On-Voor-Stel-Baar!

Ik begin even met;
Elk denkbaar aspect en facet, in en met digitaal automnatiseren, is 100% voorspelbaar/manipuleerbaar, voor iedere betrokkene...!

85% van de huidige IT professionals blijken van deze essentie van digitale automatiseren, en 99,9% van boardroom executives, management, HR en recruitment, weten niets van deze essentie. En dat is 'Onhandig', aangezien Chipsoft het zoveelste voorbeeld is wat er gebeurd als je daar geen idee van hebt. Je geeft cybercrime een steeds groter open veld.

Volgens de EPD-leverancier zijn er op dit moment geen aanwijzingen dat gegevens van LUMC-patiënten zijn gelekt???
Alleen al die regel moet iedere afnemer van Chipsoft producten te denken geven. In de allereerste plaats, verkoopt Chipsoft namelijk een product, is verantwoordelijk voor dat product, ook als er iets gebeurd met dat product zoals een digitale inbraak.

De bovenstaande essentie moet in elke overeenkomst als allereerste worden benoemd en gedefinieerd. Het stelt namelijk Chipsoft meteen aansprakelijk als dit soort zaken gebeuren in de zin van juridischa aansprakelijkheid. Neen, er is geen juridische escape, zoals vaak wordt gedacht omdat men bij arbitrage kijkt naar de letters van de overeenkomsten.

Aansluiten, technisch...
Niet kunnen zien of er data is gelekt? Dat betekend dat men de systemen niet op orde heeft gehad. Althans, niets heeft ingebouwd om meteen een signaal te krijgen als er een externe bron is die een grote hoeveelheid data wil downloaden. Bevreemdend nietwaar? Met de hudige kennis en ervaringen met cybercrime.

Dat betekend namelijk dat men vergeten is een formeel verzoek aan een DPA in te bouwen om uberhaupt data te mogen inzien of kopieren.

Dus LUMC en andere klanten, ziekenhuizen, huisartsen, even wakker worden nu. Alleen al bovenstaande moeten jullie een stevige knuppel in handen te geven Chipsoft vooraf formeel in gebreke te stellen en hen een aansprakelijkheid toe te zenden. Er is meer mis dan alleen maar een hack!

Succes is een keuze...

Artsen hebben een beroepsgeheim.
Alles wat je met een arts bespreekt moet tussen beide blijven.

Als zij vervolgens al die informatie in een IT-systeem zetten, waarbij de kans groot is dat die gegevens een keer op straat komen te liggen, dan is dat een schending van het beroepsgeheim en artsen zouden daarvoor aangepakt moeten worden.

Ze halen te vaak hun schouders op of zeggen “bij ons is het goed geregeld”.

Nou, de meeste organisaties waar grote datalekken zijn geweest meenden dat ze het allemaal “goed geregeld hadden”.

Elk systeem is hackbaar en alle informatie komt waarschijnlijk ooit op straat te liggen.

Initiatieven om heel veel gevoelige / medische informatie van heel veel mensen in een systeem te stoppen is onverantwoord en vragen om problemen.

Bestuurders zouden ook aansprakelijk gesteld moeten worden voor dit soort falen.

Men gaat er veel te laks mee om. Of regelt alles “op papier”, wat niks te maken heeft met veiligheid in de praktijk.

Werkelijk? Kan je even uitleggen wat je daar precies mee bedoelt? Het kan namelijk zijn dat ik niet helemaal snap waar je het over hebt. Zoals ik lees wat je schrijft zou het erop neerkomen dat encryptie een illusie is omdat elke random number generator 100% voorspelbaar is, ook als die voor cryptografisch gebruik ontworpen en geaccepteerd is. En geen enkele beveiligingsmaatregel tegen manipulatie zou ook maar het geringste effect kunnen hebben. Het zou dan ook geen zin hebben om een webserverproces met minder dan root-rechten te laten draaien, dat zou geen enkel positief effect opleveren, bijvoorbeeld. Is dat wat je bedoelt?

Wanneer gaan die ziekenhuizen eens samenwerken en een EPD laten bouwen op basis van open source. Bv Django met webapps. Hier wordt ook flink aan gewerkt: https://www.open-emr.org/

Pro cloud,Pro data centralisatie,Pro epd

Bij ons ben je veilig,je moet je persoons-gegevens wel uploaden
naar onze database,zodat we het kunnen delen,want anders heb je geen service
en rechten,en kunnen we je niet helpen

En nu weer naar de fraudehelpdesk
dus weer stress,en zorgen voor velen burgers?

NL2026

Maar heeft het LUMC überhaupt al eens nagedacht waarom het structureel in strijd handelt met het medisch beroepsgeheim? Heeft het LUMC überhaupt gekeken of er technische oplossingen mogelijk zijn waarbij patiënten zeggenschap houden over met wie hun medische gegevens worden gedeeld? Bijvoorbeeld alleen met de zorgverleners (artsen, fysiotherapeuten etc.) die hen daadwerkelijk behandelen, en aan wie zij uit vrije wil op geïnformeerde wijze toestemming hebben verleend voor het verwerken van die gegevens, zoals de AVG ook voorschrijft?

Is het LUMC bereid om medische zorg te verlenen aan patiënten die alleen een behandelingsovereenkomst willen afsluiten als daarin is opgenomen dat hun medische gegevens niet voor anderen toegankelijk mogen worden gemaakt dan de artsen en verpleegkundigen die hen daadwerkelijk behandelen? Of zegt het LUMC tegen zulke patiënten dat die dan maar moeten creperen?

Wordt het niet eens tijd dat het LUMC, net als andere ziekenhuizen, het doel van de wet gaat respecteren èn de medische ethiek weer in ere gaat herstellen?

M.J.

Nee, het is gewoon niet duidelijk.

Het blijft altijd bijzonder dat we hier meteen moord en brand schreeuwen, maar eigenlijk weinig verstand van zaken hebben.

Statement
Er is geen data gelekt, maar later toch -> Iedereen boos, wegens onjuiste informatie.
Er is wel / mogelijk data gelekt -> iedereen wil alles meteen weten. Terwijl het onderzoek nog loopt.
We weten het nog niet -> men is niet in control, want hoe kun je dat nu nog niet weten.

Kwaliteit en zekerheid zijn van belang, niet zomaar wat roepen, omdat je dit denkt.

Dat doet het LUMC ook, daar hebben ze specialisten voor, die exact weten ze wat echt kunnen en mogen. Die halen niet hun kennis ergens op Internet vandaan.

Bron?

Juridische/privacy afdelingen van het LUMC?

Ik heb daar meer vertrouwen in, dan dat iemand hier zomaar even iets komt zeggen, terwijl hier en op het Internet zoveel onzin verteld wordt. En sommige kunnen dat hier heel erg goed. Bijvoorbeeld als je niet weet, wat een zorgverlener is, dat een lab ook gewoon onderdeel is van een behandelplan, dat medische gegeven uitwisseling op basis van een BSN moet verlopen.

Wat een onzin. Ook al is alle logging op orde het kost enorm veel tijd om die door te spitten. Tot het volledige forensisch onderzoek is afgerond kunnen ze natuurlijk geen uitsluitsel geven.

Daarnaast is cybersecurity tegenwoordig opgezet vanuit risico management. Er zullen altijd bepaalde risico's moeten worden genomen om werkbare bedrijfsprocessen te hebben. Zonder inside informatie kun je niet zeggen of er onacceptabele keuzes of fouten zijn gemaakt door iemand binnen de organisatie.

[/quote Wat een onzin. Ook al is alle logging op orde het kost enorm veel tijd om die door te spitten. Tot het volledige forensisch onderzoek is afgerond kunnen ze natuurlijk geen uitsluitsel geven.

Daarnaast is cybersecurity tegenwoordig opgezet vanuit risico management. Er zullen altijd bepaalde risico's moeten worden genomen om werkbare bedrijfsprocessen te hebben. Zonder inside informatie kun je niet zeggen of er onacceptabele keuzes of fouten zijn gemaakt door iemand binnen de organisatie.[/quote]
U slaat de plank jammerlijk mis en heeft overduidelijk mijn reactie niet helemaal goed doorgelezen.

Probeer het nog eens een keer en kom dan met (reactie) inhoudelijke visie.

Tip:
1. Als je weet dat er een hack is geweest heb je een timeframe. Het is niet gezegd dat hackers bestaande credentials hebben gebruikt. Dus kun je vrij snel analyseren op welke wijze dat is gedaan. (Alhoewel de meest professionele hackers hun sporen weten te wissen/versluieren, zal er altijd iets forensisch achter blijven.
2. Grote datasets
Het is een bekend gegeven dat hackers massief data downloaden via pipelines die door een OS niet altijd wordt gedetecteerd. Daar zijn tools voor, die klaarblijkelijk niet zijn geinstalleerd. Als je wel kunt zeggen dat het gaat om data van miljoenen patienten, gaat het niet om een paar onschuldige txt bestanden.

Tot gauw .... ;O)

(/quote)Het blijft altijd bijzonder dat we hier meteen moord en brand schreeuwen, maar eigenlijk weinig verstand van zaken hebben.

Statement
Er is geen data gelekt, maar later toch -> Iedereen boos, wegens onjuiste informatie.
Er is wel / mogelijk data gelekt -> iedereen wil alles meteen weten. Terwijl het onderzoek nog loopt.
We weten het nog niet -> men is niet in control, want hoe kun je dat nu nog niet weten.

Kwaliteit en zekerheid zijn van belang, niet zomaar wat roepen, omdat je dit denkt.[/quote]
Ik keek even mijn reactie terug, en zie daar weinig moord en brand in. Anders dan de constatering dat er weer eens een aantal mogelijkheden niet zijn geomplementeerd, zoals een alarm bij transport van hele grote datasets. (Dat met de ervaringen van eerdere grootschalige hacks) (Ik ga hier openbaar even verder niet op in, geen slapende honden wakker maken.)

Dat alle denkbare aspecten/facetten 100% voorspelbaar zijn, maakt het analyseren, zelfs op afstand, een stuk makkelijker.
- Meer dan 90% van de hacks vinden in clouds plaats. Dat houd in dat er dus een weg gevonden is, die niet altijd gestolen credentials hoeft te zijn geweest.
- Grote volumen data gestolen. Klaarblijkelijk is er geen programmering doorgevoerd dat verhinderde dat zomaar grote volumen data konden worden gekopieerd. Het benoemen van de post van DPA, die verantwoordelijk moet zijn voor (mede) toestemmen, spreekt boekdelen voor een gevoelige organisatie als Chipsoft. Het is er niet geweest want anders zou het namelijk een alarm signaal hebben moeten afgeven.

Dat de post CSO/CTO in de boardroom niet louter een 'checkbox' gebeuren kan en mag zijn, heeft te maken dat daar iemand moet zitten met kennis van zaken en de actualiteit, om op helicopter niveau te kunnen kijken en meedenken.

Kwaliteit en zekerheid
Eens! Gezien de hack, zijn er zeker een aantal hiaten te bedenken, die vooraf hadden moeten zijn erkend en afgedicht. 100% voorkomen dat er iets kan worden gehackt, is een illusie. Maar door het doorvoeren van een bepaalde cybercrime policies, wordt de kans op grote ellende een stuk kleiner.

LUMC: Heel wijs besluit het nog even uit te stellen!

#Succes is een keuze....

[

Hele nette en zinnige reactie. Maar je moet twee dingen even gescheiden houden. Het eerste is de data inhoud en de persoonlijke gegevens van patienten vs de software en de techniek.

Chipsoft kun je, (dat is een garantie) aansprakelijk stellen op voorhand voor elke denkbare schade vanwege de hack.
(Chipsoft moet dan aan gaan tonen genoeg maatregelen te hebben genomen dat hacks moest voorkomen en dat er dust sprake kan zijn van een 'nieuwe methode...')

De knuppel die klanten van Chipsoft in handen hebben? Dat is hetgeen wat er NIET in de overeenkomsten is opgenomen, wel zeker had gemoeten,' waarmee je Chipsoft juridisch om de oren kunt slaan. Rechters en arbiters kijken naar de letters van overeenkomsten. Maar de knuppel gaat juist voorbij aan de kleine lettertjes en exits die vaak in overeenkomsten zijn opgenomen.

Als je weet dat de materie 100% voorspelbaar is, moet je als rechter/arbiter plots naar een heel ander, majeure aspecten kijken. Aspecten die alles te maken hebben met materie kennis en begrip van de digitale automatisering.

#Succes is een keuze ;O)

PS Wel een goede reactie trouwens. Dank.