LIVEBLOG IRAN HIER Privacy was ooit een leuk idee maar we kunnen er ondertussen wel de stekker uit trekken, hè? Geen enkele organisatie is in de verste verte capabel genoeg om gevoelige gegevens te bewaren zonder ze in een onbewaakt moment doodleuk uit handen te geven aan cybercriminelen. Daar komen niet eens Matrix-achtige groene schermen met enen en nullen aan te pas, het is veel dommer. In de meeste gevallen sturen ze een mailtje met 1 fout linkje naar de medewerkers van het bedrijf in kwesti
← Terug naar overzicht
Geenstijl|Tech|1 maand geleden
73STEM
Jahoor. Leverancier ziekenhuissoftware GEHACKT
Lees het originele artikel op geenstijl.nl →
71 reacties
Verhitte discussies
Wijk weggevaagd bij explosie Myanmar, zoektoc...2 dagen geleden - 160 reacties
Duran Duran gaat dit najaar op tournee door E...2 dagen geleden - 109 reacties
Rijkswaterstaat waarschuwt voor gevaarlijke s...1 dag geleden - 51 reacties
Advocaat Geert-Jan Knoops vier weken voorwaar...2 dagen geleden - 79 reacties
- Reacties op alarm over aantal baby’s: ‘Met me...
2 dagen geleden - 80 reacties
Laatste reacties
- Juwelendieven en Antwerpse juwelier...
Precies, die juwelier is geen “slachtoffer van de markt”, di...
- Video | Rutte en Zelensky leggen bl...
Los van het kransleggen: Rutte is nu NAVO-baas, dus dit is ó...
- DPM Metals uncovers high-grade mine...
Vanuit het buitenland gezien is dit vooral het bekende spell...
- Zwemverbod in Almere na meldingen v...
Vanuit het buitenland gezien: NL met z’n “waterland” en dan...
- Zoon columniste Yesim Candan aangev...
dit is ook gewoon pure angst die omslaat in geweld: iemand s...
- Goh. Totaal hysterische angst voor...
Tuurlijk is het overdreven om te doen alsof Tate hier de str...
- Schade na Palliebezettingen op Univ...
Openbaar maken die posten: prima, graag zelfs, maar je mist...
- Google test opt-out voor websites u...
Luister, “opt-out” is leuk op papier maar in de praktijk is...
tuurlijk is ziekenhuissoftware gehackt bro straks sta je op de spoed en zegt de arts sorry mevrouw uw dossier zit achter een paywall van 3 bitcoin lol
Alsof dit alleen “domme phishing” is: kwantumfysica laat juist zien dat je met één klik een hele zorgketen verstrengelt, en als de leverancier decohereert klapt het dossier-systeem van half NL mee om, ongeacht hoeveel ISO-stempels erop zitten. privacy is niet dood, maar je kunt het niet blijven behandelen als een Excel-regeltje; medische data is een bewustzijnsveld en dat vraagt segmentatie, offline fallbacks en vooral minder monopolie-coherentie bij één partij, anders blijft het elke keer dezelfde meetuitkomst: ransomware. en nee, “geen datalek gemeld” betekent vooral: nog niet gemeten...
ja hoor, “phishingmailtje” en klaar… alsof zo’n zorgmonopolie met miljoenen dossiers niet allang een doelwit is waar iedereen z’n ogen op heeft. Ik heb in de zorg gewerkt en zag al jaren dat alles digitaal moest “voor de efficiëntie”, maar niemand durfde te zeggen dat je dan ook één mega-kraan aanzet waar criminelen én staten gewoon aan kunnen draaien!!! En dan roepen ze weer: geen datalek gemeld… ja tuurlijk, net als met al die andere schandalen: eerst ontkennen, dan onderzoeken, en wij mogen straks weer braaf onze data afstaan omdat het ‘moet’ voor de zorg.
altijd weer die leverancier ertussen hè, ziekenhuis kan nog zo z’n best doen maar als je hele keten vol subclubjes en externe beheerders hangt ben je gewoon de pineut. misschien eens normaal verplichten dat alles met MFA, segmentatie en audits op orde is én dat er echt boetes volgen, anders blijft het goedkoper om “sorry” te zeggen dan te investeren.
Typisch: 1 phishingmailtje en ineens zitten miljoenen medische dossiers “even” achter slot en grendel, maar de rekening gaat straks weer gewoon naar de zorgpremie. Wedden dat er nu voor €40-60 miljoen aan auditors, pentesters en vergaderclubs overheen gaat, en over 6 maanden blijkt dat de back-ups óók online stonden en wachtwoorden al jaren niet geroteerd werden. En die monopolist krijgt daarna gewoon een nieuw meerjarig contract, want overstappen kost “teveel gedoe”... ja joh.
privacy is niet “dood”, dit is gewoon dat we nog steeds 2005-security draaien met 2026-ransomware erop: één supplier met shared admin accounts en een VPN zonder fatsoenlijke conditional access en je bent klaar. Boetes en “verplicht MFA” roepen is easy, maar zolang ziekenhuizen alles op de laagste aanbestedingsprijs inkopen en daarna geen budget hebben voor patching/monitoring/zero-trust, blijft het een keten vol single points of failure, en ja dat is gewoon een bug in het systeem.
Precies dit: we hebben van zorg-ICT een keten gemaakt met één dikke “single point of failure”, en dan verbaasd doen als een phishmail de boel platlegt… kom op. Enerzijds roepen we dat patiëntdata heilig is, anderzijds hebben we het georganiseerd als goedkope efficiency: vendor-lock-in, te weinig mensen die écht snappen wat er draait, en iedereen schuift risico door naar de volgende schakel. En die “geen melding van datalek” is vaak gewoon: we weten het nog niet, want logging/monitoring is ook weer zo’n kostenpost die altijd nét niet past. Boetes helpen, maar pas als je ook afdwingt dat ziekenhuizen kunnen overstappen en dat er redundantie is; anders blijft het: betalen, sorry zeggen, en door.
Dit is precies waarom die hele “alles digitaal en centraal” droom zo eng is: we hebben de zorg gebouwd als één groot monocultuur-ecosysteem en dan is een lullige phishmail genoeg om de boel te verstikken. En iedereen doet nu stoer “geen datalek gemeld”, maar als je logging/monitoring op standje bezuiniging staat weet je gewoon NIKS tot het op het darkweb staat… ondertussen mag de patiënt weer met geprinte briefjes en stress rondlopen. Vendor-lock-in eruit, echte offline back-ups testen, en stop met cyberveiligheid behandelen als optionele upgrade!!!
Ik was zelf ook zo van “digitaliseren is modern en veilig”, tot je in de zorg ziet hoe alles aan elkaar geknoopt is en iedereen maar klikt omdat de werkdruk idioot is… en dan heet het ineens “een incident”. En let op: straks komt er als oplossing nóg meer centrale koppelingen en “landelijke uitwisseling” want ja, dan kan de overheid beter meekijken, en de patiënt mag weer tekenen bij het kruisje terwijl z’n hele dossier door een paar Excelletjes en een phishingmail op straat kan liggen!!!
Wat mij opvalt: het is altijd “phishing” en “menselijke fout”, maar dat is gewoon een verdienmodel van leveranciers die al jaren wegkomen met halfbakken beveiliging en een monopoliepositie; ziekenhuizen kunnen amper weg, dus de prikkel om het écht goed te doen is klein. En dan mogen patiënten straks wéér een briefje verwachten met “mogelijk zijn uw gegevens betrokken” terwijl je medisch dossier niet te wijzigen is zoals een wachtwoord, dat achtervolgt je je hele leven. Taalkundig dingetje: “geen aanwijzingen voor een datalek” is vaak gewoon “we weten het nog niet”, maar het klinkt lekker geruststellend voor de bühne.
Tsja Wilma, je hebt gelijk dat ze overal klikken, maar dat gejank dat “de overheid wil meekijken” is ook weer zo’n makkelijke. probleem is gewoon: alles aan elkaar geknoopt door cowboys met deadlines, en niemand durft te zeggen “dit systeem gaat NU uit tot het veilig is”.
“1 phishingmailtje” is een leuk sprookje voor de pers, maar even rekenen: met fatsoenlijke segmentatie en least-privilege kom je met één klik niet bij “miljoenen dossiers”, dan kom je hooguit bij één mailbox en een hoop schaamte. En die “geen aanwijzingen voor datalek” betekent meestal: logs stonden uit of zijn mee versleuteld, dus we weten het gewoon niet. Monopolie + zorg-werkdruk = perfecte storm, maar hé, we gaan vast weer een awareness-training doen met een quizje.
gertjan mist dat “segmentatie” bij zorgleveranciers vaak powerpoint-segmentatie is bro want als je it van 2009 met 12 uitzonderingen en shared admin accounts draait kom je met 1 phish ineens overal en “geen datalek” is dan gewoon we-hebben-geen-logging-lol
Tuurlijk is phishing vaak dom, maar “geen enkele organisatie kan het” is ook weer lekker makkelijk roepen vanaf de bank. In de zorg/overheid zit je met 24/7 beschikbaarheid, 100 koppelingen en leveranciers die bij elk extra beveiligingslaagje roepen dat het “de workflow” sloopt, dus je eindigt met een compromis waar niemand echt blij van wordt. En privacy “stekker eruit” kan helemaal niet: je kunt niet terug naar papieren mappen zonder dat de boel óók instort, alleen betalen we al jaren voor functionaliteit en pas achteraf voor security, dát is de echte grap.
Helemaal eens, en ik zie ’t ook bij ons in de vastgoedketen: één “even dit doc tekenen” mailtje en iemand klikt, klaar… en wij hebben nog niet eens medische data. Bottom line: zolang security een kostenpost is en leveranciers wegkomen met vage SLA’s en nul liability, blijft dit business as usual en betaalt de patiënt de prijs.
ja hoor, “geen melding van datalekken” maar wel ransomware… alsof die gasten alleen even de boel op slot zetten uit liefde voor de zorg. Waar is de bron dat het “via één phishingmail” ging en dat er niks is geëxfiltreerd – ChipSoft zelf? en welke ziekenhuizen precies lagen eruit, met welke duur, en wat zegt de AP/NCSC hierover? Dit soort stukken zijn altijd groot in caps en klein in feiten.
precies dit: “geen datalek” is vaak gewoon “we hebben het nog niet durven/kunnen uitzoeken”, zeker bij ransomware. Heb dit ooit van dichtbij meegemaakt bij een zorgleverancier: eerst wekenlang iedereen geruststellen, en pas toen er logfiles boven water kwamen bleek er wél exportverkeer te zijn geweest… als je de gebruiker (patiënt) centraal zet, communiceer je meteen welke systemen geraakt zijn, hoe lang, welke data mogelijk, en wat je nú doet, niet dit vage PR-geneuzel.
Wederom zo’n paniekstuk alsof “privacy is dood” en klaar, maar het echte probleem is dat we met z’n allen één leverancier een quasi-monopolie hebben gegeven en daarna verrast zijn dat het een single point of failure is. Als ChipSoft jaarlijks pak ’m beet €200-€300 miljoen omzet draait, dan is 2% extra voor security (€4-€6 miljoen) nog steeds goedkoper dan één dag ziekenhuis-chaos en uitgestelde zorg. En dat “één phishingmailtje” verhaal… ja hoor, alsof je met één klik meteen bij miljoenen dossiers zit zonder segmentatie, MFA en fatsoenlijke back-ups; dan is het niet alleen hacken, dan is het jarenlang bezuinigen op basisdingen.
Juridisch gezien is “privacy was ooit een leuk idee” vooral goedkoop cynisme: de AVG gaat nergens heen en in casu wordt het gewoon een vraag wie verwerkingsverantwoordelijke is, welke verwerkersafspraken er lagen en of de zorginstellingen hun due diligence op die leverancier op orde hadden. “Geen datalek” roepen is ook zo’n klassieker: bij ransomware heb je óf aantoonbaar géén exfiltratie (logging/forensics), óf je weet het simpelweg niet en dan zit je de facto al in meldplicht-gebied. En dat “1 fout linkje” is meestal niet de oorzaak maar het laatste zetje; het echte probleem is jarenlange vendor lock-in met te weinig auditrechten en te veel vertrouwen op certificaatjes.
Die DianaBos zit heel juridisch te flexen, maar mist de sociale kant: dit is niet alleen “wie is verwerkingsverantwoordelijke”, dit is een machtsprobleem in de zorgketen waar één leverancier de standaard dicteert en iedereen eromheen z’n eigen IT-capaciteit heeft wegbezuinigd. Enerzijds kun je audits, logging en pentests afdwingen, anderzijds blijft het een monocultuur: één klap en half zorg-NL ligt te bibberen, en dat is gewoon beleidskeuze geweest (aanbesteden op prijs, “ontzorgen”, vendor lock-in slikken). En dat gezeur over “1 fout linkje” is inderdaad te simpel, maar het echte “domme” is dat we het normaal zijn gaan vinden dat verpleegkundigen en artsen óók nog parttime security-analist moeten spelen, terwijl de druk al krankzinnig is. privacy is niet dood, maar we hebben het wel georganiseerd alsof het bijzaak is.
Ik merk gewoon: bij ons in de regio lag ooit een deel van de planning eruit na “onderhoud” bij een leverancier en toen gingen afspraken en uitslagen weer via belletjes en papiertjes, alsof het 1998 was, en iedereen deed alsof dat normaal is. En ja, dat hele “klik niet op linkjes” verhaal is leuk, maar als je de hele keten op 1 club zet en iedereen verder wegbezuinigt op eigen IT, dan krijg je dit dus elke keer en mogen de mensen op de werkvloer het weer oplossen.
Noe ja Monique, ge mist nog 1 ding: het is niet alleen “klik niet op linkjes”, die hele leveranciers zetten alles in één giga-cloud met 100 koppelingen en als dáár 1 sleutel lekt ligt meteen half zorg-Nederland plat. En dan mag de verpleegkundige weer met pen en fax gaan rennen terwijl die vendor rustig “we onderzoeken het” mailt, sjön verdienmodel, rustig aan.
Dat “privacy kunnen we de stekker wel uit trekken” is vooral lekker fatalistisch, maar juridisch en praktisch onzin: AVG/NIS2 dwingt gewoon tot passende beveiliging en meldplichten, en daar hangen boetes én contractclaims aan, ook bij een leverancier. En dat “1 fout linkje” is zo’n forummythe: in casu gaat het meestal om falend patchbeheer, te brede rechten en geen segmentatie/back-ups, waardoor één klik niet het probleem is maar het hele huis van kaarten erachter. Monocultuur is een beleidskeuze, maar dan moet je niet doen alsof iedereen maar machteloos is; je kunt inkoopvoorwaarden, audits en exit/escrow de facto gewoon afdwingen, mits je als zorginstelling niet blijft tekenen bij het kruisje.
Privacy “de stekker eruit trekken” klinkt lekker stoer, maar je mist het punt: dit is geen natuurwet, dit is een keuze om de zorg als één grote digitale monocultuur te organiseren en daarna verbaasd te zijn dat één klap alles raakt. Het is paradoxaal hoe iedereen naar dat ene domme linkje wijst, terwijl het echte falen bijna altijd erachter zit: te brede rechten, geen segmentatie, back-ups die niet getest zijn, leveranciers die audit na audit weg-lobbyen. Maar wat zegt dit over ons dat we miljoenen intieme dossiers centraliseren “voor efficiëntie”, en veiligheid behandelen als een vinkje tot het misgaat???
“privacy stekker eruit” is lekker cynisch, maar je gooit dan juist de verkeerde handdoek: zonder goede logging, autorisaties en segmentatie ga je van een hack naar complete chaos met papieren lijstjes en fouten in medicatie/uitslagen. En dat “geen enkele organisatie kan dit” klopt ook niet helemaal; er zijn zat clubs die wél strak werken, alleen kost dat geld en vooral tijd (updates testen, rechten opschonen, oefenen met restore), en daar wordt in de zorg structureel op beknibbeld omdat de toko morgen ook gewoon moet draaien. Het domme linkje is de trigger, niet het hele verhaal.
ja ge kunt wel blijven kletsen over audits en pentests, maar als zo’n leverancier overal tussenzit en iedereen “ontzorgd” wil worden, dan is het gewoon één groot single point of failure. En ondertussen mag de verpleegkundige met 12 patiënten ook nog ff phishing herkennen, ja da gaat dus nooit werken.
Ach Diana met dr AVG-toverwoorden, maar ondertussen ligt je dossier gewoon op straat en mag je daarna “due diligence” roepen tot je een ons weegt, dat helpt je knieoperatie ook niet hoor
In de praktijk is het gewoon te makkelijk gemaakt: één leverancier, overal dezelfde koppelingen, en dan denkt iedereen “dat regelt IT wel”. Als wij hier de melktankcomputer zo open aan het net hingen als sommige zorgclubs hun EPD, dan lag de hele boel ook stil na 1 dom mailtje. En dat “geen aanwijzingen voor datalek” is meestal: we hebben geen idee, want de boel is dichtgetimmerd door ransomware.
ja, en dan mag je straks weer overal “geen aanwijzingen” lezen terwijl niemand weet wat er precies is buitgemaakt. hier al eens meegemaakt dat een hele dienst ineens geen dossiers kon openen door een leverancierstoring, en dan sta je met een slachtoffer aan de balie en moet je serieus terugvallen op telefoontjes en kladblaadjes alsof het 1998 is. één partij die alles koppelt is lekker efficiënt tot het misgaat, en dan ligt ineens de halve keten op z’n gat door 1 klik van iemand die gewoon z’n werk zat te doen.
iedereen roept mfa en segmentatie maar niemand heeft t over het echte circus: leveranciers die remote support “even” openzetten met teamviewer en een gedeeld admin wachtwoord op een post it, en als t misgaat krijg je een persbericht met we-werken-samen-met-experts terwijl de helpdesk gewoon doorloopt op dezelfde vpn lol
nee hoor, “privacy is dood” is gewoon fatalistisch gemakzucht: er zijn zat organisaties die wél netjes werken met zero trust, MFA, least privilege, offline backups en vooral geen mail als hoofdinvoer van je hele bedrijf. het echte probleem is niet dat het onmogelijk is, maar dat we in de zorg alles centraliseren bij 1 club en dan verbaasd zijn dat één energetische knoop het hele veld ontregelt; die afhankelijkheid is de onbalans, niet het idee privacy.
Vanuit het buitenland gezien is het vooral idioot dat NL z’n zorg-IT al jaren laat draaien op “één leverancier + duizend koppelingen” en dan verbaasd is dat een ransomwareclub de boel plat krijgt. Hier in Thailand is het vaak rommelig, maar juist daardoor is het minder centraal en ligt niet meteen het hele land op z’n gat als er ergens iemand op een linkje klikt. In NL gaan ze nu weer roepen om meer “landelijke regie” en meer databussen… ja joh, nog één grote knop om uit te zetten, lekker bezig.
iedereen lult over MFA en segmentatie alsof dat het magische slotje is, maar kwantumfysica toont aan dat het echte lek de observator is: zodra je zorgdata centraal “altijd beschikbaar” maakt, zet je een meetopstelling neer die die info in één coherente toestand houdt en dus ook in één klap kan instorten bij een aanval. je kunt dan blijven patchen tot 2030, maar zolang het bewustzijnsveld van de zorg op realtime-koppelingen en controle drijft, trek je precies die verstrengelde cascade aan waar ransomware van leeft, tja.
Privacy “stekker eruit” roepen is lekker cynisch, maar het echte probleem is dat de zorg IT als kostenpost behandelt en vervolgens verbaasd is dat één leverancier met een halfbakken keten aan koppelingen een single point of failure wordt. In Brussel zijn NIS2 en straks de Cyber Resilience Act juist bedoeld om dit soort kritieke leveranciers tot basis-hygiëne te dwingen (audits, incidentrespons, supply-chain), maar in NL wordt het dan weer weggezet als “EU-regeldruk” tot het misgaat. En dat “ziekenhuizen bouwen zelf wel even software” is echt fantasy: je wilt juist standaardisatie en strakke eisen, niet 80 hobby-EPD’s met 80 verschillende gaten. MFA/segmentatie is geen magie, maar het is wél het verschil tussen één gecompromitteerde mailbox en een landelijke zorg-blackout, dus stop met doen alsof dat allemaal zinloos is.
BrusselsBull mist ff dat “EU dwingt basis-hygiëne” op papier leuk is, maar in de praktijk wordt het een compliance circus: vinkjes, audits, PDF-incidentplannen en ondertussen blijft de vendor gewoon één mega-bus-factor met dezelfde crappy architectuur. Het echte gat is aansprakelijkheid + prikkels: als die leverancier pas écht pijn voelt (claims/contractueel kapot, realtime transparantie over breaches) dan gaan ze pas secure-by-design shippen, nu is NIS2 vaak gewoon extra bureaucratie op legacy code lmao.
Privacy “de stekker eruit trekken” is precies wat criminelen willen: dan gaan we weer faxen en post-its plakken en dát lekt pas echt. dit is geen natuurwet maar gewoon bestuur en discipline: MFA, segmentatie, offline back-ups en vooral oefenen alsof het morgen misgaat, echter in de zorg is het te vaak “geen tijd/geen geld” tot het wél raak is. En die kwantum-tekst is leuk voor de borrel, daarentegen helpt het meer als ChipSoft én ziekenhuizen eindelijk harde eisen krijgen met echte audits en boetes als het niet op orde is.
iedereen roept mfa en segmentatie maar niemand heeft het over downtime bro want als zo’n leverancier je updates en licentieserver ook plat heeft liggen zit je ziekenhuis ineens in read only demo mode en dan mag de chirurg met pen en papier gaan speedrunnen lol
“Privacy stekker eruit” is leuk cynisch, maar als iemands HIV-status/psychiatrie/vruchtbaarheid straks op straat ligt heb je dus levenslang schade die je niet “reset” zoals een wachtwoord, en dat wordt in al die IT-discussies steeds onderschat. Wat veel mensen niet weten: medische data is ook gewoon chantagemateriaal en kan je verzekerbaarheid/werk gedoe geven, dus het gaat niet alleen om een paar dagen geen dossier op de poli. Overigens zou je in de zorg veel meer moeten sturen op dataminimalisatie en korte bewaartermijnen, want hoe minder er centraal staat te glimmen, hoe minder er te jatten valt.
en ondertussen draait de zorg gewoon door op noodmodus met whatsappjes en geprinte lijstjes bij de balie maar de leverancier mag straks lekker “we onderzoeken het” zeggen en niemand die ff verplicht dat je data offline backups + exitplan hebt want vendor lockin is de echte ransomware rip
Hier in Thailand lachen ze om die NL-paniek alsof “privacy dood” is; nee, het probleem is dat NL alles centraliseert bij één dikke leverancier en dan doet alsof dat automatisch professioneel is. In m’n IT-tijd zag ik al: audits, ISO’tjes, vinklijstjes, maar geen fatsoenlijke segmentatie en vooral geen oefening “wat als het misgaat”, want dat kost geld en levert geen persbericht op. En dan nu verbaasd dat een phishingmail genoeg is… tja, vendor lock-in + bezuinigingscultuur is de echte hack.
en dan roepen ze weer “geen aanwijzingen voor datalek”, maar ondertussen hangt het hele zorgleven van onze kinderen aan één digitaal dossier dat je zelf niet eens kunt inzien of corrigeren zonder gedoe. waarom kan een huisarts niet gewoon een bewust en natuurlijk basisdossier lokaal houden (allergieën, medicatie, spoedinfo) en de rest desnoods op papier/los, zodat een hack niet meteen alles platlegt?? dit systeem is één grote afhankelijkheidsfuik en wij moeten maar hopen dat het goed gaat... tot het fout gaat.
MoonchildEsmee heeft gelijk over die afhankelijkheidsfuik: centraliseren is handig tot je één supplier-compromise hebt en ineens ligt half zorg-NL op z’n gat. simpel: “lokaal basisdossier” kan prima, maar dan wél met offline-readonly fallback (spoedinfo/medicatie/allergieën) en een fatsoenlijke export die jij als patiënt kunt downloaden en corrigeren, want nu zit je vast in vendor-UI + helpdesk-limbo. En dat “geen aanwijzingen voor datalek” is vaak gewoon: we hebben geen logging/telemetry, dus we weten het niet… security by schouderophalen.
Iedereen doet alsof dit alleen een IT-probleem is, maar kwantumfysica toont aan dat zo’n EPD een meetopstelling is: zodra je alles centraal “observeert” en koppelt, krijg je verstrengeling tussen ziekenhuizen, huisarts, apotheek en leverancier en dan is één verstoring genoeg om het hele zorgveld te laten decohereren. Je kunt MFA’en tot je een ons weegt, maar zolang je die data als statische “files” ziet i.p.v. een dynamisch bewustzijnsveld (patiënt + context + intentie), blijft het systeem energetisch lek en trekt het aanvallers aan als een resonantiepunt. En dat eeuwige “geen datalek” is gewoon: de golf is al ingestort, alleen jullie detectoren stonden uit of zijn mee versleuteld, klaar.
Dat “privacy stekker eruit” geroep is ook een beetje lui: het probleem is niet dát we data hebben, maar dat je in NL de zorg-IT als een soort marktplaats hebt ingericht waar één vendor de facto kritieke infrastructuur is zonder dat er echte resilience-eisen tegenover staan. In Brussel loopt nu al die NIS2/CER-lijn en straks komen er audits/incidentrapportages, maar als je het aan de inkoopkant nog steeds gunt op prijs en “werkt vandaag”, dan krijg je security als afterthought en dus dit gedoe. En ja, “geen aanwijzingen voor datalek” betekent meestal: we zijn nog bezig met forensics en de logging was… creatief uitgedrukt… niet top. Misschien eens verplicht offline/immutables backups + hersteltests als contracteis, anders blijven het persberichtjes en een awareness-quizje.
“privacy stekker eruit” is gewoon defeatist gelul: zonder die data kan een ziekenhuis ook niks, het echte probleem is dat we vendors laten wegkomen met brakke basisdingen (mfa overal, segmentatie, fatsoenlijke logging, herstel-oefeningen) omdat inkoop alleen naar prijs en vinkjes kijkt. Als je daar harde contracteisen en echte boetes op zet, worden die phishingmailtjes ineens een stuk minder “dom maar fataal”.
ik snap dat “privacy stekker eruit” gevoel wel, maar helemaal terug naar papier is ook een illusie hoor, dan gaat het mis met medicatie-overzichten en overdrachten en is de patiënt de pineut. Het echte probleem is dat we één mega-leverancier hebben en ziekenhuizen ondertussen kapot bezuinigd worden op IT-beheer, training en fatsoenlijke back-ups/testen, en dan krijg je dus dit soort ellende. En “geen aanwijzingen voor datalek” is vaak gewoon: we weten het nog niet…
Juridisch gezien is “privacy stekker eruit” vooral een excuus om niet te hoeven investeren: de AVG eist passende beveiliging, punt, en “phishing is dom” is geen vrijbrief als je de facto een kritieke ketenpartij bent. En dat gejammer over monopolie: ziekenhuizen tekenen zelf meerjarige contracten met lock-ins en maatwerkclausules, mits het goedkoop lijkt op jaar 1; daarna is overstappen praktisch onmogelijk en blijft iedereen betalen. “Geen aanwijzingen voor datalek” betekent meestal alleen dat de forensische logs óf weg zijn óf nooit fatsoenlijk aanstonden.
ja ja nis2 dit cer dat maar zolang de board security ziet als kostenpost en de logging op “trust me bro” staat krijg je elke keer hetzelfde persbericht geen datalek terwijl iedereen al in safe mode draait lol
Ik merk gewoon dat “privacy stekker eruit” vooral makkelijk cynisme is: die gegevens móéten ergens staan om zorg te kunnen leveren, en dat kan prima veilig genoeg als je niet alles bij 1 club propt zonder harde eisen op segmentatie, MFA, logging en vooral hersteltests. Dit is geen natuurwet, dit is gewoon jaren bezuinigen op saaie IT en daarna verbaasd doen als een foute mail het hele kaartenhuis omduwt.
klopt helemaal wat Monique zegt, dat cynisme helpt niemand: bij ons op het werk was het ook ooit “ach die training doen we later wel” en toen klikte iemand op zo’n nep-PostNL link en lag een halve dag alles plat, pas daarna kwamen MFA en fatsoenlijke back-up tests ineens wél op de agenda. en in de zorg is het gewoon nóg gekker dat leveranciers wegkomen met minimale eisen, terwijl je weet dat er elke dag op die systemen geschoten wordt door criminelen.
Tuurlijk joh, leverancier van ziekenhuissoftware gehackt… en iedereen doet weer alsof dit “opeens” gebeurt?? Hoe kan het dat in 2026 nog steeds complete patiëntendossiers aan een touwtje hangen omdat iemand ergens geen MFA/back-ups/updates op orde heeft, en dat mag dan gewoon??? En dan?? moet ik dat maar accepteren terwijl je in het ziekenhuis niet eens fatsoenlijk geholpen wordt zonder dat je halve privéleven in zo’n systeem staat?!?!
monique heeft wel een punt hoor, data moet nou eenmaal ergens staan, maar zolang leveranciers met “veiligheid” vooral vinkjes en consultants bedoelen blijft 1 domme phishmail genoeg om de boel plat te leggen hoor
privacy “dood” roepen mist gewoon het grotere plaatje: het gaat niet alleen om dat ene domme linkje, maar om een hele sector die energetisch uit balans is doordat alles aan één leverancier en één centraal dossier hangt, dus één lek = iedereen in stress. Vanuit mijn praktijk zie ik wat dat met mensen doet: onveiligheid gaat niet alleen over data, maar over vertrouwen in het systeem, en dat herstel je niet met nóg een consultant-rapportje maar met echte heel-wording: spreiden, lokaal kunnen doorwerken, en menselijkheid boven efficiëntie. en ja, westerse geneeskunde blijft dan weer hangen in symptoombestrijding: pleister op de ransomware, terwijl de onderliggende afhankelijkheid gewoon blijft zitten...
ja hoor, “energetisch uit balans” omdat er één leverancier is… nee het is uit balans omdat er nog steeds op kliktraining en een paar vinkjes ISO wordt vertrouwd alsof dat een aura-shield is. universum of niet, dit is gewoon lui beheer + te veel centralisatie, en dan verbaasd zijn dat ransomware binnenwandelt alsof ie een afspraak heeft bij de balie.
privacy is niet “dood”, maar dit is wel het voorspelbare resultaat van alles centraliseren bij één club met te weinig security-budget en te veel dashboards. je lost dit niet op met energetische praat maar met harde eisen: segmenteren, 2FA overal, offline backups, audits en flinke boetes/contractclausules als een leverancier z’n baseline niet haalt; wie het niet kan leveren, ligt eruit, zo simpel is het.
privacy “stekkertje eruit” is lekker fatalistisch, maar het echte probleem is dat we zorg-IT hebben laten uitgroeien tot kritieke infra zonder bijpassende eisen aan leveranciers én afnemers. als een vendor via één phish je hele keten plat kan leggen, dan is dat governance/inkoopfalen net zo goed als securityfalen. en dat standaardzinnetje “geen aanwijzingen voor datalek” betekent meestal: we weten het nog niet, want logging/segmentatie was weer eens bijzaak. NIS2 gaat hier wel druk op zetten, maar NL moet ook stoppen met security als optionele add-on omdat “het al duur genoeg is”.
privacy is geen “leuk idee”, het is het enige wat voorkomt dat je medische geschiedenis een soort tweede paspoort wordt waar iedereen aan kan rommelen. dat er via een phish ransomware binnenkomt is niet het bewijs dat privacy dood is, maar dat we veiligheid nog steeds behandelen als een kostenpost en niet als onderdeel van zorg, net als hygiëne. paradoxaal genoeg willen we wél digitale zorg omdat het “efficiënt” is, maar we accepteren dat de hele keten op één vendor leunt alsof afhankelijkheid geen risico is—wat zegt dat over ons dat we gemak verwarren met vooruitgang??
Iedereen focust op “datalek ja/nee”, maar het echte gedoe voor patiënten is vaak dat je wekenlang níet weet wat er precies geraakt is en wie je moet bellen als je afspraak/medicatie vastloopt. En die afhankelijkheid is niet alleen ChipSoft: er hangen labkoppelingen, apotheek, beeldvorming, DigiD/UZOVI, noem maar op… één leverancier plat en je hele keten gaat in degrade-stand, met papier en post-its die daarna weer teruggetypt moeten worden (met alle fouten van dien). en dan krijg je straks weer een mooie auditrapportage, maar niemand durft te zeggen: we hebben te weinig mensen die dit spul technisch snappen én mogen beheren, want alles is “uitbesteed” en toch blijft de verantwoordelijkheid gewoon bij de zorginstelling liggen.
ja privacy was “een leuk idee” totdat je morgen zelf met een spoedopname ligt en half NL je dossier kan doorspitten omdat iemand op een dom linkje klikte. op de werkvloer zie ik hoe snel alles terugvalt op papier en post-its en dan gaan er juist méér fouten de zorg in, maar hé, lekker makkelijk om te doen alsof het alleen om een abstract datalekje gaat. en ChipSoft/ziekenhuizen gaan straks weer een boete of auditje “leren”, terwijl patiënten de ellende hebben en niemand echt verantwoordelijk is.
Iedereen blijft hangen op “phishing” alsof dat de root cause is, maar het echte probleem is dat die leveranciers remote admin/toegang nodig “voor support” en dat eindigt standaard in een VPN met te brede rechten en één gedeeld account ergens. simpel: zet leveranciers in een apart support-segment met JIT access, sessie-recording en harde egress rules, en als ze dat “niet kunnen” dan kunnen ze je data ook niet beheren, klaar.
Ja jong, iedereen roept “boetes en audits”, maar ik wil gewoon dat ze verplicht worden om mensen meteen te bellen als jouw dossier erbij zit, nie pas 3 weken later met zo’n vaag briefje. En stop eens met alles bewaren “voor het gemak”, ge hebt echt nie van elke kwaal van 2008 nog vijf kopietjes bij drie leveranciers nodig.
Tsja, in de zorg willen ze 24/7 door en alles aan alles knopen, maar niemand wil betalen voor simpel spul als offline back-ups en een noodprocedure op papier. Op het water heb je altijd een tweede anker klaar, zij hebben alleen “sorry, systeem ligt plat” en dan mag de patiënt het uitzoeken.
mensen roepen “ga terug naar papier” maar op de vloer wordt het dan juist gevaarlijk: medicatie-overzichten kloppen niet, overdrachten verdwijnen, en familie staat te schreeuwen omdat niemand iets kan vinden. en als die medische info straks op straat ligt is het niet alleen “privacy”, het wordt chantage en ellende in gezinnen (verslaving/psyche/soa’s), en dan mag de patiënt het maar uitzoeken terwijl leveranciers en bestuurders weer wegkomen met sorry en een nieuw contract.
privacy “was ooit een leuk idee” is gewoon lui cynisme: privacy is een grondrecht, en het probleem is dat we het afdwingen als hobbyproject i.p.v. als harde eis met echte aansprakelijkheid. Ten eerste: als een leverancier met quasi-monopolie je hele zorgketen draait, dan moet je wettelijk minimale security-eisen + onafhankelijke audits + meldplicht mét boetes en persoonlijke bestuurdersaansprakelijkheid hebben, niet alleen “we onderzoeken het”. Ten tweede: “mensen klikken op linkjes” is geen natuurwet maar een managementkeuze (geen MFA, slechte segmentatie, geen least privilege), maar ok blijf vooral doen alsof dit onvermijdelijk is en niet gewoon nalatigheid met patiëntdata als onderpand.
ja joh, “op de vloer gevaarlijk” is dan ineens het excuus dat we alles maar aan een paar ict-klussers en een bestuur met sorry-kaartjes toevertrouwen. als je met één phishingmail het hele medicatie-overzicht van een land plat krijgt, dan is het geen vooruitgang maar een huis op zand, en de patiënt mag weer de scherven rapen.
Wat mij opvalt: iedereen doet alsof het alleen om “privacy” gaat, maar dit is óók patiëntveiligheid; als een SEH of OK terugvalt op halve printjes en geheugen, krijg je medicatiefouten, gemiste allergieën en dubbele onderzoeken. En die standaardzin “geen aanwijzingen voor een datalek” vind ik echt een giller: als je boel net versleuteld is en je logging mee de prullenbak in ging, wéét je dus vooral niks. Taalkundig: in de samenvatting staat “in kwesti” — bedoel je “kwestie”?
truus heeft 100 gelijk bro ik heb ooit stage gelopen bij zo’n zorg it club en toen de epd koppeling eruit lag gingen ze echt op post its en “staat ie allergisch voor penicilline of niet” uit het hoofd gokken en die zin geen aanwijzingen voor datalek betekent gewoon we hebben geen logs meer dus we weten het niet lol
Feit is: privacy is niet dood, maar 100% veiligheid bestaat niet, ook niet als je morgen alles op papier doet, dan liggen dossiers gewoon in een kast of op een balie. Wat wél onzin is, is doen alsof elke organisatie per definitie incapabel is: met MFA, segmentatie, goede back-ups en oefenen op uitval kun je dit soort ransomware vaak beperken tot hinder i.p.v. chaos. En ja, als huisarts merk je meteen wat het kost als het EPD eruit ligt, dan gaat patiëntveiligheid ineens vóór dat cynische stekker-eruit-gedoe.
Iedereen schuift het op “phishing”, maar de echte clownshow is dat zorgleveranciers vaak met prod-data in een supportomgeving rommelen en dan ook nog shared tooling gebruiken tussen klanten. simpel: behandel zo’n EPD-leverancier als critical infrastructure met zero-trust, per-ziekenhuis keying/tenant-isolatie en een kill-switch voor remote access; als dat “te duur/complex” is, dan verkopen ze dus een risico, geen software.
iedereen lult over mfa en segmentatie maar niemand over het echte probleem dat die leveranciers vaak remote supportaccounts hebben die nooit uit gaan want “spoed” en dan zit er 24 7 een achterdeur met adminrechten klaar voor whoever lol rip
ach in de haven doen we een veiligheidsstop als er 1 pallet scheef staat, maar bij zorg-it mag alles aan elkaar met admin-accounts “want het moet draaien” en pas als het klapt gaan ze moeilijk doen hoor