image_pdfimage_print
02 nov 2020

Gepseudonimiseerde data zijn te kraken, ook die van de CoronaMelder

krakenOp de website www.security.nl verscheen op 2 november 2020 een interessant redactioneel artikel. Daarin maakt men duidelijk dat privacy-ontwerper en technologiecriticus Tijmen Schep een manier bedacht heeft waarmee elke geïnteresseerde met behulp van een programma kan achterhalen of gebruikers van de CoronaMelder-app in zijn of haar omgeving besmet is. Dat gebeurt met behulp van een door Schep geschreven programma op de website www.coronadectective.eu. Dat programma, CoronaDetective, vraagt dan toegang tot bluetooth en scant de directe omgeving op smartphones van mensen die de CoronaMelder geïnstalleerd hebben. Je hoeft niet eens zelf de CoronaMelder geïnstalleerd te hebben. Door die app worden codes(pseudoniemen) uitgezonden die geregistreerd worden door de CoronaDetective. Je kunt ermee zien of een persoon ver weg was of dichtbij, of hij net vertrokken is. Ook of een smartphone naar je toe komt of  zich verwijdert. Je kunt zo identiteiten van mensen koppelen aan die pseudoniemen. Lees verder

02 nov 2020

Opnieuw zeldzaam gesukkel met NHSCOVID-19 app in UK

gesukkelDe NHSCOVID-19 app die de National Health Service(NHS) in het Verenigd Koninkrijk op 24 september 2020 uitrolde trekt weer zeer negatief de aandacht. Op 1 november 2020 maakten twee journalisten van de Sunday Times, Tom Calver en Gabriel Pogrund dat de grenswaarde die ingesteld was om mensen die langer dan 15 minuten binnen korte afstand van een besmet persoon verkeerd stond ingesteld. Dat gold vooral voor smartphones met Android als besturingssysteem. De software rond de Bluetooth-technologie die de directe nabijheid van andere smartphones moet vastleggen legde daardoor vast dat de bezitter van de smartphone te ver weg was van andere toesteldragers om het virus tussen hen uit te kunnen wisselen. Daardoor zijn vele duizenden mensen niet gewaarschuwd terwijl ze wel aan de contactvoorwaarden voldeden. Lees verder

30 okt 2020

Cyberaanvallen van ziekenhuizen door UNC1878 groep met Ryuk-ransomware

CyberaanvallenRansomware-aanvallen met het Ryuk-virus van ziekenhuizen leidt in de Verenigde Staten de laatste 24 uur tot verhitte gemoederen. Op 26 oktober liet het cybersecuritybedrijf Hold Security via haar topman Alex Holden weten dat leden een Oost-Europese, waarschijnlijk Russische, hackersgroep met de codenaam UNC1878 drieste plannen hadden. Het bedrijf onderschepte onderlinge  communicatie over plannen om ransomware bij meer dan 400 ziekenhuizen in de VS te installeren. Daarbij gebruik makend van het Ryuk-virus. Het vehikel is een phishing-email.  Over dit ramsomware-virus publiceerde ik op  6 oktober 2020, toen dit virus een ziekenhuisketen met 250 vestigingen trof. Alex Holden deelde de informatie o.a. met cybersecurity-journalist Brian Krebs op 27 oktober. Die publiceerde er op 28 oktober over.  Inmiddels verscheen een gemeenschappelijk statement van 15 pagina’s afkomstig van de FBI, het Homeland security Department en het U.S. Department of Health and Human Services. Daarin beschrijft men het mechanisme van de aanvallen. Lees verder

29 okt 2020

Problematische inzage gepseudonimiseerde microdata via CBS, ook door Chinese universiteiten

ChineseAlhier publiceerde ik enkele malen(A, B, C ) over de zeer problematische inzage van microdata van het Centraal Bureau van de Statistiek(CBS) door derden. Dat betreft hoofdzakelijk om universitaire instellingen, maar ook om bedrijven en organisaties. Op de lijst van instellingen die gebruik mogen maken van microdata staan echter ook twee universiteiten in Hong Kong. Sinds 1 juli 1997 is Hong Kong een speciale bestuurlijke regio van China en valt dus onder Chinese jurisdictie. Het is de vraag of het gewenst is dat universiteiten die vallen onder een hier ongewenste staatsvorm microdata van het CBS mogen inzien. Buitengewoon problematisch is het dat daarbij om gepseudonimiseerde data gaat. Die dienen door de uitspraak van de artikel 29 werkgroep van Europese privacy-toezichthouders in april 2014 zeker vanaf dat moment toch als (bijzondere) persoonsgegevens beschouwd te worden. Door intelligente koppelingen tussen databestanden kunnen data namelijk toch naar een persoon herleid worden. Lees verder

27 okt 2020

Horror-scenario met afpersing door gehackte psychotherapie-data in Finland

Op de website Securityweek verscheen op 25 oktober 2020 een even opmerkelijk als afschuwelijk bericht. De kop luidt: “Finland Shocked by Therapy Center Hacking, Client Blackmail”. De systemen van een grote private psychotherapie-keten in Finland, Vastaamo, met vestigingen door het hele land blijken meermalen gehackt te zijn. Het bedrijf is bovendien subcontractor binnen het  publieke volksgezondheidssysteem in Finland.  Zorgdata van patiënten zijn buitgemaakt en patiënten worden gechanteerd met die gehorror-scenariogevens. Ze krijgen mededelingen dat de hacker hun gegevens openbaart als ze geen geld betalen. De minister van binnenlandse zaken heeft daarom met spoed het kabinet bijeengeroepen. Vastaamo heeft bekend gemaakt dat de chanterende hacker via het anonieme TOR-netwerk al rond de 300 dossiers heeft geopenbaard. Bedragen van 200 euro bij eerste aanschrijving tot 500 euro bij niet direct reageren eist de hacker. Vastaamo zelf kreeg een oproep om 450.00 euro in bitcoins te betalen. Lees verder

26 okt 2020

Voorganger AP permitteerde door overheid georganiseerd datalek bij CBS

VoorgangerBij het Centraal Bureau van de Statistiek(CBS) is sprake van een serieus door de overheid geïnitieerd datalek. Ik schreef er op 28 januari 2020 over. Het gaat om de microdata-faciliteit waarbij externe partijen inzage hebben in CBS-gegevens. Daarbij kunnen die derden CBS-gegevens onder, op papier, strenge voorwaarden/controles inzien. Zeer vreemd is dan het in de CBS-stukken genoemde verbod om van de Remote Access-faciliteit schermafdrukken te maken, het scherm te fotograferen of de gegevens over te schrijven. Dat betekent de facto dat blijkbaar data op het scherm staan die op enigerlei wijze een datalek vormen. De mogelijkheid om microdata te kunnen gaan gebruiken is in de wet op het CBS(20 november 2003) vastgelegd. Over die wet bracht de RegistratieKamer(RK), de voorganger van de huidige Autoriteit Persoons-gegevens(AP) destijds advies uit. Die zag geen reden om commentaar te leveren op de in de wet voorgestelde regeling(blad 3, punt 5 in deze link). Lees verder

23 okt 2020

Voor 19990 euro en veel Europese subsidie een waardeloze sociale corona-robot

Nazaat robotGisteren viel mijn oog op een Twitter bericht over de robot ARI van het Spaande bedrijf PAL-Robotics. Bij wat doorzoeken op het internet zag ik dat een projectpartner van de robotmaker deze promootte als hulp bij het aanpakken van de corona-pandemie. De robot zou dan als receptionist kunnen werken voor ziekenhuisbezoekers die vragen hebben. Daarnaast zou de robot patiënten in isolatie in de gaten kunnen houden en “hulp” aan die mensen bieden. In 2016 en 2017 berichtte ik al eens op deze website dat een lookalike, robot Pepper, als pseudo-receptionist in een Belgisch ziekenhuis resp. een gemeentehuis ingezet werd. Zowel het als receptionist functioneren als het willen inzetten voor monitoring van de patiënt zijn kansloze initiatieven die er met de nekharen bijgesleept zijn. In feite gaat het om een beperkt mobiele, humanoïde robot met twee armen en een beeldscherm op borsthoogte. Mij intrigeerde de ontwikkelingshistorie van robot ARI. Lees verder

21 okt 2020

(Bijna) verdronken in de zorgdata? Ja dat kan!

verdronkenIn de zorg registreert men veel, heel veel gegevens in elektronische dossiers. Daardoor kan het voorkomen dat men door de bomen het bos niet meer ziet, zelfs al slaat de zorgverlener de data gestructureerd op. De veelheid van informatie ontneemt dan het zicht op wat op een bepaald moment essentieel is. Het is een onderwerp dat ook gebruikersverenigingen van huisarts-informatie-systemen(HIS-sen) bezighoudt. Aan de hand van een persoonlijk ervaring van enkele weken terug wil ik het onderwerp van het(bijna) verdrinken in vastgelegde data met u doornemen. Die ervaring betreft een pre-operatieve screening vanwege, laten we zeggen, groot onderhoud aan schrijver dezes. Daarbij viel op hoe nauwkeurig uitgevraagde en opgestuurde  informatie opnieuw uitgevraagd werd met ontkenning van het al vastgelegd zijn van deze informatie. Door enige vasthoudendheid lukte het mij de betrokken personen uit te leggen dat die informatie al in het systeem moest zitten en vonden ze het. Lees verder

19 okt 2020

Privatisering datadraaischijven zorgelijk door onmogelijkheid democratische controle

privatiseringVan overheidswege is er sprake van grootschalige uitwisseling van data. Het betreft ook zorgdata. Omdat het gaat om het uitwisselen van persoonsgegevens, bij medische data om bijzondere persoonsgegevens, is democratische controle op wat er gebeurt van groot belang. Terwijl de liberalisering van overheidstaken ter discussie staat en het enthousiasme ervoor taant, doet zich bij een aantal privacygevoelige zaken in overheidshanden een aparte ontwikkeling voor. Draaischijven, waarover data-uitwisselingen plaatsvinden, blijken overheden in het kader van neo-liberaal denken in toenemende mate te privatiseren. Zeer problematisch daarbij is dat democratische controle daardoor niet meer mogelijk is. In dit artikel zal ik een drietal voorbeelden daarvan noemen. In de eerste plaats de uitbesteding van fraudeonderzoek in de gemeente Nissewaard aan het private bedrijf Totta Data Lab. In de tweede plaats het ‘Inlichtingenbureau’, gegevensknooppunt voor gemeenten. En in de derde plaats het InformatieKnooppunt Zorgfraude. Lees verder

14 okt 2020

Artsen Brussels universitair ziekenhuis zien rol endogeen CO bij corona-patiënten

COEen multidisciplinair team van artsen uit het Brusselse academische ziekenhuis Saint Luc(Sint Lukas) publiceerde recent een uitermate interessant artikel over de behandeling van corona-patiënte. Dit team behandelt ernstig zieke corona-patiënten op de Intensive Care(IC).  Het artikel gaat over de rol van endogeen geproduceerde koolmonoxide (carbonmonoxide=CO) bij kritisch zieke corona-patiënten. Het artikel verscheen op Researchgate.com. Veiligheidskundige en plaatsgenoot René van Slooten maakte mij attent op de als preprint verschenen publicatie. Het team artsen wil de aandacht vestigen op de rol van het door het zieke lichaam zelf geproduceerde CO. Ze geven aan dat een toename van arteriële CO-Hemoglobine(CO-Hb) niveaus door de tijd een extra marker kan zijn voor de ernst van de COVID-19 infectie. Het problematische is namelijk dat een CO-intoxicatie, ook een endogene, door ziekte veroorzaakte, voor een behoorlijk deel dezelfde verschijnselen heeft als een corona-infectie. Lees verder