iso27diy-corp/Corpus/Sparks/Risico's uit de praktijk.md

Risico's uit de praktijk

A List of Post-Mortems on Github

Search terms: Human Risk Human Error Breaches Incidents

Voorbeelden van incidenten door menselijk handelen

Als Word file, geanonimiseerd

March 2025: Google lets Chromecast SSL certificate expire. https://www.pcworld.com/article/2632196/some-older-chromecasts-are-suddenly-untrusted-cant-cast-anymore.html Door het laten verlopen van een SSL certificaat kunnen gebruikers wereldwijd enkele dagen hun Google Chromecast niet gebruiken (dus geen Netflix of YouTube streamen naar de TV).

Haga-ziekenhuis

sept 2019: Dienstoverdrachten worden gebruikt als boodschappenbriefjes en worden gevonden in winkelkarretje april 2018: 85 medewerkers bekijken ongeoorloofd het dossier van realityster Samantha de Jong ('Barbie')

NL Healthcare / Orthopedium

• Orthopedium: sinds software update kunnen de röntgenscanner en het EPD niet meer met elkaar overweg: het patiëntnummer moet opgezocht worden in het EPD en handmatig worden ingegeven in de software van de röntgenscanner
• Orthopedium: de werkstations in de OK starten heel traag op. De afdelingssecretaresse heeft de inloggegevens van alle artsen in haar agenda, en logt ze ‘s ochtends alvast in. Daarbij rouleren operatieploegen gedurende de dag over de OK’s, zonder opnieuw in te loggen. Hierdoor worden verrichtingen geregistreerd op de verkeerde behandelaar. Dit wordt achteraf handmatig gecorrigeerd aan de hand van de planning van die dag.

Nederlandse Zorg Autoriteit

• NZA: de onbeheerde netwerkmap voor de vakantiefoto’s, waar iedereen met een NZA-account bij kon, werd al snel ontdekt als plek om gemakkelijk grote dossiers en bestanden met elkaar te delen. Meestal werden die daarna niet verwijderd.
• https://www.nrc.nl/nieuws/2014/04/10/iedereen-kon-grasduinen-op-de-v-schijf-1364850-a1395507

Prestige Data Breach

Een goed werkend Proof of Concept wordt zonder de nodige veiligheidswaarborgen in productie genomen, met dramatische gevolgen.

• Prestige Data Breach
• Slechte architectuur: manipulatie van tekstbestanden op een file systeem i.p.v. een robuuste database
• Publieke / te ruime toegang AWS Bucket door slechte configuratie of Free Tier (bijv. Miro)
• Niet toepassen encryptie
• Gegevens langer bewaren dan nodig
• Meer gegevens verwerken dan nodig
• In productie nemen van PoC oplossing

Junis

• Versleuteld mailen werkt niet bij alle ketenpartners – het beleid is om gegevens over kinderen en ouders alleen versleuteld naar de samenwerkingspartners te mailen. Bij sommige ontvangers werkte het ontsleutelen van de mail niet goed, door een afwijkende configuratie van de mailserver. Dan maar onversleuteld verzenden, want het werk moet door. Dit werd wel gemeld bij ICT, maar omdat de zaken in de eigen systemen correct geconfigureerd was, werd het niet als probleem gezien.
• Communicatie met ouders via WhatsApp – want het lukt niet alle ouders om de speciale app te installeren
• Deurcodes pand worden aan ouders gegeven
• Sleutels worden meegegeven aan externe onderhoudsmonteurs
• Werken met beperkt aantal voorkeursleveranciers vergroot de afhankelijkheid
• Ontbrekende of onvolledige verantwoording subsidieaanvraag onder tijdsdruk
• Onvoorziene consequenties van eigen veranderingen en handelen voor andere afdelingen
• Onvoorziene consequenties van veranderingen en handelen andere afdelingen voor ons
• Minder mogelijkheden voor handmatig ingrijpen door toegenomen integratie
• Niet tijdige of incorrecte mutatie in AFAS betekent geen toegang tot de juiste informatie op Intranet voor medewerker cluster
• Verkeerde mdw/locatie in Qebble door onjuiste kostenplaats in AFAS/HR; kwaliteit roostering gaat omlaag
• Makkelijk bestellen zonder verder gedoe – risico op foute invoer, verantwoordelijkheid correcte invoer verschuift naar verderop in het proces
• Kinderopvangtoeslag – Problemen door ontbreken noodzakelijke kennis bij ouders
• Ondersteuning IT zaken te weinig beschikbaar, onduidelijkheid waar je terecht moet (IT of FAB)
• Verzenden cadeaus gastouders door derden vraagt om verstrekking NAW-gegevens
• Indeling gegevens in verschillende bronsystemen matcht niet
• Gevoelige informatie publiceren op verkeerde plek op SharePoint (wegens onduidelijke structuur en ontbreken aan instructies
• Onvoldoende bewustzijn bij mdws over de toegankelijkheid van verschillende sites op Intranet en SharePoint
• Weekberichten worden niet opgeslagen in Groepssites, maar in Clustersites, waar ook gevoelige informatie kan staan zoals ontruimingsplannen
• PM’ers hebben privé telefoons en geen Office365 licentie. Hoe moeten ze Teams Chat gebruiken als WhatsApp niet mag? En communicatie met ouders kan ook niet via Teams.
• Alle medewerkers met privemail-adres in CC personeelsnieuwsbrief
• Gevoelige informatie wordt verstuurd naar privé adressen, bijv. in Weekbericht
• Op een telefoon kun je Teams openen zonder in te loggen – unlock telefoon is genoeg
• Gebruik beelden van kinderen niet mogelijk door niet aanleveren toestemmingsformulieren door PM'ers
• Werken met iPads: invullen formulieren online werkt n iet goed, dan maar mailen naar huisadres en terug.
• Zeer groot dienstverleners-landschap!
• Gevoelige info besprekingen op vergaderbordjes / Onderwerp bespreking uit Outlook kan gevoelige info bevatten
• PM’er maakt WhatsApp groepje aan voor ouders – niet alle ouders zijn er blij mij dat hun tel.nr. nu voor iedereen zichtbaar is
• Secretariaat: Kans op insluipers wegens ontbreken sluitronde door beveiligingsfirma

Parnassia groep

• In EPD kan niet gezocht worden op BSN, daardoor wordt gezocht op andere kenmerken. Gevolg is dat patiënten dubbel worden ingeschreven, en behandelingen/afspraken aan de verkeerde patient gekoppeld worden