Utrechts ziekenhuis plakt wachtwoord op beeldscherm

Bij informatiebeveiliging denken we nog veel aan allerlei technische maatregelen om ons netwerk goed beveiligd te houden. En, eerlijk is eerlijk: die technische maatregelen zijn vaak al ingewikkeld genoeg. Maar we vergeten nog wel eens dat deze maatregelen alleen werken als ook de organisatorische maatregelen erbij aansluiten.

Leuk dat we een erg ingewikkeld wachtwoordsysteem hebben ingevoerd, maar als de gebruikers niet weten hoe daar mee om te gaan dan draagt het erg weinig bij aan de beveiliging.

De inloggegevens van de computers voor spoedeisende hulp van het UMC Utrecht waren vorige week op televisie te zien. Tijdens een uitzending van het EO-programma Ingang Oost was te zien hoe gebruikersnaam en wachtwoord op het beeldscherm van één van de computers was geplakt (bron).

Nu kunnen we natuurlijk eenvoudig stellen dat de medewerkers zich aan het beleid moeten houden (en ik mag hopen dat er ergens in het beleid of de richtlijnen staat dat het wachtwoord geheim moet worden gehouden), maar dat zou te makkelijk zijn. Misschien vind je het logisch dat mensen een inlognaam en wachtwoord niet op de pc plakken. En ja, als je inderdaad gebruik maakt van je eigen inlognaam en wachtwoord dan zou je dat moeten kunnen onthouden.

Maar denk je eens in. Je staat inderdaad op de spoedeisende hulp van een ziekenhuis. Een patiënt wordt binnen gebracht en jij moet snel inloggen. Grote kans dat je daar niet beschikt over een eigen inlognaam en wachtwoord (ja ja, dat zou wel moeten, maar laten we het ook praktisch bekijken, het gebeurt gewoon niet). Als je het wachtwoord niet weet dan moet je de helpdesk bellen voor een password reset.

Zie je het voor je? Iemand in levensgevaar en jij ben als 4de aan de beurt bij de helpdesk (als je mazzel hebt, want anders is de helpdesk na 17.00 uur gewoon gesloten en zoek je het zelf maar uit). Nee, we kunnen natuurlijk onze kop in het zand blijven steken en we kunnen mooi in ons beleid schrijven dat iedereen een eigen inlognaam en wachtwoord heeft dat hij of zij geheim moet houden, maar zo werkt het in de praktijk niet voor alle functies.

Wat dan wel weer erg is, is het feit dat het hier om een uitzending van een jaar geleden ging. Het ziekenhuis loopt dus al ruim een jaar dit risico (sterker nog: waarschijnlijk lopen ze dit risico al jaren). Grote kans is dat ze nu vanuit het beleid de maatregelen gaan aanscherpen: het briefje wordt verwijderd en de mensen moeten weer gewoon met hun eigen inlognaam en wachtwoord inloggen.

Inmiddels weten we dat dat dus niet zal gaan werken en is het bijna wachten op het eerste echte slachtoffer. Nee, wil het ziekenhuis dit echt goed doen, dan gaan ze op zoek naar een andere manier van inloggen. Een manier die voor de medewerkers van de spoedeisende hulp ook werkt. Doen ze dat, dan begrijpen ze dat informatiebeveiliging ondersteunend is aan de dagelijkse gang van zaken. Doen ze dat niet, dan steken ze nog steeds hun kop in het zand en is het wachten op een volgend risico.

Regelmatig incidenten in ziekenhuizen

Bijna de helft (46 procent) van de ziekenhuizen in Nederland heeft maandelijks of vaker te maken met een incident. Hierbij gaat het om incidenten als diefstal, verbale agressie en fysieke agressie…Dit blijkt uit onderzoek van Securitas onder ruim 350 werknemers uit verschillende ziekenhuizen. Bijna de helft van de ondervraagden geeft aan minimaal maandelijks te maken te hebben met een incident. Nog eens 42 procent zegt dat hun ziekenhuis meerdere keren per jaar te maken heeft met incidenten. De meeste incidenten vinden plaats op de spoedeisende hulp. De top vijf van meest voorkomende incidenten is:
1. diefstal
2. verbale agressie
3. fysieke agressie
4. inbraken op ongeoorloofde afdelingen
5. seksuele intimidatie

(bron)

Het is te hopen dat je binnenkort niet hoeft te worden opgenomen in een ziekenhuis want je bent je leven er niet zeker. Eerst wordt er ingebroken en worden jouw persoonlijke spullen uit je nachtkastje gestolen, vervolgens wordt je uitgescholden voor van alles en nog wat, waarna je klappen krijgt. Als laatste wordt je ook nog seksueel geïntimideerd waarna je met een nog half open wond naar huis wordt gestuurd om verder uit te zieken. We denken allemaal dat we naar huis worden gestuurd omdat het teveel geld kost om ons daar te houden, maar de echte reden is dat het thuis veel veiliger is dan in het ziekenhuis. Het is voor onze eigen bestwil.

Nou, een vooruitzicht waar je van opknapt, toch? En dan te bedenken dat er voor de ziekenhuizen de NEN7510 beveiligingsnorm is, kun je nagaan hoe het gesteld is met instellingen waar zo’n norm niet voor aanwezig is.

Er is blijkbaar nog genoeg te doen in de ziekenhuisbranche. Op zich een natuurlijk lastig te beveiligen sector want het zijn nu eenmaal open instellingen waar je snel naar binnen moet kunnen als je eerste hulp nodig hebt.

Ziekenhuis verliest laptops met patientgegevens

Een Amerikaans ziekenhuis is twee onversleutelde laptops met de gegevens van ruim tweeduizend patiënten verloren, zo heeft het bekendgemaakt. Op de gestolen machines stonden namen, datum van opname, medisch dossiernummer, patiëntnummer, social security nummer, ras, verzekeringsmaatschappij, adres, telefoonnummer, geslacht, geboortedatum, allergieën en eerste diagnose van de patiënt…De laptops waren wel met een wachtwoord beveiligd, maar om gegevens in de toekomst adequaat te beschermen gaat het Jewish Hospital alle computers voortaan versleutelen (bron).

Het is alweer enige tijd geleden dat we het hier hadden over ziekenhuizen die gegevens verliezen. Er gebeurt ook zoveel op beveiligingsgebied dat we keuzes moeten maken in de onderwerpen die aandacht krijgen.

Inmiddels zou je toch denken dat ziekenhuizen hun lesje geleerd hebben en de minimale beveiligingsmaatregelen wel geïmplementeerd zijn. Zeker in Amerika waar de regelgeving toch wat strikter is dan hier. Maar niet dus, vraag jij je ook wel eens af hoeveel ziekenhuizen kwetsbaar zijn en wat er in Nederland eigenlijk allemaal op dit gebied gebeurt? In Amerika zijn instanties verplicht dit soort incidenten te melden en openbaar te maken, in Nederland geldt dat nog steeds niet. We weten dus helemaal niet welke incidenten zich hier voor doen.

Het College Bescherming Persoonsgegevens gaf een aantal maanden geleden aan minder aan preventief advies en meer aan controle te gaan doen. Als ik eerlijk ben heb ik daarna niet zoveel meer van ze gehoord. Dat hoeft niet te betekenen dat ze niet gecontroleerd hebben en/of niets gevonden hebben, maar kan ook betekenen dat we als burgers daar niet van op de hoogte worden gebracht.

Identiteitsdiefstallen wordt een steeds groter probleem maar het krijgt nog niet de aandacht die het verdient. Bij verlies van persoonlijke gegevens schreeuwen we om het hardst dat onze privacy geschonden is, maar de link naar identiteitsdiefstal wordt nog niet door iedereen gelegd. Ik heb er eigenlijk minder moeite mee als mijn gegevens verloren raken en niemand daar iets mee kan (dan blijven het gewoon gegevens en wordt het nooit informatie), ik heb er veel meer moeite mee als iemand wat met die gegevens kan doen. Verzekeraars bijvoorbeeld die mijn premie er op aanpassen of criminelen die mijn gegevens gebruiken om leningen mee af te sluiten.

Privacy. Er is al veel over gezegd en geschreven en er zal de komende jaren nog veel meer over gezegd en geschreven worden. Met het digitaliseren van de wereld wordt het alleen nog maar een grotere uitdaging om de privacy zo goed mogelijk te beschermen. Misschien moeten we over een aantal jaar echt wel concluderen dat privacy niet meer bestaat. Eng? Ja, maar wat kun je er als individu aan doen?

Werkstraf voor filmen blote patientes

Voor het stiekem filmen van blote patiëntes en het bezit van kinderporno heeft de rechtbank in Assen vrijdag de 43-jarige laborant Marten H. veroordeeld tot 180 uur werkstraf, drie maanden voorwaardelijke celstraf en reclasseringstoezicht op. De man die werkzaam was op de afdeling cardiologie van het Diaconessenhuis in Meppel, filmde tussen januari 2007 en juni 2008 stiekem ontblote jonge vrouwelijke patiënten in een onderzoeksruimte van het ziekenhuis…Hij verklaarde dat hij er opgewonden van werd. De rechtbank achtte niet bewezen dat H. zijn slachtoffers had aangerand, zoals justitie eerder beweerde, omdat er naar haar oordeel geen sprake was van dwang (bron).

Als er toch ergens een plek is waar je vertrouwen in moet kunnen hebben dan is dat toch een ziekenhuis, lijkt me. Als we de mensen al niet meer kunnen vertrouwen die ons beter moeten maken, waar gaan we dan heen in deze wereld?

De rechter oordeelde dat er geen sprake was van dwang, nee dat zal vast niet. De patiënten kwamen natuurlijk vrijwillig naar het ziekenhuis, want ze mankeerden iets en dat wilden ze graag laten onderzoeken. Niet omdat ze dat onderzoek nou zo prettig vinden, maar om de angst voor één of andere enge ziekte (hopelijk) weg te nemen. Voor mijn gevoel slaat de rechter hier de plank volledig mis, er mag dan geen sprake zijn van dwang maar de privacy van de patiënten is in het geding en het vertrouwen dat we kunnen stellen in dit ziekenhuis is ook volledig weg.

Nu maar hopen dat hij de werkstraf niet uit gaat voeren op de kinderboerderij of in een verpleegtehuis want dat staat meneer binnenkort weer voor het bankje. Zeer benieuwd of deze man na zijn werkstraf weer gewoon als laborant verder gaat, maar goed, daar zullen we wel nooit meer wat van horen (dus de kans is groot).

Of mogen we in dit geval van geluk spreken dat de man “slechts” laborant is? Ironisch genoeg is Cardiologie het medisch specialisme dat zich bezighoudt met het opsporen, diagnosticeren en behandelen van ziekten van het hart. Stel je voor dat hij de patiënten ook aan den lijven had moeten onderzoeken…nee misschien mogen we in dit geval dan nog van geluk spreken.

Ziekenhuizen laks met beveiligen patientendossiers

Steeds meer ziekenhuizen en zorginstellingen in Nederland volgen niet de code voor informatiebeveiliging voor het beveiligen van vertrouwelijke informatie. De norm NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland…Uit de resultaten van het onderzoek blijkt nu, dat nog slechts 23% van de respondenten de code informatiebeveiliging hanteert, ten opzichte van 57% in 2007. (bron).
Zie je wel: vroeguh was alles beter.

Nou, nou Ab (Klink natuurlijk), jij maakt tenminste het verschil binnen dit kabinet. Vorig jaar november schreef je nog een brief aan de Tweede Kamer waarin je aangaf dat de informatiebeveiliging in ziekenhuizen snel beter moest (bron). Ziekenhuizen moesten voor 1 februari 2009 aangeven hoe ze de veiligheid van patientendossiers garanderen. Over natuurlijk overwicht mag je in ieder geval niet klagen. Don’t fuck with Ab Klink…of was het nou Frank de Grave?

Ben benieuwd of er nog tijd is om hier kamervragen over te stellen. Of zijn alle politici op dit moment te druk bezig met DSB (heb er gelukkig geen mening over, klanten van DSB: succes).

Maar goed, voor onze Ab mag dit niet als een verrassing komen. Het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) hebben eerder al gesteld dat het met de veiligheid van computersystemen van ziekenhuizen niet goed gesteld is (2007). Wat we niet moeten vergeten is dat het IGZ juist in september van dit jaar nog aan gaf dat de informatiebeveiliging beter is geworden (bron). Welk onderzoek moeten we nu geloven?

Het lijkt misschien of ik Ab hier in een negatief daglicht wil zetten, maar dat is natuurlijk niet zo. Hij neemt keiharde maatregelen. Het ziekenhuis bij mij in de buurt (Vlietland Ziekenhuis), dat kort geleden gefuseerd is, laat hij gewoon failliet gaan. Daar kan binnenkort in ieder geval niets meer mis gaan met de elektronische patientendossiers en over dubieuze sterfgevallen hoeft men zich daar ook geen zorgen meer te maken.

Vroeguh was alles beter toen werd je nog gewoon geholpen als je iets mankeerde. Nu moet je maar hopen dat een hacker jouw patientendossier niet gewijzigd heeft en dat het ziekenhuis nog bestaat als je het nodig hebt.