Opnieuw Kamervragen over gevoelig datalek bij medisch laboratorium
Opnieuw zijn er in de Tweede Kamer vragen gesteld over het gevoelige datalek bij Clinical Diagnostics uit Rijswijk, waar gegevens van 485.000 vrouwen werden gestolen die aan het bevolkingsonderzoek baarmoederhalskanker deelnamen, alsmede patiënten van huisartsen en ziekenhuizen. "Hoe bestaat het dat het anno 2025, in tijden dat we maximaal weerbaar moeten zijn, mogelijk is om bij een zorgpartij van een half miljoen Nederlanders uiterst gevoelige medische gegevens en persoonsgegevens te stelen?", vragen NSC-Kamerleden Hertzberger en Six-Dijkstra aan demissionair minister Jansen van Volksgezondheid.
"Waarom wordt het lekken van persoonlijke en medische gegevens van een half miljoen Nederlanders pas meer dan vier weken later openbaar gemaakt? Klopt het dat er al eerder een lek bij dit laboratorium was gesignaleerd maar daar niet naar werd gehandeld, er geen consequenties waren?", vragen de Kamerleden verder. De minister moet ook duidelijk maken of het laboratorium werkt met het gespreid en versleuteld opslaan van een minimaal benodigde hoeveelheid gegevens.
Jansen is ook gevraagd of het het laboratorium over de NEN 7510 certificering voor databeveiliging beschikt. "Klopt het dat alle zorgpartijen die met bijzondere persoonsgegevens werken verplicht zijn om aan de NEN7510 richtlijn te voldoen? Voldeed dit lab hieraan? Gaan medische laboratoria onder de NIS-2 wetgeving vallen?", willen Hertzberger en Six-Dijkstra aanvullend weten.
De NSC-Kamerlid vragen verder welke andere zorgpartijen over de medische en persoonsgegevens van honderdduizenden Nederlanders beschikken zonder dat de dataveiligheid op orde is en wat de gevolgen van het datalek voor de veiligheid van Nederlanders zijn. De minister heeft drie weken om met een reactie te komen. Gisteren kwam ook de BBB al met Kamervragen over het datalek voor de minister.
Checklists helpen, ware het niet dat deze enorm afhankelijk zijn van de context.
Het omzetten van generieke normen naar zinvolle checklists is een gigantische klus - die alleen goed kan worden uitgevoerd door mensen die de organisatie plus alle gebruikte systemen goed kennen, en die zich voortdurend verdiepen in dreigingen en tegenmaatregelen. Het is altijd zóveel werk dat je moet prioriteren. Maar in de praktijk is dat hartstikke lastig voordat je überhaupt alle dreigingen hebt geïnventariseerd.
Zo'n klus wordt meestal bemoeilijkt doordat er, in organisaties, voortdurend vanalles verandert - en heel vaak doordat (lagere) leidinggevenden "die lui van security" als een blok aan hun been beschouwen en stilletjes veranderingen doorvoeren.
Als het hogere management "security" als een noodzakelijk kwaad beschouwt dat "zo min mogelijk" aandacht (en budget) moet krijgen, ben je als beveiliger bezig met een kansloze missie.
En als de directeur zich heeft "ingelezen" in bijv. https://certificeringsadvies.nl/kosten-nen-7510-zo-is-de-kostenstructuur-opgebouwd/ en/of met een partij als https://www.online-iso.nl/product/iso-27001/ aankomt, raad ik je, als verantwoordelijke voor security, aan om vandaag nog een andere baan te zoeken.
Checklists helpen, ware het niet dat deze enorm afhankelijk zijn van de context.
Het omzetten van generieke normen naar zinvolle checklists is een gigantische klus - die alleen goed kan worden uitgevoerd door mensen die de organisatie plus alle gebruikte systemen goed kennen, en die zich voortdurend verdiepen in dreigingen en tegenmaatregelen. Het is altijd zóveel werk dat je moet prioriteren. Maar in de praktijk is dat hartstikke lastig voordat je überhaupt alle dreigingen hebt geïnventariseerd.
Zo'n klus wordt meestal bemoeilijkt doordat er, in organisaties, voortdurend vanalles verandert - en heel vaak doordat (lagere) leidinggevenden "die lui van security" als een blok aan hun been beschouwen en stilletjes veranderingen doorvoeren.
Als het hogere management "security" als een noodzakelijk kwaad beschouwt dat "zo min mogelijk" aandacht (en budget) moet krijgen, ben je als beveiliger bezig met een kansloze missie.
En als de directeur zich heeft "ingelezen" in bijv. https://certificeringsadvies.nl/kosten-nen-7510-zo-is-de-kostenstructuur-opgebouwd/ en/of met een partij als https://www.online-iso.nl/product/iso-27001/ aankomt, raad ik je, als verantwoordelijke voor security, aan om vandaag nog een andere baan te zoeken.
Daarom is de NIS2 zo fijn, die legt de volledige verantwoordelijkheid bij management. Het probleem dan is enkel nog handhaving. En het moet uiteraard nog eerst op veel groter niveau verkeerd gaan.
In een ideale wereld gaan de verantwoordelijkheden dan de cel in. En dan doet angst de rest wel.
Maar in de praktijk zal het wel weer een drama worden waarbij jarenlang niets gedaan worden en 'kamervragen' gesteld worden.. Ook worden overheden al weer uitgesloten van NIS2 en zijn ambtenaren onschendbaar.
Dat is mijn mening hierover.
Misschien een Poll waard?
Moet Clinical Diagnostics gesloten worden?
1) Ja
2) Nee
3) Alleen de verantwoordlijken moeten gestraft worden
4) Geen mening.
papieren documenten office heropend
secretaris,secretaressen in dienst
archieven met files op papier,pen en papier
niets meer op een server of in de cloud
burgers hebben meer zekerheden
wat ze nu niet hebben,alles maar
moeten uploaden en dan is het niet veilig.
Het gebeurt te vaak en teveel
en ook nog weken na de uitgebrachte updates
zijn de updates voor servers nog niet geinstalleerd,mosterd
na de maaltijd.
"Op papier was alles in orde, en toch ging het fout."
Ra ra, hoe kan dat.
"We hebben alle papiertjes toch?"
Dat we er niet naar handelen, daar letten we niet op.
Alles moet tegenwoordig benaderbaar zijn vanaf het internet. Want we delen veel met elkaar, en cloudopslag is ook sexy.
Dit soort gevoelige data, opsplitsen waarbij persoonsgegevens en medische gegevens niet in dezelfde database zitten, en niet op dezelfde server staan is een begin. Die servers fysiek scheiden van het netwerk dat met het internet verbonden is, is het vervolg. Een consequentie is dan wel dat medwerkers onsite met die data zouden moeten werken. Of dat de data tijdelijk "anoniem" gemaakt is.
Gemak voor veiligheid is vaak het mantra.
Tel uit je winst (of in dit geval: verlies)
Hoe vaak moet het in de zorg-sector fout blijven gaan, voordat er harder opgetreden wordt?
En waarom moet dit (indirect) gemeenschapsgelden kosten.
Laat de directieleden en eigenaren deze kosten zelf prive maar dragen.
Aan de politieke vraagstellers:
Vooruitzien is regeren.
Hoe kunt u overvallen zijn door dit voorval? Regeert u niet, daar in dat verre Den Haag?
En reageren is iets anders dan regeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?