Artikel 10 mei 2021

VWS in actie tegen datalek door verlopen domein

In de zorg ontstaan regelmatig datalekken via verlopen domeinnamen. Om te voorkomen dat privacygevoelige gegevens van patiënten op straat komen, hebben het ministerie van Volksgezondheid Welzijn en Sport (VWS) en stichting Z-Cert (Computer Emergency Response Team voor de zorg) een handreiking opgesteld. Daarin staat wat zorgorganisaties kunnen doen om de kans op een datalek via een verlopen domeinnaam zo klein mogelijk te maken.

De handreiking Verlopen Domeinnamen is ontstaan als reactie op twee grote datalekken bij jeugdzorginstellingen (zie kader). In beide gevallen konden derden gevoelige data zoals patiëntgegevens inzien via een verlopen domeinnaam. Z-Cert adviseert stap voor stap welke maatregelen noodzakelijk zijn voor veilig beheer van domeinnamen. Deze zijn toegespitst op de huidige wet- en regelgeving.

In de handreiking staat dat zorginstellingen bij fusies, naamswijzigingen, faillissementen en de beëindiging van een project of praktijk scherp moeten letten op de registratie van domeinnamen. De domeinnamen worden namelijk na veertig dagen weer vrijgegeven als ze niet tijdig zijn verlengd of opgeheven bij Stichting Internet Domeinregistratie Nederland (SIDN; de organisatie die Nederlandse domeinnamen registreert).

In het stappenplan staat ook de oproep om webdomeinnamen goed in kaart te brengen. Bijvoorbeeld door bij te houden waarvoor ze worden gebruikt (e-mailadressen, adresboeken, geautomatiseerde mail naar het domein). Ook moet in het overzicht staan welke applicaties en systemen informatie uitwisselen met de domeinnaam. Eén van de belangrijkste checks is of er geen mailservers verbonden zijn aan de verlopen domeinnaam. Berichten kunnen anders eenvoudig in handen komen van derden, lees criminelen.

Lees het volledige artikel op computable.nl

Ook interessant