Privacy Nieuws
Hackers hebben met behulp van ransomware een computernetwerk platgelegd dat gebruikt wordt door elf ziekenhuizen en vier bejaardentehuizen in de Duitse deelstaten Rijnland-Palts en Saarland. In de getroffen ziekenhuizen moesten artsen uit nood met pen en papier werken om hun medische diagnose vast te leggen en recepten te kunnen schrijven.
De hackers troffen onder meer medische klinieken in Worms, Mainz, Alzey en Bad Kreuznach met de ransomware-aanval.
De aangevallen ziekenhuizen behoren tot het Duitse Rode Kruis (DRK).
De ransomware heeft servers en databases versleuteld. Volgens het magazine Spiegel Online, kon het medisch personeel niet langer toegang krijgen tot de gegevens omdat die versleuteld bleken door de ransomware.
Tijdens de aanval moesten het medisch personeel en de administratie met potlood, balpen en papier opnames van patiënten en laboratoriumbevindingen opschrijven.
De zorg voor de patiënten zou echter niet in gevaar zijn geweest, medische hulpmiddelen niet aangetast en er zijn tot nu toe geen aanwijzingen dat er vertrouwelijke informatie is gestolen.
De hack werd zondagochtend opgemerkt. Het encryptieproces kon pas op zondagmiddag worden gestopt. Het Staatscentrum voor Cybercrime bij het Openbaar Ministerie in Koblenz deed onderzoek.
De zwakke plek in het netwerk waardoor hackers met hun ransomware konden infiltreren is nu geïdentificeerd. Volgens de regionale publieke omroep SWR, worden de betrokken computers inmiddels geleidelijk weer op het netwerk aangesloten.
Privacy Nieuws
Je bent onlangs in het ziekenhuis geweest voor onderzoek. De specialist stuurt je per e-mail de uitslag. „Uw bloedwaarden“, lees je in de onderwerpregel van je mailbox.
Uiteraard trekt deze regel meteen jouw aandacht. Maar mogelijk ook die van kwaadwilligen die met de gevoelige medische inhoud van de mail jouw belangen zouden kunnen beschadigen.
Kan de dokter beter geen mail meer sturen? Die drastische maatregel is niet nodig. Soms zijn hele simpele aanpassingen al voldoende. Zorg er bijvoorbeeld voor dat het onderwerp neutraal is. Schrijf “Ons gesprek op 01-02“ in plaats van “Uw bloedwaarden”.
De meeste datalekken vinden hun oorsprong in de mailbox. Veel cybercriminelen verspreiden virussen en malware via e-mail. Daarnaast versturen veel mensen te lichtzinnig ongecodeerd persoonsgevoelige informatie per e-mail.
De Algemene Verordening Gegevensbescherming (AVG) legt organisaties de verplichting op om risico‘s zo veel mogelijk te beperken door technische en organisatorische maatregelen te nemen bij het verzenden van e-mail.
Naast de inhoudelijke gegevens (de tekst van de mail en eventuele bijlagen) bevatten e-mails ook metadata zoals afzender en ontvanger, datum en onderwerp.
Zowel inhoud als metadata kunnen persoonsgegevens bevatten. Daarom moeten beide soorten gegevens in aanmerking worden genomen bij de beoordeling van de wetgeving inzake gegevensbescherming.
“pseudonimisering” en “encryptie”
Volgens de AVG moeten passende en passende maatregelen worden genomen om de veiligheid van de verwerking van persoonsgegevens en dus ook de vertrouwelijkheid ervan te waarborgen. Bijvoorbeeld door “pseudonimisering” en “encryptie” toe te passen. De AVG ziet deze technieken als standaardmaatregelen die in beginsel moeten worden toegepast als het gebruik ervan mogelijk en passend is.
Bij het verzenden van e-mail moet een fundamenteel onderscheid worden gemaakt tussen versleuteling op inhoudsniveau en versleuteling op vervoersniveau.
S/MIME- en OpenPGP-standaarden
Bij de versleuteling van de tekst van een e-mail en bijlagen kunnen S/MIME- en OpenPGP-standaarden worden toegepast. Beide standaarden ondersteunen ook digitale handtekeningen om manipulaties tijdens de transmissie op te sporen.
S/MIME en OpenPGP maken end-to-end versleuteling mogelijk. De e-mail wordt dan versleuteld op het systeem van de verzender en ontsleuteld op het systeem van de ontvanger. Tijdens de verzending is het bericht nooit beschikbaar in platte tekst.
Versleuteling meta- en inhoudsgegevens
Met de transportcodering worden zowel meta- als inhoudsgegevens versleuteld op de verbinding tussen e-mailclient en server of tussen verschillende mailservers. Dit zorgt ervoor dat de e-mail niet door derden kan worden gelezen tijdens transport via onveilige netwerken zoals internet. De e-mail is echter beschikbaar in platte tekst op de betrokken mailservers.
De uitgebreide beveiliging van e-mailcommunicatie vereist het gebruik van zowel transport- als contentcodering.
Wanneer is end-to-end encryptie vereist?
Om te bepalen of end-to-end encryptie vereist is, moet rekening worden gehouden met de noodzaak om de overgedragen gegevens te beschermen en met de toereikendheid van de maatregel.
End-to-end encryptie is vereist om gegevens met hoge of zeer hoge beschermingsvereisten, met name de speciale categorieën persoonsgegevens door te geven.
Omdat e-mailmetadata niet beschermd worden door end-to-end encryptie, moet ervoor worden gezorgd dat ze geen gegevens bevatten die een hoog of zeer hoog niveau van bescherming vereisen.
Bij de overdracht van persoonsgegevens met normale beschermingseisen is het mogelijk dat in individuele gevallen wordt afgezien van end-to-end encryptie van de inhoudgegevens.
Er moet echter altijd rekening worden gehouden met de uitdrukkelijke wens van de ontvanger om end-to-end encryptie te gebruiken.
Als minimumnorm is ook transportcodering vereist voor de overdracht van persoonsgegevens met normale beschermingseisen.
Privacy Nieuws
De kans op digitale incidenten en bedreigingen is in de zorgsector vele malen groter dan in andere sectoren.
Dat blijkt uit internationaal onderzoek van Verizon Communications.
In totaal worden volgens de onderzoekers 56 procent van de digitale incidenten van binnenuit veroorzaakt.
Datalekken betreffen in de meeste gevallen (79 procent) medische informatie, gevolgd door persoonsinformatie (37 procent).
In 35 procent van de gevallen vindt een datalek plaats na een menselijke fout. Het gaat dan vaak om gevoelige informatie die aan de verkeerde persoon wordt verstrekt.
In een kwart (24 procent) van de gevallen gaat het om misbruik door medewerkers. Daarbij misbruiken werknemers hun rechten om ongeoorloofd in systemen en gegevens te kijken.
Het motief is vaak nieuwsgierigheid, bijvoorbeeld naar het dossier van een bekende van de zorgprofessional of naar een beroemde patiënt.
Deze week kwam naar buiten dat medewerkers van het Haga-ziekenhuis in Den Haag mogelijk ongeoorloofd in het dossier van Samantha de Jong, ook wel bekend als Barbie, hebben gekeken. Het ziekenhuis en de Nederlandse privacywaakhond doen onderzoek.