Uiterst gevoelige medische data op Dark Web. Een les
Uiterst gevoelige medische data op Dark Web. Een les die hier de NZA zich ook ter harte moet nemen bij de voorgenomen HONOS-dataverzameling.
Berichten
Problemen met Apple IOS in COVIDSafe-app Australië ook elders van groot belang
In Australië is de overheid sinds 26 april 2020 in de weer met de app COVIDSafe om de coronacrisis te beteugelen. Het wil echter maar niet vlotten met deze app. Uit berichten in de media blijkt dat het nog steeds geen helderheid bestaat over de verminderde detectiemogelijkheid van contacten met behulp van bluetooth-technologie als de app niet op de voorgrond draait of het scherm van een iPhone vergrendeld is. De door het online magazine The Register bevraagde Digital Transformation Agency(DTA), een overheidsinstantie die over de bluetooth-zaken in de app gaat blijkt daar geen duidelijkheid te verschaffen. Die draait er bij het beantwoorden driftig omheen. Men blijkt er liever voor te kiezen iedereen in het ongewisse te laten over de slechtere werking van de apps op iPhones als die op de achtergrond draait of het scherm vergrendeld is. Daarnaast is een ander probleem aan het licht gekomen met Apple’s IOS. Lees meer
A-EPD My Health Record slaagt niet in adequaat managen cybersecurity-risico’s
In The Guardian van maandag 25 november 2019 stond een interessant artikel over problemen bij het Australische Elektronische PatiëntenDossier(A-EPD), My Health Record. De verantwoordelijke instantie, de Australian Digital Health Agency(ADHA), blijkt fors te kort te schieten op het gebied van cybersecurity en interne controles. Het Australian National Audit Office(ANAO) stelt dat ADHA cybersecurity en privacy-risico’s niet adequaat managede. De auditorganisatie schreef dat ADHA voor het centrale A-EPD systeem op zich passende maatregelen nam om de cyberveiligheid te garanderen. Maar men stelde tegelijk vast dat men naliet voor afdoende bescherming te zorgen tegen cyberaanvallen via sites/apps van derden en via zorgaanbieders-organisaties. Het betekent dat als je de voordeur beveiligt, maar de achterdeur open laat staan er grote cybersecurity-risico’s bestaan voor in het systeem opgeslagen zorgdata. Het A-EPD is al jaren een bron van zorg en discussie in Australië. Ik schreef er al drie keer over. (In 2016, in 2017 , in 2018). Lees meer
Australië wil aantonen kwetsbaarheid gepseudonimiseerde (zorg)data strafbaar stellen
Enkele dagen terug, om precies te zijn op 8 februari, trok een artikel op de website The Register mijn aandacht. Het gaat om een wonderlijk wetsvoorstel dat de senaat nu in Australië behandelt. Het gaat om de Privacy Amendment (Re-identification Offence) Bill 2016. In dit wetsvoorstel wil men het aantonen, dat data in gepseudonimiseerde databases toch makkelijk te herleiden zijn tot individuele personen strafbaar stellen, met een maximum gevangenisstraf van twee jaar. Directe aanleiding voor het wetsontwerp is een wetenschappelijk artikel, geschreven door drie wetenschappers van de universiteit van Melbourne in 2016 dat het betrekkelijk eenvoudig was een gepseudonimiseerd bestand van een zorgverzekeraar(Medicare) gedeeltelijk te ontcijferen. Dat bestand was openbaar en toegankelijk geweest via een overheidswebsite. In plaats van dergelijke publicaties te beschouwen als een soort gratis advies en een extra stimulans om data veiliger op te slaan en te beheren heeft men in een soort reflex de faliekant verkeerde weg gekozen. Pogingen tot de-pseudonimisering wil men strafbaar gaan stellen zonder de (overheids)-instanties die de databases beheren de verplichting op te leggen om de gegevens deugdelijk te pseudo- of te anonimiseren. Een zeer onevenwichtig besluit dus.
Recente reacties