnen worden aangeklaagd voor het doorspelen van NAW gegevens.
Daarnaast lees ik net dat de MIcrosoft infrastructuur ook niet voldoet aan NEN7510. Is dat waar?
Zeer onsmakelijk. Die data had op zijn minst versleuteld moeten zijn, want het gaat een lab niks aan van wie het is.
Ik heb het gevoel dat ook al die ziekenhuizen kunnen worden aangeklaagd voor het doorspelen van NAW gegevens.
Daarnaast lees ik net dat de MIcrosoft infrastructuur ook niet voldoet aan NEN7510. Is dat waar?
Waarom t.b.v weefselonderzoek voor huisartsen zo'n lab beschikt over de NAW gegevens van de patient weet ik niet, ik weet ook niet of dat uberhaupt zo is. Als die gegevens daar ook in zitten dan kan je daar vragen bij stellen alhoewel er ook meerdere verklaringen mogelijk zijn en het dus niet noodzakelijkerwijs onnodig was.
Waarom bij een grootschalig bevolkingsonderzoek (ik heb het niet specifiek over dit onderzoek, maar in het algemeen) de NAW-gegevens in de dataset zitten is wel eenvoudiger te verklaren; als je wil onderzoeken of er een relatie bestaat tussen bijvoorbeeld de woonplaats en bepaalde aandoeningen. Ter illustratie, stel dat je wil onderzoeken of longkanker vaker voorkomt als mensen dichterbij een staalfabriek wonen, dan wil je zo nauwkeurig mogelijk weten waar mensen wonen. Op zich is dat dus niet zo heel vreemd.
Voor wat betreft die versleuteling: Data versleutelen is niet de magische oplossing voor alles. Ja dat moet, en misschien was het zelfs ook wel zo. Dit helpt als die data getransporteerd wordt, of als een datadrager verloren raakt. Maar als je die data wil gebruiken, dan moet op enig moment die data ontsleuteld beschikbaar zijn anders kan je er niets mee. Als jij met je browser over een HTTPS-verbinding versleuteld een website bezoekt dan is de data tijdens transport versleuteld, maar iemand die op jouw systeem mee kan kijken naar wat op jouw scherm staat heeft daar geen enkele last van, jouw browser moet het ontsleutelen om de data te presenteren. Ik heb geen exacte details kunnen vinden over hoe precies deze data is buitgemaakt en in welke vorm, maar op enig moment moet ergens die data ontsleuteld worden voor gebruik in analyse-software. Als daar de kwetsbaarheid zat dan biedt versleuteling geen bescherming.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?