Nieuws
image

Tweede Kamer wil technische briefing over dataveiligheid in de zorg

vrijdag 22 augustus 2025, 09:42 door Redactie, 11 reacties

Een meerderheid in de Tweede Kamer wil dat de ministeries van Volksgezondheid en Justitie en Veiligheid een technische briefing over dataveiligheid in de zorg komt. Aanleiding is het datalek bij Clinical Diagnostics, waar persoonlijke en medische gegevens van zeker meer dan een half miljoen mensen werden gestolen. NSC heeft minister Jansen, "gezien de ernst van het datalek en de vele vragen over de veiligheid van zeer persoonlijke gegevens bij andere laboratoria en zorginstellingen", gevraagd om alle Kamervragen over het onderwerp met spoed te behandelen.

NSC-Kamerleden Hertzberger, De Korte en Six Dijkstra willen daarnaast dat er in de eerste week na het zomerreces een technische briefing komt over dataveiligheid in de zorg. Tijdens de aangevraagde briefing zullen ambtenaren van het ministerie van Volksgezondheid en Justitie en Veiligheid de vaste commissie voor Volksgezondheid een update over de laatste stand van zaken geven met betrekking tot dataveiligheid in de zorg. Het verzoek van NSC wordt gesteund door de VVD, GroenLinks-PvdA, D66, BBB, SP, SGP en ChristenUnie.

Bij Clinical Diagnostics werden gegevens van zeker meer dan een half miljoen mensen gestolen. Het medische lab zou de aanvallers losgeld hebben betaald, maar die dreigen nu opnieuw met het openbaar maken van de informatie tenzij er wordt betaald. "Wij zijn bekend met het feit dat de aanvaller wederom dreigt met het lekken van gekopieerde gegevens", liet Clinical Diagnostics in een reactie op het dreigement weten. "Deze nieuwe ontwikkeling heeft uiteraard onze aandacht. Zoals ook al eerder aangegeven, kunnen wij ten aanzien van bepaalde details geen nadere informatie geven."

Tien tips tegen ransomware

Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, besloot om eerder gegeven tips voor het voorkomen van ransomware voor de zorgsector openbaar te maken. Normaliter is de informatie alleen beschikbaar voor leden van Z-CERT. De tien tips gaan over het gebruik van phishingbestendige multifactorauthenticatie, het tijdig patchen van op internet aangesloten systemen, het toepassen van netwerksegmentatie en het sluiten van "systeembeheerder achterdeurtjes". Het gaat dan om remote access oplossingen waar systeembeheerders gebruik van maken, zoals RDP en VNC. "Deze mogen alleen benaderbaar zijn via een beveiligde VPN of gateway-oplossing", aldus Z-CERT.

Reacties (11)
Reageer met quote
22-08-2025, 09:52 door Anoniem
Het is veel interessanter om te weten hoe de hack heeft kunnen plaats vinden. Wat is er gebeurd dat deze hackers ongestoord toegang hadden tot zoveel data.
Reageer met quote
22-08-2025, 10:09 door Anoniem
Je persoonlijke gegevens zijn gelekt of gestolen bij een datadiefstal, en dan?
Rejo Zenger: ‘Als je een aanmaning krijgt, laat hem even liggen’

Dat je privégegevens, zoals je adres en naam, zijn gelekt bij de hack van laboratorium Clinical Diagnostics, is erg vervelend, maar de kans is groot dat die gegevens al eens eerder zijn gelekt, zegt Tanya Wijngaarde van de Fraudehelpdesk. "Voor deze hack lagen de gegevens van veel mensen al op straat. Wel komen daar nu medische gegevens bij. Daardoor is de kans groter dat je te maken krijgt met zogeheten social engineering."

https://www.ad.nl/tech/slachtoffer-van-hack-bevolkingsonderzoek-veel-kun-je-niet-doen-maar-dit-wel~afd43447/

Ongeveer twee derde van de Nederlanders ontving in 2023 een nepmailtje of -sms, becijferde het Centraal Bureau voor de Statistiek (CBS) eind vorig jaar. Twee procent daarvan zegt weleens in zo’n bericht te zijn getrapt. Maar in dit geval gaat het waarschijnlijk niet om een simpel sms’je, maar om uitgebreide brieven en mails, zegt Rejo Zenger van Bits of Freedom (BoF). "Criminelen kunnen dit op een slimme manier inzetten."

https://www.parool.nl/nederland/wat-kunnen-criminelen-met-jouw-gestolen-gegevens-na-een-datahack-je-kunt-hier-overtuigend-mee-phishen~bdf6e6a7/

Gids
Zijn jouw gegevens gelekt? Dit kun je doen om phishing te voorkomen
Hoe wapen je je tegen criminelen en het ‘vissen’ naar je inlogcodes?
gepubliceerd 31 maart 2023, bijgewerkt: 18 augustus 2025 [ https://archive.is/L7Rux ]

https://www.nrc.nl/index/slim-leven/zijn-jouw-gegevens-gelekt-dit-kun-je-doen-om-phishing-te-voorkomen-a4903101


Is er een kopie van je identiteitsbewijs gelekt?

Blokkeer je DigiD, meld het bij Centraal Meldpunt Identiteitsfraude (CMI) en doe aangifte bij de politie.

Rijksdienst voor Identiteitsgegevens (RvIG)
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

https://www.rvig.nl/centraal-meldpunt-identiteitsfraude/melding-doen-bij-het-cmi
Reageer met quote
22-08-2025, 11:49 door Anoniem
Ze moeten daarnaast misschien ook een keer haast gaan maken met die CBW. Dat duurt ook allemaal veels te lang. In plaats daarvan slokken dossiers als migratie naar mijn mening echt veeeeeels te veel tijd en aandacht van parlementariërs waardoor ze niet meer toekomen aan de behandeling van echt belangrijke zaken.
Reageer met quote
22-08-2025, 11:56 door Anoniem
De tien tips gaan over het gebruik van phishingbestendige multifactorauthenticatie, het tijdig patchen van op internet aangesloten systemen, het toepassen van netwerksegmentatie en het sluiten van "systeembeheerder achterdeurtjes".
Toen ik een aantal van deze maatregelen op dit forum publiceerde, werd ik meteen door informatie "specialisten" op dit forum aangevallen en werd beweerd dat deze methoden niet zouden werken.
Reageer met quote
22-08-2025, 12:16 door Anoniem
Door Anoniem: Het is veel interessanter om te weten hoe de hack heeft kunnen plaats vinden. Wat is er gebeurd dat deze hackers ongestoord toegang hadden tot zoveel data.

Misschien ook eens bekijken of al die organisaties al die data echt wel nodig hebben voor hun eigenlijke werk. (Een lab analyseert. het behandelt geen patienten)
Een herstructurering van de hele data-opzet in de zorgsector lijkt op zijn plaats.
Incl het gebruik van BSN + peroonsgegevens al identifier in al deze data. Het is mischien makkelijk maar niet (meer) veilig in deze tijd en samenleving.
Reageer met quote
22-08-2025, 13:31 door Anoniem
Verplicht security investeringen in de zorg, iets van 10% jaar budget met een minimum van xxx euros, nu krijgt alles voorrang behalve security want het geld is op en soms dat er moet worden bezuinigd er bovenop.
Reageer met quote
22-08-2025, 18:12 door Anoniem
Door Anoniem:
De tien tips gaan over het gebruik van phishingbestendige multifactorauthenticatie, het tijdig patchen van op internet aangesloten systemen, het toepassen van netwerksegmentatie en het sluiten van "systeembeheerder achterdeurtjes".
Toen ik een aantal van deze maatregelen op dit forum publiceerde, werd ik meteen door informatie "specialisten" op dit forum aangevallen en werd beweerd dat deze methoden niet zouden werken.
Misschien omdat je oplossingen niet werkbaar zijn/waren?

Maar post ze nog eens?

Maar patchen is een normaal iets, doet als het goed is ieder bedrijf, maar zerodays zijn wat lastig.
Netwerk Segmentatie, klinkt leuk, maar vraagt heel veel resources en geeft ook maar een beperkte veiligheid. Maar is wel een noodzaak om goed over na te denken bij je inrichten/aanpassingen.
Reageer met quote
22-08-2025, 18:34 door Anoniem
Door Anoniem: Ze moeten daarnaast misschien ook een keer haast gaan maken met die CBW. Dat duurt ook allemaal veels te lang. In plaats daarvan slokken dossiers als migratie naar mijn mening echt veeeeeels te veel tijd en aandacht van parlementariërs waardoor ze niet meer toekomen aan de behandeling van echt belangrijke zaken.
Waarom zou de CBW iets uitmaken? Het is niet zo dat er door de CBW ineens bijzondere nieuwe beveiligingsmaatregelen zijn en dat bedrijven ineens moeten gaan beveiligen itt tot hiervoor.

Vraag je eerder af: de tweede kamer wil minder ambtenaren, wel moet er meer werk worden gedaan op het gebied van Cybersecurity (en nog veel meer onderwerpen). Tevens is cybersecurity precies zo'n onderwerp dat de rijksoverheid op het gebied van salaris ook niet wil betalen. Dus wie houden wij, tweede kamer kiezende burgers, nou voor de gek?
Reageer met quote
23-08-2025, 14:13 door Anoniem
Tien tips tegen ransomware
Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, besloot om eerder gegeven tips voor het voorkomen van ransomware voor de zorgsector openbaar te maken. Normaliter is de informatie alleen beschikbaar voor leden van Z-CERT. De tien tips gaan over het gebruik van phishingbestendige multifactorauthenticatie, het tijdig patchen van op internet aangesloten systemen, het toepassen van netwerksegmentatie en het sluiten van "systeembeheerder achterdeurtjes". Het gaat dan om remote access oplossingen waar systeembeheerders gebruik van maken, zoals RDP en VNC. "Deze mogen alleen benaderbaar zijn via een beveiligde VPN of gateway-oplossing", aldus Z-CERT.

De tien tips zijn:

#1 - Pas applicatie-allowlisting toe
#2 - Optimaliseer multifactorauthenticatie en gebruik context
#3 - Prioriteer patchen van systemen die ontsloten zijn aan internet
#4 - Doe de systeembeheer achterdeurtjes dicht!
#5 - Scan de buitenkant van jouw IT-infrastructuur
#6 - Beveilig jouw applicaties en systemen
#7 - Pas het least privilege-principe toe
#8 - Maak regelmatig back-ups van belangrijke data en zorg voor offline back-ups
#9 - Beperk bewegingsruimte in het netwerk
#10 - Houd verdachte activiteiten in de gaten

Bron: https://z-cert.nl/actueel/nieuws/tips-tegen-ransomware

Tien tips, maar de meest voor de hand liggende en effectieve zit er niet bij: dataminimalisatie.

DATAMINIMALISATIE

De reden voor het ontbreken ervan is natuurlijk dat die tip niet past in het huidige beleid van streven naar maximale "databeschikbaarheid", ten koste van ieders privacy, ook in de zorg.

Hoe ging dat ook alweer: "First we shoot them to bits and then we give them a bandaid."

N.B. Ook tip nummer #7 gaat niet over dataminimalisatie:

#7 - Pas het least privilege-principe toe
Beperk gebruikersrechten tot wat nodig is, en alleen zolang dat nodig is. Bij ransomware-incidenten blijkt dat aanvallers vaak misbruik maken van te ruime rechten of systeembeheerders die inloggen op verkeerde plekken.

Een aantal maatregelen die daarop inspelen:

Gebruik aparte beheermachines voor taken met verhoogde rechten. Voer deze taken nooit uit vanaf een standaard werkplek.
Ken geen lokale beheerdersrechten toe aan gebruikers. Deze rechten maken het mogelijk voor aanvallers om sessies over te nemen en wachtwoorden te stelen.
Gebruik beheeraccounts nooit op gewone werkplekken. Zo voorkom je dat deze beheeraccounts worden overgenomen wanneer een werkplek geïnfecteerd raakt.

Dit gaat namelijk over het beheer van data die reeds verzameld en reeds voorhanden zijn binnen een organisatie (een verwerkingsverantwoordelijke of een verwerker). Dataminimalisatie gaat echter over het niet verwerken, en dus ook niet verzamelen van bepaalde data.

Wie is Z-CERT
Z-CERT is hét expertisecentrum voor cybersecurity in de Nederlandse zorgsector. Als onafhankelijke stichting zonder winstoogmerk ondersteunt Z-CERT sinds 2017 zorginstellingen bij het voorkomen en afhandelen van digitale incidenten. Met diepgaande kennis van medische hard- en software helpt Z-CERT organisaties weerbaar te maken tegen cyberdreigingen zoals ransomware, phishing en datalekken. Dit doen wij onder andere door het delen van actuele dreigingsinformatie, het monitoren van netwerken en het bieden van directe ondersteuning bij incidenten.

Verwacht van Z-CERT dus geen tips om de medische privacy van patiënten optimaal te beschermen. Z-CERT richt zich op het optimaliseren van digitale systemen met het oog op het institutionele belang van zorginstellingen, maar
niet op het optimaliseren van de medische privacy van patiënten.
Reageer met quote
23-08-2025, 17:00 door Anoniem
De grote roze olifant in de kamer is het gebruikte 'ecosysteem', maar (bijna) niemand durft dat hardop te zeggen.

Microsoft geeft organisaties beveiligingstips om ransomware te voorkomen
woensdag 29 april 2020, 11:37 door Redactie

https://www.security.nl/posting/654607/Microsoft+geeft+organisaties+tips+om+ransomware+te+voorkomen
Reageer met quote
23-08-2025, 18:59 door Anoniem
Bedrijven als Eurofins, zegt Heiman Wertheim, hoogleraar klinische microbiologie in het Radboud UMC in Nijmegen, ‘komen met kraaltjes en spiegeltjes bij ziekenhuisbestuurders aan, die voor hun bestuurstermijn van drie jaar graag de begroting op orde hebben en dan hun lab verkopen’. De vraag is, zegt Wertheim, of dat op de lange termijn wel zo’n goed idee is. ‘In de labs doen we bijvoorbeeld ook veel onderzoek naar antibioticaresistentie, zonder dat dit direct geld oplevert. Blijf je dat doen, als winstmarges belangrijker worden?’ [...]

Directies luisteren alleen liever naar managers die vertellen dat aan alle eisen is voldaan dan naar analisten die vertellen wat er niet goed gaat. Wat in de zorgwereld meespeelt: verouderde apparatuur die niet zomaar kan worden vervangen. Zo staan er volgens bronnen in het lab in Rijswijk Windows pc’s die eigenlijk te oud zijn, maar die gekoppeld zijn aan medische apparatuur. Haal je zo’n oude computer weg, dan moet alles opnieuw worden gecertificeerd en dat is een dure grap (oplopend tot 150.000 euro). Gevolg: de directie laat de zwakke plek bestaan. [...]

door Huib Modderkolk & Michiel van der Geest, 23 augustus 2025

https://www.volkskrant.nl/wetenschap/de-medische-en-persoonlijke-informatie-van-450-duizend-vrouwen-is-gestolen-wat-nu~b5440a36/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search