Maandelijks archief november 2019

doorSecuratis

Melkert wil nieuw landelijk elektronisch patiëntendossier

Wat wel weer humor is…

Wie het boek van Fortuyn nog heeft liggen, eigenlijk zijn toenmalig verkiezingsprogramma, moet het hoofdstuk over de zorg voor de lol nog een teruglezen. Laat ik het zo zeggen, in dat boek waren sterkere hoofdstukken te vinden. Waar het de zorg betrof zag de professor op korte termijn een grote rol voor de IT. Geautomatiseerde ziekenhuizen, alles via de computers en met de nieuwe techniek. Met camera’s op afstand en live overleggen met chirurgen in Houston. De beste kunstmatige gezondheids intelligentie denkbaar zou alles gaan oplossen. En natuurlijk ook enorm veel besparingen gaan opleveren! Het was het meest kinderlijke hoofdstuk uit dat boek. Om de problemen in de zorg op te zorgen gaan we gewoon de Thunderbirds bellen. Dat idee. Zorg op zijn Trumps. Ik heb het hem toen, lezende, vergeven, want hij moest natuurlijk iets over alle belangrijke onderwerpen schrijven.

Nu, 20 jaar later, zit notabene Ad Melkert, voor zijn wachtgeld, te piepen dat dat allemaal ingevoerd gaat worden.

Het heeft wel iets grappigs.

Dat het niet gaat werken, had je 20 jaar geleden al kunnen zien aankomen. Want zorg en boekhouden zijn werkelijk twee heeeeeel verschillende vakken en disciplines. Zoals de rechtsspraak ook niet te automatiseren is.

Maar goed. Na de mislukking zal Ad zijn geld wel krijgen. En die programmeur die hierboven reageerde moet zich ook geen zorgen maken, want zulke projecten mislukken doorgaans al lang voordat er iemand over garantie, laat staan after sales service gaat denken. Tegen die tijd zit jij al weer aan een nieuw project. Nieuw paspoort programmeren of zo. Met vingerscan.

Ik vind het desalniettemin wel grappig dat die Ad toen zo uit de hoogte was, en nu, blijkbaar zonder te veel boeken gelezen te hebben, pas 20 jaar later, nòg naiever uit de oude doos kruipt dan waar hij toen zo verheven boven leek te zweven.

Heb je al gedacht om het aan de Faceboek te koppelen, Adje? Dat als je in het systeem dood gaat, dat dan automatisch je Feesboek op zwart gaat, zodat je nabestaanden daar niet de dupe van zijn?

Ad voert plan Pim uit.

Ik ga even een nieuw pak incontinentiemateriaal opentrekken, als u het niet erg vindt. Die ik om heb zit vol. Vervelend als iedereen dat weet, dus ik doe dat even clandestien. Buiten mijn patientendossier om!

Het komt van het lachen. Dus zo erg is dat ook weer niet.

https://www.security.nl/posting/633356/Melkert+wil+nieuw+landelijk+elektronisch+pati%C3%ABntendossier?channel=rss

doorSecuratis

Minister: loggegevens medische dossiers minimaal 5 jaar bewaard

Door Anoniem: Begin maar even overnieuw met een redelijk geschreven reactie met onderbouwing. Wat je nu doet is nog harder vooringenomen dus maakt geen indruk.

Het is de taktiek van de bashers negatievelingen, als dat geen indruk zou maken zouden er niet zoveel van die zombies zijn die het ongefundeerde gewoon nalopen. Je hoeft niets eens te “deep faken” voor misleiding

Je hoeft alleen hierboven maar te kijken naar het aanhalen van barbie vrijwel wekelijks in privé en gestalkt door de telegraaf wat kennelijk normaal is, maar een foute klokkenluider kan het werk op de vloer verzieken omdat hij zijn zin niet kreeg.

Even eerder een anoniem die er werkelijk van alles bij verzint data alles bewaard wordt. Er wordt veel bewaard en gedeeld, mogelijk te veel met het argument om zicht op alle kosten te hebben. Heel goed het publiek bespeeld met het probleem dat we met zijn allen ouder worden en er ooit niemand meer dood gaat.

Daarvoor nog iemand dat uitdraagt dat medische dossiers helemaal taboe zijn. Die heeft kennelijk nooit de educatie genoten hoe de medische wereld zich ontwikkeld heeft. Een gebied zonder zorg zou voor hem aan te raden zijn.

Het gaat hier maar om een enkele (of enkele) handelingen, namelijk “inzien dossier”. Je hoeft niet voor elke pil die de ziekenhuisapotheek in een potje stopt een logregel “inzien dossier wegens pillenverstrekking” toe te voegen..

Een aanname die nergens op gebaseerd dat het niet zou hoeven. Elke medicatie is inzien – bijwerken in het dossier.
Ik weet niet of je iets van de processen en ICT ooit gezien hebt en de impact doorziet.

En elke keer dat één van die 7000 mensen (doen ze lang niet allemaal!) een enkel dossier inzien levert dat één logregel op, voor één enkel dossier, niet 80000*7000 logregels per inzage.

Je bent er niet voor niets, agendering aanmelding collegiale review advies meting medicatie. Levert zo een tiental of veel meer logregels op per behandeling. die 80.000 maal 20 maal 1000 gaat hard genoeg.

Dus het punt dat toegangslogs bijhouden relatief niet heel veel tot weinig data is tenopzichte van een dossier. Dus als je dossiers 15 jaar kan bewaren, waarom is diezelfde termijn voor minder data dan ineens tien jaar teveel? Leg uit.

Het beste is het te leren uit ervaring. Als je wekelijks / dagelijks langs mag gaan kun je veel zien.
Ik raad je aan om de reden voor de ervaring buiten de persoonlijke noodzaak te houden.

Het medische dossier is opgebouwd ten behoeve van de behandeling. Het bevat over de patiënt hetgeen daarvoor nodig is en al het andere is zoveel mogelijk weggelaten. Wel diagnoses laboratorium en onderzoekuitslagen met de medicatie maar de zaal / verpleging en het vrijblijvende advies en vragen normaliter weggelaten.

https://www.security.nl/posting/633349/Minister%3A+loggegevens+medische+dossiers+minimaal+5+jaar+bewaard?channel=rss

doorSecuratis

Minister Dekker en SyRI winnen Big Brother Awards

Minister Dekker voor Rechtsbescherming en risicoprofileringssysteem SyRI (Systeem Risico Indicatie) hebben de Big Brother Awards 2019 gewonnen. Volgens publiek en experts zijn de twee de grootste privacyschenders van Nederland. Elk jaar reikt burgerrechtenbeweging Bits of Freedom de Big Brother Awards uit aan de persoon of organisatie die de grofste inbreuk maakte op de privacy van Nederlanders.

De Big Brother Award publieksprijs ging naar Dekker. De minister dankte de award aan zijn plannen om betaalprofielen van het Centraal Justitieel Incassobureau (CJIB) breder in te zetten. Het CJIB gebruikt deze profielen om een “(kosten)effectieve en maatschappelijk verantwoorde incassostrategie te kunnen voeren”. Dekker liet onderzoeken of de profielen breder inzetbaar zijn.

De onderzoekers stelden dat intensievere gegevensuitwisseling tussen inningsinstanties essentieel is om betaalprofielen effectiever in te kunnen zetten. “Hierbij gaat het met name om informatie over andere uitstaande vorderingen, maar ook om gegevens als opleiding en life events. Uitwisseling daarvan stuit op wettelijke grenzen (AVG). Gelet op de geluiden uit het veld is het de moeite waard om verder te onderzoeken welke mogelijkheden er wel zijn en onder welke waarborgen meer informatie gedeeld kan worden”, zo luidde de conclusie.

Dekker was “verheugd” over het positieve beeld van het onderzoek en dat de vertaling van een [profiel] naar een maatschappelijk verantwoorde incasso bevorderd moet worden. “Ik geloof niet dat deze prijs bedoeld is als compliment. Deze prijs zet mij aan het denken en houdt mij scherp”, zo liet de minister weten bij het in ontvangst nemen van de Big Brother Award. Naast de minister waren ook Google en de Nederlandse dataverzamelaar Coosto voor de publieksprijs genomineerd.

Expertprijs

Naast de publieksprijs werd er ook een prijs door een groep experts uitgereikt. Die ging naar SyRI, een systeem van het ministerie van Sociale Zaken waarin persoonsgegevens van Nederlandse burgers uit allerlei overheidsdatabases worden samengevoegd en geanalyseerd met de bedoeling om sociale zekerheids-, arbeids- en belastingfraude tegen te gaan. Een brede coalitie van maatschappelijke organisaties is een rechtszaak gestart om de wettelijke regeling van SyRI ongeldig te laten verklaren omdat het in strijd zou zijn met het grondrecht op een privéleven.

“Nu zitten we in het verdachtenbankje. Maar ik blijf me er hard voor maken om sociale zekerheid bij de juiste mensen terecht te laten komen”, reageerde staatssecretaris Tamara van Ark in een videoboodschap. SyRI wist de andere genomineerden in deze categorie, DUO en organisatie voor gezondheidszorgonderzoek ZonMw, achter zich te laten.

https://www.security.nl/posting/633348/Minister+Dekker+en+SyRI+winnen+Big+Brother+Awards?channel=rss

doorSecuratis

Schiphol start proef met monitoren van gedrag passagiers

Door Anoniem: “Als we weten dat iemand zijn ticket cash heeft afgerekend, kan dat een reden zijn om aan te nemen dat hij of zij detectie wil vermijden”

Waarschijnlijk is dat waar. Wat is dit een slecht en goed voorbeeld.

Het is een goed voorbeeld van hoe dit soort mensen denken. Elk excuus om iemand verdacht te vinden is goed.

Bonuspunten en kudos van de baas als je dat als reden in kan zetten om iemand het leven zuur te maken, z’n vlucht te laten missen, noem maar op.

Nu nog met “vrijwillige acteurs”, maar binnenkort met onvrijwillige reizigers. Dat maakt het net een beetje meer alsof ze het in het eggie aan het doen zijn.

Is dit criminalisering van mensen die met cash betalen?!
Wat is de volgende stap?

Verplicht naakt vliegen voor mensen die contant betalen.

Ze lopen hiermee achter want eigenlijk had ik toch wel verwacht dat iedereen nu toch wel al verplicht naakt moest vliegen, vanwege de terrorismeterreurterroristen. Nouja, mischien volgend jaar.

https://www.security.nl/posting/633311/Schiphol+start+proef+met+monitoren+van+gedrag+passagiers?channel=rss

doorSecuratis

Ziekenhuis VS annuleert afspraken wegens ransomware

Het betreft hier dan wel de US maar voor Nederland zou moeten gelden: Wederrechtelijke toegang, hetzij door inbraak of poging tot destructie (ransomware) tot/van de IT-structuur van zorg-instellingen en maatschappelijke hulpdiensten zonder gevolgen voor de effectiviteit van deze instellingen zouden standaard bestraft moeten worden met detentie van 270 dagen.

Naargelang de mate waarin de inbraak negatieve gevolgen heeft voor de continuïteit zou de straf veel hoger moeten uitvallen. Indien door het misdrijf slachtoffers vallen al/of niet met de dood ten gevolge – het is niet de vraag of het ooit gebeurt maar eerder: wanneer het gebeurt – moet minimaal een veroordeling volgen voor poging tot doodslag dan wel als zodanig, de dood ten gevolge hebbend: 12 tot 15 jaar gevangenisstraf.

Hopelijk ziet het misdadig tuig door dergelijke veroordelingen dan dat de Nederlandse (recht)staat gezondheidszorg en maatschappelijk welzijn zeer serieus neemt, wat gezien het vonnis zoals aangehaald op: https://www.security.nl/posting/633148/Celstraf+voor+man+die+op+systeem+Dordts+ziekenhuis+inbrak: 30 dagen op kosten van de staat – dat zijn wij: de rechtschapen burgers – de bloemetjes buiten zetten, ahum…. water geven bij de dagbesteding in het gevang, tot nu weinig geloofwaardigheid behelst.

https://www.security.nl/posting/633280/Ziekenhuis+VS+annuleert+afspraken+wegens+ransomware?channel=rss

doorSecuratis

OM klaagt duo aan voor het stelen van 450.000 euro via phishing

Twee 22-jarige mannen uit Hilversum zijn aangeklaagd voor het stelen van zeker 450.000 euro via phishing. De twee werden begin dit jaar op heterdaad aangehouden in een hotelkamer in Soest. Volgens de officier van justitie verstuurden ze phishingmails die van ING afkomstig leken.

Via de malafide mails wisten ze toegang tot de rekeningen van ING-klanten te krijgen. Ook zouden ze zich hebben voorgedaan als bankmedewerkers en “waarschuwden” slachtoffers dat er verdachte transacties waren geweest op hun rekening. Slachtoffers werden dan gevraagd om geld over te maken naar een zogenaamd veilige rekening, zo laat RTV Utrecht weten. Onlangs werd een man uit Apeldoorn op deze manier nog voor 28.000 euro opgelicht. De inhoudelijke behandeling van de zaak staat gepland voor 28 mei.

https://www.security.nl/posting/633274/OM+klaagt+duo+aan+voor+het+stelen+van+450_000+euro+via+phishing?channel=rss

doorSecuratis

HEMA stopt met vingerscansysteem voor kassa’s en prikklok

Warenhuisketen HEMA stopt met het gebruik van een vingerscansysteem voor de kassa’s en prikklokken. Volgens het bedrijf voldoet het systeem niet aan de AVG. De beslissing volgt na een uitspraak van de Amsterdamse kantonrechter in augustus dat schoenenwinkel Manfield een werkneemster niet mocht verplichten om haar vingerafdruk te laten scannen om het kassasysteem te gebruiken.

HEMA-personeel kan via het vingerscansysteem in- en uitklokken en zich bij de kassa’s aanmelden. Vanaf 1 januari volgend jaar moeten alle vingerscansystemen uit de winkels zijn verwijderd, zo meldt NU.nl. Werknemers die nu al niet meer met hun vingerafdruk willen inloggen kunnen van een pincode gebruikmaken. Volgens HEMA bevestigt de uitspraak van de rechtbank in Amsterdam dat het gebruikte systeem niet aan de AVG voldoet.

Manfield stelde dat het gebruik van het vingerscanautorisatiesysteem noodzakelijk was om gegevens te beveiligen en fraude tegen te gaan. Het gebruik van een code zou geen passende beveiligingsmaatregel meer zijn. Vervolgens hebben de werkneemster en Manfield gezamenlijk een verzoek ingediend of de werkneemster het afstaan van haar vingerafdruk mag weigeren.

De rechter stelde dat een vingerscan een biometrisch persoonsgegeven is en de verwerking daarvan is verboden, tenzij dit noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. In het geval van Manfield was dat onvoldoende gebleken. Tevens vond de rechter dat het tegengaan van fraude niet aan te merken is als noodzakelijke authenticatie- of beveiligingsdoeleinden. Verder stelde de rechter dat Manfield alternatieve oplossingen, zoals een werknemerspas eventueel aangevuld met cijfercode, onvoldoende had onderzocht.

https://www.security.nl/posting/633187/HEMA+stopt+met+vingerscansysteem+voor+kassa%27s+en+prikklok?channel=rss

doorSecuratis

Onderzoek: impulsieve mensen eerder slachtoffer cybercrime

Impulsieve mensen lopen meer kans om slachtoffer van cybercrime te worden, zo stelt het Wetenschappelijk Onderzoeks- en Documentatiecentrum (WODC) van het ministerie van Justitie en Veiligheid. Ook hebben impulsieve, emotioneel instabiele en meer open mensen meer kans om herhaald slachtoffer te worden (pdf).

Het WODC deed onderzoek naar slachtoffers van cybercrime. Het doel van het onderzoek was om beter zicht te krijgen op de omvang, risicofactoren en gevolgen van diverse vormen van online slachtofferschap. Het ging dan om zaken als aankoopfraude, malware en overgenomen accounts. Uit het rapport blijkt dat dat tussen 2010 en 2018 het aantal online slachtoffers is gedaald.

Volgens de onderzoekers is dit te danken aan een sterke daling van het aantal mensen dat met malware te maken kreeg. Het meest voorkomende type cybercrime is in het afgelopen decennium verschoven van malware naar aankoopfraude. Jongeren, mannen en frequente internetgebruikers lopen meer risico om slachtoffer van cybercrime te worden. Ook impulsieve, emotioneel instabiele en meer open mensen lopen een verhoogd risico.

“Deze persoonlijkheidskenmerken zijn een indicatie zijn voor online risicogedrag. Zo zullen impulsieve mensen tijdens hun handelen minder nadenken over mogelijke risico’s, hebben emotioneel instabiele mensen meer moeite om risico’s in te schatten, en hebben open mensen een grotere kans om online gegevens te delen”, zo stelt het WODC. Impulsiviteit is daarbij de enige risicofactor die enkel is voorbehouden aan online slachtoffers, en kan volgens de onderzoekers daardoor worden gezien als een kenmerkende risicofactor van cybercrime.

“De samenhang tussen bovenstaande persoonlijkheidskenmerken en online criminaliteit kunnen worden bezien in het licht van de zelfcontroletheorie, die stelt dat impulsief handelen, een focus op korte-termijndoelen en het negeren van lange-termijndoelen ertoe kunnen leiden dat men sneller betrokken raakt in diverse probleemsituaties. Deze theorie is in cross-sectioneel onderzoek al eerder bevestigd: impulsieve mensen hebben een grotere kans om te worden gehackt”, zo laat het onderzoeksrapport weten.

Impulsieve mensen lopen ook meer kans om herhaaldelijk slachtoffer van cybercrime te worden. Wie slachtoffer van cybercrime is geworden zal hierop zijn gedrag aanpassen. Bij impulsieve mensen is dat minder het geval. “Impulsieve mensen handelen eerder zonder na te denken over de mogelijke gevolgen van hun handelen, waardoor de kans op herhaald slachtofferschap wordt vergroot.”

Waarschuwingen over online risico’s hebben mogelijk een minder goede uitwerking op impulsieve mensen dan op niet-impulsieve mensen, omdat impulsieve mensen eerder geneigd zijn te handelen zonder na te denken over de mogelijke consequenties van hun online gedrag, zo stellen de onderzoekers. Bij het opstellen van beleid kan dan ook rekening worden gehouden met de persoonlijkheidskenmerken van potentiële slachtoffers. Minister Dekker voor Rechtsbescherming laat weten dat hij de bevindingen van het rapport zal meenemen bij het opstellen van beleid om cybercrime aan te pakken.

https://www.security.nl/posting/633162/Onderzoek%3A+impulsieve+mensen+eerder+slachtoffer+cybercrime?channel=rss

doorSecuratis

Toezichthouder: DPIA verplicht bij biometrische authenticatie

Waarom zou juridisch er onderscheid nodig zijn tussen ‘on device’ en ‘in the cloud’ authenticatie?
Hoewel de stelsel natuurlijk technisch verschillend zijn zijn is het in de basis toch al snel dat de gegevens tijdens verwerking ook nog elders inhoudelijk worden ingezien?
Voor zover mij duidelijk is vindt er in essentie voor authenticatie altijd een pairing van gegevens en matching ervan plaats.
Of dat nou op het apparaat plaatsvind of op het apparaat met hulp van internet verbinding & servers, het doel waarvoor het wordt gedaan is hetzelfde.
De hoofdfuncties in de systemen bieden grotendeels ook dezelfde mogelijkheden.
En volgens mij willen toezichthouders regels toepassen die niet of nauwelijks binnen 5 jaar na invoering door een breder scale van technieken en mogelijkheden achterhaald kan raken.

De onderdelen die op het apparaat de authenticatie mogelijk maken staan altijd direct en indirect in verbinding op een of meervoudige wijze met de rest en de andere functies van het apparaat.
Dus ja er is in theorie en qua techniek een andere soort gegevens verwerking.
Bij rechtstreekse identificatie via een onderdeel op 1 apparaat zou je kunnen denken dat er in principe geen gegevens naar buiten hoeven te komen.
Klopt dat in aard (functionele zin) en qua werking (in de praktijk) ook?
En blijft dat onderscheid ook meer dan 5 jaar staande als de techniek verder ontwikkeld wordt?
Ik denk dus dat voor wetgever en toezichthouder de verschillen tussen beide methoden nihil.

Denk je aan de onderliggende gebruikte techniek door aanbieders dan zijn er heel waarschijnlijk wel hele andere exploit mogelijkheden van beide technieken en van de onderdelen die in de 2 technisch verschillende schakelingen betrokken zijn.
Dat impliceert denk ik dus ook dat aanbieders qua techniek en beheer-verantwoordelijkheden bij beide wijzen anders kunnen uitpakken.
Ongetwijfeld gezien de AVG en ICT-veiligheid zienswijze ook nog afhankelijk van de omgeving waarin het apparaat zelf wordt gebruikt.
Gebeurt dat bijvoorbeeld in een organisatie dat onderdeel is van vitale infrastructuur of niet?
Afhankelijk wat aanbieders implementeren moeten ze denk ik er ook rekening mee dat dat inherent andere technische c.q. bijkomende maatregelen kan vergen.

https://www.security.nl/posting/633035/Toezichthouder%3A+DPIA+verplicht+bij+biometrische+authenticatie?channel=rss

doorSecuratis

Nationaal Cyber Security Centrum lanceert Cyberkompas

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie heeft vandaag het Cyberkompas gelanceerd, een tool die organisaties inzicht moet geven in de uitdagingen en ontwikkelingen waar ze de komende jaren mee te maken kunnen krijgen als het om cybersecurity gaat.

Het Cyberkompas geeft organisaties op basis van acht thema’s, zoals digitalisering, toename van wet- en regelgeving, afnemende rol van de mens en monopolisering in het digitale domein, inzicht over welke maatregelen er genomen kunnen worden om in de toekomst weerbaar te blijven.

“Een beperkt aantal grote marktpartijen domineert vrijwel de gehele digitale markt. Een kleine groep leveranciers levert diensten die in vrijwel alle ketens terugkomen”, zo laat het NCSC in het Cyberkompas weten. Deze afhankelijkheid zet de weerbaarheid van organisaties onder druk, bijvoorbeeld als één van deze leveranciers met een cybersecurity-incident te maken krijgt.

Het NCSC verwacht ook dat incident response in de toekomst complexer zal worden, omdat niet alle informatie uit de keten real-time beschikbaar is. Daarnaast verschijnen er in de keten meer black boxes waarvan niet transparant is hoe ze werken, wat detectie van dreigingen lastiger maakt.

Een andere ontwikkeling waar organisaties bij stil moeten staan is de afnemende rol van de mens. “Er worden steeds meer geautomatiseerde beslissingen genomen in processen. Waar vroeger de mens een afweging maakte op basis van beschikbare informatie en eigen inzicht, wordt dat nu overgelaten aan kunstmatige intelligentie”, stelt het NCSC.

De overheidsdienst verwacht dat automatisering het aantal door mensen veroorzaakte beveiligingsincidenten zal doen afnemen. Aan de andere kant zal het menselijk improvisatievermogen om besluiten van computers te betwisten mogelijk verminderen en kunnen mensen de beslissingen van kunstmatige intelligentie wantrouwen, wat uiteindelijk weerstand zal oproepen.

“Het kompas helpt om zwaartepunten te bepalen en na te denken over maatregelen die uw organisatie heeft genomen of in de toekomst zou moeten nemen om weerbaar te blijven”, aldus het NCSC.

Image

https://www.security.nl/posting/633021/Nationaal+Cyber+Security+Centrum+lanceert+Cyberkompas?channel=rss

Secured By miniOrange