Hallo mede Zenya-gebruikers,
Wij gebruiken inmiddels al enkele jaren de meldformulieren in Zenya en nu werd ik vanochtend door een collega er op geattendeerd dat we een datalek hebben door Zenya. Na wat meekijken kwam ik zelf op de conclusie dat een datalek wel heel stellig is, maar er is (voor ons) zeker sprake van een kwetsbaarheid in onze beveiliging.
Het zit zo:
In zenya maken wij gebruik van de standaard systeemsjablonen. Deze zijn verder niet aangepast. Veel van deze systeemsjablonen bevatten de samenvatting van de melding (naam melder + omschrijving). Nu komt het voor dat patiënten via onze website meldingen doen. Deze meldingen worden door een coördinator in behandeling genomen waarna de coördinator acties uitzet naar medewerkers binnen de organisatie. Zenya stuurt dan de e-mails met de standaard sjabonen met de samenvatting van de melding er in.
Dit kan bijvoorbeeld een klacht zijn, waarbij dan de naam van de patiënt wordt getoond + een klacht met daarbij mogelijk het ziektebeeld van de patiënt. Uiteindelijk patiëntinformatie dat eindigt in de mailbox van de medewerkers, dus buiten Zenya.
Nu gebruiken wij vertrouwelijke velden en dat maakt dus dat actienemers niet gelijk de naam zien, maar wanneer de actie afgehandeld is staat de naam er vervolgens wel weer bij. Daarnaast eindigen meldingen van patiënten meestal met: Met vriendelijke groet, Naam patiënt, waardoor het alsnog in de samenvatting staat.
Hoe kijken jullie mede Zenya-gebruikers hier tegenaan en hoe gaan jullie er mee om? Zelf ben ik van plan morgen de systeemsjablonen bij langs te gaan en het veld case summary te vervangen naar de link van de melding.
Vriendelijke groet,
Freddy Hindriks