Terugblik 2018: 5 opvallende security-incidenten in de zorg

Terugblik 2018: 5 opvallende security-incidenten in de zorg

DearBytesBlogTerugblik 2018: 5 opvallende security-incidenten in de zorg

donderdag 14 februari 2019

Zorgorganisaties beschikken over (zeer) gevoelige informatie van patiënten. Die bijzondere persoonsgegevens mogen niet in verkeerde handen vallen. Helaas is de zorg net als andere sectoren vatbaar voor security-incidenten. Wat kunnen we leren van de incidenten uit 2018?

1. Onterechte inzage patiëntgegevens

Bij een datalek denk je waarschijnlijk al snel aan datadiefstal na een cyberinbraak of een menselijke fout waardoor gegevens van patiënten onterecht zijn verspreid naar onbevoegden. Ook allerlei andere incidenten kunnen echter een datalek zijn.

Een voorbeeld is een incident in het HagaZiekenhuis in Den Haag. 85 medewerkers van het ziekenhuis kregen in april een waarschuwing nadat zij zonder legitieme reden het medisch dossier hadden ingezien van Samantha de Jong, ook wel bekend als Barbie. Het HagaZiekenhuis maakte melding van het incident bij de Autoriteit Persoonsgegevens, die een onderzoek is gestart.

2. Medische apparatuur doelwit

Regelmatig duiken nieuwe computervirussen op, waarvan de meeste zijn gericht op traditionele computersystemen of mobiele apparaten. Ook andere apparatuur zoals medische apparaten kan echter kwetsbaar zijn voor dergelijke kwaadaardige software.

Deze kwetsbaarheid wordt onder meer aangetoond door het Orangeworm-virus dat begin 2018 opdook. Deze malware richt zich specifiek op medische apparaten zoals MRI- en CT-scanners en nestelt zich op de computersystemen die met deze apparatuur zijn verbonden. Ook vond het virus zijn weg naar apparaten waarop patiënten toestemmingsformulieren invullen. Spionage lijkt het belangrijkste doel van de malafide software; er zijn geen aanwijzingen dat het virus (patiënt)gegevens steelt of schade probeert te veroorzaken op getroffen systemen.

3. Werknemers veroorzaken datalek

Medewerkers hebben doorgaans toegang tot allerlei gevoelige informatie om hun werk uit te kunnen voeren. Deze toegang brengt echter risico’s met zich mee. Zo kan een kwaadwillende medewerker allerlei gevoelige informatie stelen en openbaar maken. Een werknemer hoeft echter niet altijd met slechte intenties te handelen om een datalek te veroorzaken.

Zo maakte verzekeringsmaatschappij Achmea in oktober bekend dat de gegevens van circa 10.000 klanten zijn uitgelekt. Onder meer namen, adresgegevens en burgerservicenummers (BSN’s) van getroffen klanten lagen op straat. Het lek ontstond via een medewerker van Achmea. Vermoedelijk heeft iemand ‘uit de omgeving’ van de werknemer de uitgelekte data in handen gekregen en verspreid. Hoe deze derde persoon toegang kon krijgen tot de gegevens is niet bekend.

4. Oud-medewerker beschadigt imago

Niet alleen huidig personeel, maar ook oud-medewerkers kunnen datalekken veroorzaken. Een voorbeeld is een incident met een voormalig KNO-arts van Ziekenhuis Amstelland, die in oktober de fout inging.

De arts voegde ruim honderd (oud-)patiënten ongevraagd toe aan een WhatsApp-groep, waarin hij aangaf bij een nieuwe werkgever aan de slag te zijn die aanzienlijke kortere wachttijden heeft. De arts adviseerde hen daarom een afspraak te maken in dit medisch centrum: het Acibadem International Medical Center. Door de actie zijn de telefoonnummers van betrokken patiënten openbaar gemaakt, waardoor sprake is van een datalek.

5. Security-incident dupeert massapubliek

Een datalek in de zorg kan in potentie een grote omvang hebben. Doordat nagenoeg alle burgers in een land gebruikmaken van zorg, bevatten zorgsystemen vaak gegevens over een groot aantal patiënten. Als zo’n systeem wordt gehackt, kan de schade dan ook omvangrijk zijn.

Een security-incident in Singapore toont dit goed aan. De gegevens van 1,5 miljoen Singaporese zorggebruikers werden door onbekenden buitgemaakt. Onder meer namen, adresgegevens, geslacht, ras en geboortedata van betrokkenen werden buitgemaakt, evenals hun identiteitskaartnummers. Van 160.000 patiënten zijn daarnaast voorgeschreven recepten uitgelekt, waaronder van de Singaporese premier Lee Hsien Loong en een aantal ministers.

De data werden gestolen via een cyberinbraak op computersystemen van SingHealth, de grootste zorggroep in Singapore. David Koh, chief executive van het Cyber Security Agency in Singapore, spreekt over een doelgerichte en goed geplande cyberaanval.