Ondermijnend

Een jaar geleden zijn in ziekenhuizen in Engeland negen keer patiëntendata kwijtgeraakt; het ging om minstens 168.000 patiënten. Na een WOB-procedure die vorige maand werd afgerond, bleek dat er in twee jaar tijd in maar liefst 135 andere gevallen data zijn ontsnapt, kwijtgeraakt, gestolen of verloren; naar schatting waren 10.000 patiënten daar de dupe van.

In Amerika wisten hackers vorige maand binnen te dringen in de computers van een farmacologisch bedrijf dat de medicijnen van 50 miljoen Amerikanen afhandelt; ze stalen het volledige bestand en chanteerden het bedrijf: ‘Betaal ons of we publiceren de gegevens’. De FBI en de CIA, wier werknemers ook in die database zaten, heeft nog geen idee wie de schuldigen zijn.

Een Nederlandse IT-kenner deed in november een mitella om en wandelde allerlei ziekenhuizen binnen. Binnen een paar minuten vond hij steeds een lege werkplek, en gewapend met wat simpele tooltjes wist hij overal in de netwerken binnen te dringen. Hij kon naar believen elektronische patiëntendossiers inzien en kopiëren, en werd niet gesnapt.

In Duitsland is sinds een paar weken een bestand te koop met de volledige gegevens van 21 miljoen creditcardhouders. Duur is het bestand niet: per geldige creditcard vragen de dieven iets meer dan twee kwartjes.

De firma die de infrastructuur van pinautomaten in Nederland beheert, heeft vorige week een noodstop afgekondigd: niemand mag nog software updaten en niets veranderen aan hun lokale infrastructuur. Het skimmen – stiekem uitlezen van passen – heeft dusdanige vormen aangenomen, dat de politie gisteren waarschuwde dat wie pinnen wil, voor de zekerheid eerst ‘een flinke ruk’ moet geven aan het mondstuk van het pinapparaat.

Maar het EPD is veilig en onze privacy gewaarborgd. Alleen bevoegden kunnen erbij. Heus! Minister Klink stuurde gans het volk deswege een jubelende reclamefolder toe.

Elke plaats waar grote hoeveelheden gevoelige data omgaan, is interessant geworden voor criminelen. Waar je vroeger hooguit lokale data kon jatten, levert een veiligheidslek nu tien- of honderdduizenden bestanden op, en je kunt ze bij wijze van spreken op je mobieltje of mp3-speler vervoeren.

Op het EPD kunnen we gerust vertrouwen, zegt dezelfde regering die de landelijke invoering van de OV-chipkaart bepleit, omdat die volgens haar ‘veilig genoeg’ is, ook al is die kaart van alle kanten gehackt en inmiddels op afstand en binnen een paar seconden te kopiëren.

Door het EPD en de OV-chipkaart af te dwingen, ondermijnt de overheid het vertrouwen in onze eigen infrastructuur. En daarmee, uiteindelijk, in zichzelf.

Geluk is besmettelijk

Mark Twain zei ooit: ‘The best way to cheer yourself is to try to cheer someone else up.’ Maar ‘t blijkt ook andersom te werken: we worden er zelf gelukkiger van als mensen in onze omgeving gelukkig zijn. Dat blijkt uit een uitvoerige studie die gisteren in de British Journal of Medicine is verschenen. Geluk verspreidt zich kennelijk als een virus, we worden er allemaal door aangestoken, zelfs als de gelukkige niet heel nabij is. Het leukste nieuws: geluk is besmettelijker dan verdriet. Smile!


The study of more than 4,700 people who were followed over 20 years found that people who are happy or become happy boost the chances that someone they know will be happy. The power of happiness, moreover, can span another degree of separation, elevating the mood of that person’s husband, wife, brother, sister, friend or next-door neighbor. [..] One person’s happiness can affect another’s for as much as a year, the researchers found, and while unhappiness can also spread from person to person, the “infectiousness” of that emotion appears to be far weaker.

Previous studies have documented the common experience that one person’s emotions can influence another’s — laughter can trigger guffaws in others; seeing someone smile can momentarily lift one’s spirits. But the new study is the first to find that happiness can spread across groups for an extended period.

When one person in the network became happy, the chances that a friend, sibling, spouse or next-door neighbor would become happy increased between 8 percent and 34 percent, the researchers found. The effect continued through three degrees of separation, although it dropped progressively from about 15 percent to 10 percent to about 6 percent before disappearing.
The Washingtion Post, 5 december 2008

Brits EPD lek

Ook in Engeland zijn ze bezig met het EPD. Ze zijn daar al een paar stappen verder dan wij – ook met de lekken ervan.


De beheerder van het elektronisch patiëntendossier in Engeland, heeft de afgelopen twee jaar in 135 verschillende gevallen gevoelige informatie verloren. [..] In totaal verloor de NHS de gegevens van zo’n 10.000 patiënten. Die gegevens stonden onder andere op CD’s, laptops, geheugenkaarten en er lagen gegevens in de kofferbak van een auto die gestolen werd. [..]

De NHS moest de informatie over de verloren data naar buiten brengen op grond van de Freedom of Information Act, de wet van openbaarheid van bestuur. De Liberaal Democraten, die de informatie boven water kregen, vinden nu dat de regering moet stoppen met het creëren van een landelijke, digitale database.
– Brits elektronisch patiëntendossier al 135 keer lek, Webwereld

Vaccinatie

[Gepubliceerd in Lover, december 2008.]

Iets bevalt me niet aan de discussie over de HPV-vaccinatie. Het vaccin beschermt tegen de voornaamste varianten van het humaan papillomavirus, dat de veroorzaker is van baarmoederhalskanker. Nederland heeft, net als veel andere Westerse landen, besloten deze vaccinatie in te voeren en wil vanaf september 2009 alle meisjes van 12 jaar inenten. Er wordt nog nagedacht of het doenlijk is een soort van ‘inhaalprogramma’ voor oudere meisjes te starten.

HPV is een veel verbreid en erg besmettelijk virus. Bijna driekwart van alle vrouwen loopt het ooit op, altijd door seksueel contact. Meestal ruimt je lichaam het virus uit zichzelf op, maar als dat niet gebeurt ontstaan ‘onrustige cellen’ (dysplasie) die zich tien tot vijftien jaar later tot baarmoederhalskanker kunnen ontwikkelen. In Nederland overkomt dat per jaar ongeveer 600 vrouwen; per jaar sterven tweehonderd er aan. De ziekte openbaart zich vooral tussen je dertigste en je vijftigste; vandaar dat vrouwen na hun dertigste elke vijf jaar worden opgeroepen voor een uitstrijkje.

Fijn dat er wat aan gedaan wordt, denk je dan: kanker voorkomen is toch mooi, en wie wil zijn dochter zo’n rotziekte niet besparen?

Onomstreden is het besluit niet. De vaccins die voorhanden zijn, voorkomen ongeveer 70% van alle dysplasiën en tumoren aan de cervix, maar de overige 30% worden door andere HPV-varianten veroorzaakt. Er is gerede vrees dat de reguliere uitstrijkjes in het geding zullen komen. Voor die 30% die buiten het vaccin valt, is een uitstrijkje echter het enige opsporingsmiddel.

Meisjes inenten tegen een seksueel overdraagbaar virus stuit voorts op heftig commentaar uit confessionele kringen. Wie net als Sarah Palin de leus abstinence, not education voert, zal extrapolerend vinden: abstinence, not vaccination. Geen seks voor het huwelijk hebben en daarna nooit van je leven meer met een ander kussen en kozen is inderdaad een probaat voorbehoedsmiddel tegen alle SOA’s, maar de praktijk is minder recht dan de leer, en je kunt je dan maar beter op de praktijk richten (en ik vermoed dat Palins dochter dat ook denkt). Dus met die kritiek zit ik niet zo.

Verder komt er nogal wat oppositie uit de hoek van mensen die sowieso niet van vaccinaties houden – een groep die breed is samengesteld en die zowel religieuze als antroposofische leden kent, alsook mensen die vrezen dat vaccinatie het immuunsysteem verstoort en een natuurlijke ontwikkeling verstoort. Tenslotte zijn ook de ziektekostenverzekeraars niet blij: elke injectie met het vaccin kost 125 euro, en in het eerste jaar moet je er drie hebben en daarna elke vijf jaar een herhaling. Vooralsnog willen ze ‘m alleen vergoeden via de aanvullende verzekering.

Mijn eigen aarzeling is drieledig. Ten eerste pushen de makers van de vaccins ze wel heel hard. Ze lijken een geldmachine: met al die herhaalprikken zit je al snel op 1000 euro per vrouw. Oh en ook jongens zouden eigenlijk allemaal moeten worden gevaccineerd, pleiten de fabrikanten nu al publiekelijk. Want wie meer dan vijf seksuele partners heeft gehad, heeft 250% meer kans op keelkanker! Nu komt keelkanker in Nederland weinig voor, zo’n 400 gevallen per jaar, en slechts een klein deel daarvan is HPV-gerelateerd. Heeft het bij een dergelijk lage incidentie werkelijk zin om iedereen tegen keelkanker te vaccineren? Mij dunkt van niet.

Ten tweede zijn de vaccins die nu voorhanden zijn, apert te kort getest: slechts vier jaar. Zeker bij een kankersoort die zich zo langzaam ontwikkelt is dat bizar: baarmoederhalskanker doet er tien tot vijftien jaar over om te rijpen. Niemand heeft nog enig idee wat deze vaccins op lange termijn doen, noch wat het betekent als je zo vroeg en zo lang vaccineert.

Mijn belangrijkste aarzeling is deze: moeten we werkelijk alle vrouwen inenten voor iets dat ze in alle waarschijnlijkheid sowieso niet zouden krijgen? Is ons preventieparadigma al zover voortgeschreden? We gaan nu jaarlijks circa 100.000 meisjes vaccineren in de hoop 450 van hen baarmoederhalskanker te besparen. Maar om dat te doen, geven we alle meisjes een vaccin dat niet fatsoenlijk is getest

9 september / Lover, 1 december 2008

Data breaches #14

Net toegevoegd aan mijn overzicht van Nederlandse data breaches: de Nederlandse Lotto kocht de gegevens van een miljoen abonnees op Veronica Magazine en stuurde die een brief met een speciale actiecode, die de ontvangers op een website konden invoeren. Probleem: op die manier bleken alle gekochte namen en adressen zichtbaar, gesorteerd op postcode. De abonnees waren niet blij.Ze wisten niet eens dat hun gegevens verkocht konden worden. De Lotto heeft het probleem inmiddels verholpen. (Bron: Webwereld, 1 december 2008).

Vitale informatie

Het regent problemen, ineens. Begin november werd bekend dat een verzekeringsmaatschappij beroofd was van een miljoen patiëntgegevens die ze onder haar hoede had. Het heeft er alle schijn van dat de diefstal, zoals overigens meestal het geval is wanneer persoonsgegevens worden gejat en verhandeld, een inside job was. De dieven chanteerden daarna de verzekeraar in kwestie: tenzij ze fiks betaald kregen, dreigden ze, zouden ze alle gegevens publiceren. Inmiddels werkt de FBI aan de zaak maar vooralsnog is niemand opgepakt, en zwerven ergens een miljoen patiëntgegevens rond.

Half november moesten in Londen drie ziekenhuizen hun computernetwerken uitschakelen: de systemen waren besmet geraakt met een computerworm die zichzelf kopieerde en die tevens een achterdeur in het systeem schiep waardoor derden heer en meester werden over de systemen. Dat het om een oud en bekend computervirus ging – het ding was al sinds begin 2005 bekend – bewijst dat de systemen buitengewoon slecht waren beveiligd: elke up-to-date virusscanner had het ding kunnen tegenhouden. De schade viel mee, beweerden de ziekenhuizen in een persbericht: ze hadden immers een back-up van de patiëntgegevens en die konden ze gewoon terugzetten.

Geen woord over de achterdeur die in het systeem had gezeten, geen woord over de mogelijke diefstal van gegevens, geen woord over de vraag sinds wanneer het ding er al rondzwierf. Zeggen dat je kunt overstappen op een back-upsysteem klinkt leuk, maar als je niet weet wanneer je besmet bent geraakt weet je ook niet hoe ver in de tijd je moet teruggaan – nog daargelaten hoe je dan de gegevens die sinds die laatste, ‘gezonde’ back-up zijn ingevoerd, weer in het systeem krijgt.

In oktober publiceerde het TNO haar afsluitende rapport over de twee jaar durende Twentse proef met het waarneemdossier (WND) voor huisartsen. Het was een zootje. De kleinste verandering – nieuwe paslezers, een software-update – maakt dat de hele informatieketen van huisarts naar het landelijk schakelpunt in elkaar stort. Het TNO meldt voorts dat het WND slecht schaalt, dat UZI-passen – waarmee zorgverleners zich moeten identificeren en die toegang tot het landelijk schakelpunt geven – geregeld onbeheerd zijn of standaard in de kaartlezers zitten, etc. De Twentse huisartsen zelf zijn het systeem volledig beu: het werkt vaker niet dan wel, zodat ze – als ze al contact krijgen met het landelijk schakelpunt – er niet op kunnen vertrouwen dat de gegevens die ze vinden inderdaad up to date zijn.

In november publiceerde de Inspectie een rapport over de beveiliging van elektronische patiëntendossiers: het was bar gesteld, concludeerde men. Weinig veiligheidsbesef, wachtwoorden en passen die afdelingsgewijs werden gebruikt en wat dies meer zij. Nu ken ik nogal wat ziekenhuizen die al met varianten op het EPD werken; zo ook het Erasmus MC, een van de weinig ziekenhuizen die beveiliging en training van al haar personeel op dit vlak hoog in het vaandel heeft. Het Erasmus is voorbeeldig. Maar ook daar ontdekte de Inspectie serieuze problemen. Als zelfs het Erasmus al niet goed genoeg presteert, dan houd ik mijn hart vast wat betreft die ruim honderd andere ziekenhuizen. Om nog maar niet te spreken over de huisartsenposten, die geregeld kampen met computervirussen.

De juiste patiënteninformatie hebben, kan levens redden. Omgekeerd kan slecht beveiligde patiënteninformatie, waarmee jan en alleman kan rommelen, levens kosten. Patiënteninformatie accuraat, betrouwbaar en strikt beveiligd beheren is derhalve van vitaal belang voor de gezondheidszorg, en al evenzeer voor het vertrouwen dat wij patiënten in onze artsen en verpleegkundigen stellen.

Elke arts die zich dat niet tot op het bot realiseert, is een Semmelweis-ontkenner après la lettre: iemand die weigert zijn handen te wassen voor een operatie, iemand die de hele dag met dezelfde naald prikt. We moeten datahygiëne werkelijk serieus gaan nemen. En nog eens heel goed nadenken over dat EPD.

18 november 2008 / MC, 28 november 2008

FiFi: lezing HackTic4all

Aanstaande vrijdag vindt FiFi plaats, een congres georganiseerd door XS4all, over vijftien jaar internet. Fifi – Fear it? Fix it! – vindt plaats in de Westergasfabriek.

Samen met Cordula Rooijendijk houd ik de openingslezing van FiFi. Cordula is de schrijfster van het boek Alles moest nog worden uitgevonden; haar boek gaat over de opkomst van computers in Nederland. Cordula vertelt op FiFi over de periode tot grofweg eind jaren negentig van de vorige eeuw. Daarna vertel ik over het ontstaan van het hackersblad Hack-Tic en de oprichting van XS4all. Mijn lezing is het eerste publieke voorproefje van mijn geschiedenisboek dat in 2010 zal verschijnen. (Tweeduizendtien, dat klinkt enorm ver weg, maar over anderhalf jaar moet het boek af zijn.) Een lezing met veel plaatjes en smakelijke anekdotes. (Ik heb ‘m bijna af.)

FiFi wordt buitengewoon vol en leuk. Er zijn drie parallelprogramma’s, veel workshops en debatten. Het volledige programma kunt u hier vinden.

Kaduuk (en geplakt)

Zoals u wellicht heeft gemerkt, was mijn blog de afgelopen dagen enigszins kaduuk: alle reacties kwijt, de tags weg, en nog zo wat meer. De oorzaak: een kapotte database.

Afgelopen nacht is een back-up teruggezet en nu werkt alles weer. Helaas is alles van na 14 november kwijt… Ik zal zometeen mijn eigen stukjes weer terugzetten, maar alle reacties die tussen 14 en 24 november zijn geplaatst, zijn helaas in de grote bittenbak van cyberspace beland.

For the LULz

Internet excelleert in grillige ideeën die zich rap voortplanten. Sommige, zoals LOLcats, blijven lang hangen: een website waar mensen foto’s van katten met bijschriften plaatsen. Het klinkt flauw – en dat is het meestal ook – maar doordat de gebruikers zich een krom kats taaltje hebben aangemeten en veel computergrappen maken, is de site goed voor een miljoen bezoekers per maand en minstens één grijns of giechel per dag. Op de foto: een kat die zich uit alle macht verzet wanneer iemand hem in bad wil stoppen, zijn voorpoten rond de doucheslang geklauwd, die uitroept: No! U go chek! Manual sez ‘self-kleening’ Bijschrift bij een nest van negen Siamese katjes: U left copier running. Kat languit slapend over een toetsenbord: Crashed. Press ctrl-alt-del to restart yr kitteh.

Slash-B – een obscuur platform met veel foute humor – is de bakermat van veel dergelijke internet memes. Ooit werd vanuit Slash-B een inval georganiseerd in het online kinderspel Habbo Hotel. De Slash-B’ers kozen daarbij massaal het karakter dat niemand wilde, een zwart popje, zodat Habbo ineens wemelde van de kroeskapsels en een ware melting pot werd.

Uit diezelfde gelederen komen overigens ook serieuzer acties voort: Slash-B is de bakermat van de maandelijkse demonstraties tegen Scientology die Anonymous sinds begin dit jaar organiseert. Reden waarom veel demonstraten een goedkope afropruik dragen. Anderen die anoniem willen blijven, dragen het masker uit de film V for Vengeance, waarmee ze twee vliegen in één klap slaan: ze zijn anoniem, wat het Scientology lastig maakt ze te traceren, en ze geven aan wat ze willen: rechtvaardige genoegdoening. (Waarna je dat masker ineens op andere rare plaatsen zag opduiken, en feestwinkels overal ter wereld verbaasd op hun hoofd krabden: waarom wou iedereen ineens dat V for Vengeance masker hebben?)

Ook Tom Cruise nadoen was een tijdje populair: allerlei mensen maakten varianten op het filmpje waarin Cruise de loftrompet over de sekte steekt. Sommigen waren angstig goed.

Rickrolling is een andere internetgekte. Je ziet beschrijving van een interessant filmpje op een pagina staan, klikt het aan, en ineens word je ontvoerd naar een video waarin Rick Roll zijn hit Never gonna give you up uit 1987 zingt. Ook serieuzere media raakten in de greep van het virus: Johnny Carson kondigde in juni 2007 een item over Paris Hilton aan, maar het bleek een rickroll. Ook de politieke talkshow The Daily Show werd gerickrolled: een item over Irakese kernwapens bleek ietsjes anders uit te pakken dan verwacht. Anonymous doet geregeld live rickrolls: tijdens hun speeches heffen ze ineens het hitje aan. Rick Roll zelf vindt het fenomeen overigens buitengewoon geestig.

Bij de LULz die nu opgang maakt – ‘lulz’ is de Slash-B verbastering van LOL, de internetafkorting van lauging out loud – moest ik even slikken. Je neemt het fragment uit Der Untergang waarin Hitler zich realiseert dat hij de oorlog heeft verloren en zijn manschappen de huid vol scheld, en zet daar een alternatieve vertaling onder. Zo zien we Hitler woedend worden omdat Windows Vista weer niet wil starten, Hitler die boos wordt omdat-ie uit World of Warcraft is gezet, en – uiteraard – Hitler die gerickrolled wordt. Sommige varianten hebben al bijna een miljoen kijkers op YouTube getrokken.

De draak steken met Hitler is wellicht niet erg netjes. Maar zelf kon ik na drie filmpjes mijn lachen niet meer houden, en spot is altijd een goed wapen geweest. Zonder LULz geen leven.

Correcties en aanvullingen:

  • Kennelijk werd ik mentaal gerickrolled toen ik dit stukje schreef: de zanger van Never gonna give you up heet natuurlijk Rick Astley, niet Rick Roll;
  • V for Vengeance heet uiteraard V for Vendetta;
  • Vriendin T. stuurde me een link naar een Hitlerparodie van Nederlandse bodem. Op afstand de beste van allemaal: Hitler wil bowlen en heeft een Brabants accent.
  • De Thanksgiving Parade in New York werd vandaag live gerickrolled – door niemand minder dan Rick Astley himself.

Paradox

Al jarenlang wordt de groep mensen van wie DNA wordt afgenomen en opgeslagen, geleidelijk uitgebreid. Vroeger namen we alleen DNA af van mensen die wegens ernstige misdrijven waren veroordeeld, tegenwoordig moet iedereen die een veroordeling op zijn naam heeft staan eraan geloven. Geregeld gaan er stemmen op om ook van andere groepen mensen standaard DNA af te nemen: iedereen die ergens van wordt verdacht, alle TBS’ers etc.

Het nut van een DNA-databse is omstreden. Uit een steekproef in 2000 van 1827 ernstige misdrijven – moord, brandstichting, verkrachting en inbraak – werden er ruim duizend vlot opgelost. In 778 gevallen was van meet af aan al duidelijk wie de dader was. Bij slechts 21 van het totaal aantal opgeloste zaken waren forensische sporen zoals DNA, vingerafdrukken en sperma nodig als extra bewijs. Moet je voor zo’n luttel percentage nu werkelijk iedereen die ooit – en soms zelfs ten onrechte – ergens van verdacht is geweest in de databank stoppen? Bovendien, wat is het nut van DNA-banken als iemand de radio uit je auto jat? In zo’n geval zoekt de politie niet eens naar vingerafdrukken, laat staan naar huidschilfers.

Nu overweegt de politie om het DNA van haar eigen medewerkers af te nemen, vooral om zodoende de sporen van agenten op een plaats delict eruit te kunnen filteren. Wat blijkt na een enquête? De politie is mordicus tegen het afstaan van haar eigen DNA, en de politievakbond ACP wil zelfs niet dat agenten op vrijwilige basis hun DNA afstaan. Security.nl wijdde vandaag een stukje aan dat onderzoek:


“De afname van DNA bij politiemensen is slechts bij hoge uitzondering aanvaardbaar en dan alleen indien daartoe een dringende noodzaak is”, aldus voorzitter Gerrit van de Kamp. [.] Volgens het bondsbestuur is, bij de bepaling van dit standpunt, vooral een afweging gemaakt tussen de noodzaak van de maatregel ten behoeve van het politieonderzoek en de bescherming van o.a. de privacy van politiemensen. De politie geeft zelf toe dat forensisch DNA-onderzoek erg ingrijpend op het gebied van de privacy is.

De reacties van agenten op deze pagina spreken boekdelen, hoewel er ook voorstanders zijn: “Ik kan alleen voor een voorstel tot een DNA databank zijn als alle mensen, inwonend in Nederland opgenomen worden in deze databank. Anders ben ik bang dat de gegevens ook voor andere doeleinden worden gebruikt.” of “Ik verlies zeker de pluspunten voor onderzoeken niet uit het oog, maar de nadelen zijn mijns inziens groter: gevoelige info over politiemensen ligt vast, en een waterdichte garantie dat deze niet uitlekt of op onjuiste wijze gebruikt/ bevraagd wordt, kan men zeker niet geven.”

Grappig. Datzelfde standpunt heb ik al jaren. Maar dan niet alleen over het DNA van politie-agenten.