Laatste bijdrage: 26 februari 2014Zijn uw zorggegevens wel veilig in het AIS, HIS, KIS, ZIS, ...XIS van uw zorgverlener (Apotheker, Huisarts, Ketengroep, Ziekenhuis, kortom: al die verXillende informatiesystemen?).
De laatste tijd vliegen de verhalen over inbraken en diefstal je weer om de oren. Weer? Ja, helaas. Bijna altijd gaat het om geld waartoe men zich direct (creditcardgegevens) of indirecte (afpersing) toegang verschaft. In de zorg gebeurt dat met gestolen patiëntgegevens; verhalen hierover komen m.n. uit de VS, waarbij niet duidelijk is of dit soort situatie in Nederland niet voorkomen. Op het gebied van de privacy in de zorg kun je ook denken aan het ongeoorloofd inzien van een electronisch dossier; dat kon vroeger natuurlijk ook al, maar toen viel dat iets minder op doordat inzage niet gelogd werd. Of denk aan een laptop met patiëntgegevens die verloren raakt.
Van een andere orde is de inbraak bij het PlayStation van Sony. Deze is de laatste en meteen de grootste in de rij: de een heeft het over de gegevens van 70 miljoen gebruikers en de ander zegt dat de gegevens van 2,2 miljoen creditcards zijn ontvreemd. Nou ja, gekopieerd dan. Maar hoe dan ook: veel. Zembla liet in een documentaire in 2008 al zien dat '...wij weten alles van u':
Wat ook veel is, is het aantal verschillende databases waaraan wij onze gegevens toevertrouwen (ik ook, zeker weten): tot enkele duizenden, zo liet het CBP in 2009 weten. Om nog meer indruk te maken werd daar aan toegevoegd: 'Als je als kluizenaar leeft, blijken je persoonsgegevens al in 250 bestanden te staan.' De privacy-bewakers noemen dat onze 'digitale schaduw'.
Haast gedachteloos strooien we onze gegevens rond, of we nu achter onze PC zitten, bellen of in onze auto rondrijden. TomTom verkoopt de snelheidsgegevens welke zij van Vodafone gekocht heeft aan de hoogste bieder, maar ook Apple an Google weten van wanten. Gegevens = Geld. Onze overheid doet trouwens helemaal mee: belgegevens moeten 12 maanden worden bewaard zodat de overheid altijd precies weet wanneer u waar was. Precies? Niet helemaal, want zo nauwkeurig zijn die apparaten nou ook weer niet. Een politicus kan in een precaire situatie misschien nog aannemelijk maken dat hij bij een partijcongres was en niet in een nabijgelegen kroeg of andere locatie, maar hoe is dat voor u en mij?
Het EPD is niet doorgegaan omdat niet helder was voor welk probleem dat dé oplossing was. Is dat goed? Tegenstanders van het EPD hielden het fabeltje dat alle medische informatie op één plaats zou worden opgeslagen graag in stand, maar niets is minder waar. Maakt dat onze kostbare gegevens minder kwetsbaar? Niets is immers veilig, ook niet bij bedrijven wiens voortbestaan afhankelijk is van een goede afscherming van klantgegevens. Echt niets?
Aanvulling op 4 mei 2011:
Sony maakt bekend dat de inbrekers bij de (creditcard)gegevens van nog veel meer klanten gekomen zijn.
Aanvulling op 6 mei 2011:
Het herstellen van het geschonden imago mag wat kosten: Sony stelt tot $ 1 miljoen ter beschikking voor elke getroffen klant. Het gaat daarbij om kosten die gemaakt worden voor het herstellen van iemands identiteit, eventuele juridische kosten en verloren loon voor een periode van 12 maanden nadat de identiteit is gestolen. Ook kunnen klanten zich gratis inschrijven bij AllClear ID Plus. Bij de AllClear-regeling zit een service die het internet afspeurt op het gebruik van de identiteit van aangesloten gebruikers. Als persoonlijke informatie opduikt dan wordt die op de hoogte gesteld via zijn telefoon of e-mail, voorzien van advies voor mogelijke vervolgstappen. AllClear heeft ook persoonlijke onderzoekers in dienst om de gevallen van identiteitsfraude direct te onderzoeken, mocht de klant dat verlangen.
Aanvulling op 15 mei 2011:
Niet alleen buitenstaanders schenden onze privacy: ook providers zoeken steeds dieper in onze gebruikersgegevens. Recentelijk waren KPN en Vodafone in het nieuws, nadat bekend werd dat zij gebruik maken van DPI (Deep Packet Inspection). Maar ook onze overheid wroet soms diep in onze online gegevens, ook met DPI, en is niet altijd even voortvarend bij het wettelijk beschermen van onze privacy.
Aanvulling op 19 mei 2011:
En hoe veilig is onze bankpas? Webwereld schrijft daarover: 'Pinnen in het buitenland blijft nog jaren onveilig omdat het te complex is om het openstaande EMV-skimgat te dichten. Miljoenen kaarten kunnen niet omgaan met een veilige afhandeling van de pincode.'
Aanvulling op 30 mei 2011:
Hoe veilig is onze GSM? Dát wordt echt probleem, als we deze onderzoekers mogen geloven.
Aanvulling op 15 juni 2011:
Webwereld meldt dat in Nederland 'Meer dan de helft van alle online databases met medische gegevens is niet adequaat beveiligd. Onverlaten kunnen te makkelijk toegang krijgen tot individuele accounts.'
Aanvulling op 19 juli 2011:
Weer een melding van Webwereld, nu over het lekken van privégegevens via GGD-websites: 'Bijna 50 websites, met name van de GGD, hebben privégegevens gelekt door een gat in cms cBase2. Daardoor waren gegevens over gevoelige zaken als gezondheid in te zien. Het gaat om 136 databases.'
Aanvulling op 20 juli 2011:
Wat kan er gedaan worden tegen computer criminaliteit? Mikko Hyppönen geeft ons in 17 minuten een kijkje achter de schermen van een internet beveiligingsbedrijf.
En waar staan u en ik dan in dit verhaal? Zijn we alleen maar slachtoffers van slechte mensen? Nee: we zijn ook slachtoffer van onze eigen luiheid. Zo meldde Automatiserings Gids dat we, ondanks alle adviezen, nog steeds kiezen voor eenvoudige en makkelijk te kraken wachtwoorden. Denk aan: 'het woordenboek (25 procent matchte met een Engels woord), eigennamen (14 procent), cijferreeksen (ook 14 procent) en plaatsnamen (8 procent).
Bij de wachtwoorden gebaseerd op het woordenboek, eigennamen of plaatsnamen bleef het in 55 tot 65 procent van de gevallen bij die naam, hooguit met een hoofdletter. Ongeveer een derde voegt er ook nog een of meer cijfers aan toe (veelal 1, of 123), minder dan 1 procent gebruikt ook een of meer symbolen. Bij de cijferreeksen blijkt er een duidelijke voorkeur voor reeksen van 6 cijfers. Ruim een kwart gebruikt 8 cijfers, maar in die subverzameling is geen patroon te herkennen dat erop wijst dat ze aan data zijn ontleend. Wachtwoorden à la 1234, 123456 en 11223344 zijn overigens erg populair.'
Bij de wachtwoorden gebaseerd op het woordenboek, eigennamen of plaatsnamen bleef het in 55 tot 65 procent van de gevallen bij die naam, hooguit met een hoofdletter. Ongeveer een derde voegt er ook nog een of meer cijfers aan toe (veelal 1, of 123), minder dan 1 procent gebruikt ook een of meer symbolen. Bij de cijferreeksen blijkt er een duidelijke voorkeur voor reeksen van 6 cijfers. Ruim een kwart gebruikt 8 cijfers, maar in die subverzameling is geen patroon te herkennen dat erop wijst dat ze aan data zijn ontleend. Wachtwoorden à la 1234, 123456 en 11223344 zijn overigens erg populair.'
FF een wachtwoord checken op sterkte? Probeer dan deze site van Microsoft eens.
Aanvulling op 8 augustus 2011:
Yahoo meldt dat zelfs medische apparatuur (zoals insulinepompen en bloedsuikermeters) gehackt kunnen worden, als de accu te weinig energie heeft om de draadloze signalen te versleutelen.
Aanvulling 5 september 2011:
Nog een vorm van hacken, maar dan door een overheid: Iran steelt certificaten om zo toegang te kunnen krijgen tot de email (GMail) van personen. Bedrijf Diginotar dat de certificaten heeft uitgedeeld, heeft deze diefstal wekenlang verzwegen en daarmee veel schade aangebracht. Zie hier het dossier DiginotarCrisis.
Aanvulling 22 september 2011:
In Nederland is er nog geen meldingsplicht voor diefstal of verloren raken van patiëntgegevens, maar in de VS kennen ze die plicht wel. Alle gevallen waar meer dan 500 personen gemoeid zijn staan op deze website gemeld.
Aanvulling op 7 oktober 2011:
Nederland kent dan geen meldingsplicht, maar we hebben wel Webwereld die de maand oktober heeft uitgeroepen tot Lektober. Zie hier hun dossier met aangetroffen digitale tekortkomingen.
Aanvulling 2 januari 2012:
Nog meer GSM en Internet ellende: The Future Of The Internet's Here. And It's Creepy, en het gemak waarmee GSM netwerken kunnen worden gekraakt. Advies: koop geen mobiele telefoon meer die alleen via het GSM netwerk contact maken.
Aanvulling 5 januari 2012:
Hoe belangrijk vinden Nederlanders hun privacy? Tros Radar heeft een onderzoek uitgevoerd naar Sociale Media en privacy.
Aanvulling 17 januari 2012:
Een ongeluk zit in een klein hoekje? De gemeente Meppel lekt persoonsgevoelige gegevens - 'Niets aan de hand'. Er is slechts 11 gigabyte aan gegevens op straat komen te liggen, waaronder notities, mails, paspoorten en BSN-nummers.
Aanvulling op 14 maart 2012:
Gemeenten krijgen de gelegenheid om verschillende databestanden aan elkaar te koppelen. Doel: het opsporen van bijstandsfraude. Of de belastingdienst, die inkomensgegevens doorspeelt aan woningcorporaties. Met nobele doelen, want het gaat om misbruik van gemeenschapsgeld. Maar wie bepaalt de grens? Wat is de volgende database die gekoppeld gaat worden?
Aanvulling 18 maart 2012
In Amerika bouwt de NSA voor $ 2 miljard een immens groot spionnencentrum. Alles wat gemaild, getwitterd, gezocht, geblogd en getelefoneerd wordt, wordt daar vastgelegd en geanalyseerd - landsgrenzen worden daarbij uiteraard niet gerespecteerd. Moeten we hier bang voor zijn? Een oud medewerker zei hierover: 'we zijn een haar verwijderd van een totalitaire staat'.
Aanvulling op 28 maart 2012
En dan hebben we een database vol met informatie, maar wat moeten we dan doen als iemand vraagt om inzage in de gegevens die over die persoon zijn vastgelegd? Dan weten we niet wat we moeten doen. Tenminste: medewerkers van Menzis en Nuon niet. En hoe is het bij uw organisatie geregeld?
Een ander onderzoek laat zien dat 65% van de ondervraagden aangeeft niet gecharmeerd te zijn van persoonlijke zoekresultaten van zoekmachines als Google en Bing (Microsoft). Reden: deze zoekresultaten worden gezien als een aantasting van de privacy.
Het CBP (College Bescherming Persoonsgegevens) heeft de overheid geadviseerd bedrijven en overheden te verplichten om datalekken te melden. Dit zal de positie van de burger op het gebied van de bescherming van persoonsgegevens versterken.
Aanvulling 12 april 2012:
Het ministerie van Binnenlandse Zaken laat bij monde van de Rijks-CIO weten dat 'een veilige overheid een illusie is'.
Aanvulling 20 april 2012:
Beelden zeggen meer dan woorden: binnen 24 uur krijgen onbevoegden toegang tot de gegevens van Huisartsenlaboratorium Diagnostiek Voor U en die van het bedrijf Humannet.
Aanvulling 4 juni 2012:
Een bericht van de BBC over wat er allemaal fout kan gaan bij emails vanuit een artsenpraktijk. Let vooral op de BCC!
Aanvulling 10 oktober 2012
Het Groene Hart Ziekenhuis in Gouda had te weinig oog voor de beveiliging van patiëntgegevens. Een slecht beveiligde server was jarenlang vrij toegankelijk voor onbevoegden. Ruim 490.000 namen, adressen, geboortedata, burgerservicenummers, medische dossiers, brieven van artsen, röntgenfoto’s, echo’s en behandelplannen zaten verborgen achter een makkelijk te achterhalen wachtwoord.
Aanvulling op 22 november 2012
1 op de 10 Nederlanders is al eens gehackt, zo schrijft de AutomatiseringGids. Toch zijn Nederlanders nog altijd zeer nonchalant bij de keuze van wachtwoorden.
Aanvulling op 8 december 2012:
KRO Reporter bericht over de open toegang tot randapparatuur die aangesloten zijn op internet (Internet Of Things). 'Alles staat default op open'.
Aanvulling op 30 januari 2013:
Alle voorbeelden van menselijk falen ten spijt: gemeenten blijven laks als het om de beveiliging van hun online systemen gaat. WebWereld ontdekte dat gemeentesites massaal lek zijn dankzij oude software met kritieke gaten. 'Maar liefst 24% van alle aangetroffen websystemen bevat kwetsbaarheden "met hoge of kritieke impact".'
Aanvulling 25 februari 2013:
Denk je dat we wat geleerd hebben van de affaire rond Diginotar? Nee,vandaag niet en morgen niet. Certificatenbedrijf Bit9 ('The Leader in Trust-based Security') ontdekt een hack op de eigen servers pas na 6 maanden...
Aanvulling 30 juli 2013
Klik hier voor een mooie infographic waar de grootste inbraken getoond worden.
Aanvulling 20 augustus 2013
De Automatiserings Gids heeft een aparte hoek van haar website ingericht met berichten over beveiliging.
Aanvulling op 11 oktober 2013:
3Doc van de VPRO heeft een uitzending gewijd aan privacy op het internet. Bestaat die nog? 'Uh, no, I don't think so'.
Aanvulling op 26 februari 2014
Zorginstellingen krijgen in de nabije toekomst te maken met fors hogere boetes voor het lekken van digitale data. De boetes kunnen gaan oplopen tot een kleine miljoen euro. Op grond van de Wet Meldplicht data-lekken moeten alle instellingen die persoonsgevoelige informatie verwerken direct na vaststelling bij het College Bescherming Persoonsgegevens (CBP) melden dat er privacygevoelige informatie op straat is beland. Na melding hebben instellingen 72 uur om het lek te dichten. Als ze daar niet in slagen of lekken verzuimen te melden kunnen ze ook nu rekenen op een boete. Deze bedraagt echter maximaal € 4.500. In het regeerakkoord is overeengekomen deze boetes op te schroeven tot een maximum van € 860.000. De Tweede Kamer buigt zich voor de zomer van 2014 over de plannen. Daarnaast is er nieuwe Europese wetgeving in de maak die een nog strenger boeteregime kent. Instellingen die hun data-beveiliging niet op orde hebben en bij problemen niet de juiste procedures volgen, kunnen tot 5 procent van hun jaaromzet kwijtraken. '20% van de aanvallen komt van buiten naar binnen, maar 80% komt van binnen. Dat kan een gekregen USB-stick zijn die een personeelslid meeneemt of iemand neemt de laptop mee naar huis en zoonlief speelt er op.' (bron: Skipr)
Aanvulling 2 januari 2012:
Nog meer GSM en Internet ellende: The Future Of The Internet's Here. And It's Creepy, en het gemak waarmee GSM netwerken kunnen worden gekraakt. Advies: koop geen mobiele telefoon meer die alleen via het GSM netwerk contact maken.
Aanvulling 5 januari 2012:
Hoe belangrijk vinden Nederlanders hun privacy? Tros Radar heeft een onderzoek uitgevoerd naar Sociale Media en privacy.
Aanvulling 17 januari 2012:
Een ongeluk zit in een klein hoekje? De gemeente Meppel lekt persoonsgevoelige gegevens - 'Niets aan de hand'. Er is slechts 11 gigabyte aan gegevens op straat komen te liggen, waaronder notities, mails, paspoorten en BSN-nummers.
Aanvulling op 14 maart 2012:
Gemeenten krijgen de gelegenheid om verschillende databestanden aan elkaar te koppelen. Doel: het opsporen van bijstandsfraude. Of de belastingdienst, die inkomensgegevens doorspeelt aan woningcorporaties. Met nobele doelen, want het gaat om misbruik van gemeenschapsgeld. Maar wie bepaalt de grens? Wat is de volgende database die gekoppeld gaat worden?
Aanvulling 18 maart 2012
In Amerika bouwt de NSA voor $ 2 miljard een immens groot spionnencentrum. Alles wat gemaild, getwitterd, gezocht, geblogd en getelefoneerd wordt, wordt daar vastgelegd en geanalyseerd - landsgrenzen worden daarbij uiteraard niet gerespecteerd. Moeten we hier bang voor zijn? Een oud medewerker zei hierover: 'we zijn een haar verwijderd van een totalitaire staat'.
Aanvulling op 28 maart 2012
En dan hebben we een database vol met informatie, maar wat moeten we dan doen als iemand vraagt om inzage in de gegevens die over die persoon zijn vastgelegd? Dan weten we niet wat we moeten doen. Tenminste: medewerkers van Menzis en Nuon niet. En hoe is het bij uw organisatie geregeld?
Een ander onderzoek laat zien dat 65% van de ondervraagden aangeeft niet gecharmeerd te zijn van persoonlijke zoekresultaten van zoekmachines als Google en Bing (Microsoft). Reden: deze zoekresultaten worden gezien als een aantasting van de privacy.
Het CBP (College Bescherming Persoonsgegevens) heeft de overheid geadviseerd bedrijven en overheden te verplichten om datalekken te melden. Dit zal de positie van de burger op het gebied van de bescherming van persoonsgegevens versterken.
Aanvulling 12 april 2012:
Het ministerie van Binnenlandse Zaken laat bij monde van de Rijks-CIO weten dat 'een veilige overheid een illusie is'.
Aanvulling 20 april 2012:
Beelden zeggen meer dan woorden: binnen 24 uur krijgen onbevoegden toegang tot de gegevens van Huisartsenlaboratorium Diagnostiek Voor U en die van het bedrijf Humannet.
Aanvulling 4 juni 2012:
Een bericht van de BBC over wat er allemaal fout kan gaan bij emails vanuit een artsenpraktijk. Let vooral op de BCC!
Aanvulling 10 oktober 2012
Het Groene Hart Ziekenhuis in Gouda had te weinig oog voor de beveiliging van patiëntgegevens. Een slecht beveiligde server was jarenlang vrij toegankelijk voor onbevoegden. Ruim 490.000 namen, adressen, geboortedata, burgerservicenummers, medische dossiers, brieven van artsen, röntgenfoto’s, echo’s en behandelplannen zaten verborgen achter een makkelijk te achterhalen wachtwoord.
Aanvulling op 22 november 2012
1 op de 10 Nederlanders is al eens gehackt, zo schrijft de AutomatiseringGids. Toch zijn Nederlanders nog altijd zeer nonchalant bij de keuze van wachtwoorden.
Aanvulling op 8 december 2012:
KRO Reporter bericht over de open toegang tot randapparatuur die aangesloten zijn op internet (Internet Of Things). 'Alles staat default op open'.
Aanvulling op 30 januari 2013:
Alle voorbeelden van menselijk falen ten spijt: gemeenten blijven laks als het om de beveiliging van hun online systemen gaat. WebWereld ontdekte dat gemeentesites massaal lek zijn dankzij oude software met kritieke gaten. 'Maar liefst 24% van alle aangetroffen websystemen bevat kwetsbaarheden "met hoge of kritieke impact".'
Aanvulling 25 februari 2013:
Denk je dat we wat geleerd hebben van de affaire rond Diginotar? Nee,vandaag niet en morgen niet. Certificatenbedrijf Bit9 ('The Leader in Trust-based Security') ontdekt een hack op de eigen servers pas na 6 maanden...
Aanvulling 30 juli 2013
Klik hier voor een mooie infographic waar de grootste inbraken getoond worden.
Aanvulling 20 augustus 2013
De Automatiserings Gids heeft een aparte hoek van haar website ingericht met berichten over beveiliging.
Aanvulling op 11 oktober 2013:
3Doc van de VPRO heeft een uitzending gewijd aan privacy op het internet. Bestaat die nog? 'Uh, no, I don't think so'.
Aanvulling op 26 februari 2014
Geen opmerkingen:
Een reactie posten