Uit onderzoek van het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg bleek onlangs dat de beveiliging van computersystemen in ziekenhuizen zeer slecht is. Een constatering die voor expert Erik Westhovens niet onverwachts kwam. Hij ging de afgelopen tijd zelf op pad en controleerde verschillende Nederlandse ziekenhuizen. Hieronder zijn bevindingen.
Op 1 oktober heb ik de stoute schoenen aangetrokken en ben ik een dagje op zoek gegaan naar informatie. Gewoonweg om te kijken hoe het is gesteld met de beveiliging van gegevens die over ons liggen opgeslagen. Deze keer heb ik gekozen voor het ziekenhuis. Bij dit soort 'illegale' acties probeer ik zo objectief mogelijk te zijn, maar loop ik ook behoorlijke risico's.
Dus eerst goed voorbereiden zonder iemand wakker te maken. Na overleg met mijn advocaat gaf deze meteen aan dat ik een paar dagen extra moest plannen voor kost en inwoning. Dus 2 oktober en 3 oktober vrijgehouden in mijn agenda en op pad.
09:45 Ziekenhuis ergens in de buurt van Amsterdam.
Met behulp van mijn EHBO-kennis eerst mijn linkerarm in het verband gezet, en een mitella omgedaan. Dan lijkt het al heel wat. Auto in de parkeergarage en de poli ingewandeld. Mij netjes bij de informatiebalie gemeld en daarna hup, op zoek naar een werkplek. Binnen vijftien minuten vond ik een werkplek waar niemand zat. USB-stickje erin en wat leuke dingen getest. Vijf minuten later bleek dat ik met gemak administrator-rechten had, en ik kon zomaar browsen door files, servers en bestanden openen. Test geslaagd. Dus op weg naar buiten. Pijnlijk gezicht opzetten natuurlijk en hop naar de garage.
Pluspunt! Ik werd bij binnenkomst netjes gevraagd wat ik kwam doen, maar met een pijnlijk gezicht en even naar mijn arm kijken was er verder geen probleem.
Minpunt! Diverse werkplekken stonden onbeheerd ter beschikking. Het was alleen nog zoeken naar de beste plek om onopgemerkt te blijven.
10:55 In de buurt van Utrecht.
Mitella weer om, de tweede poging. Netjes naar binnen en rechtstreeks naar de poli. De eerste de beste lift naar boven en op zoek naar een werkplek. Hier was het een stuk moeilijker om een werkplek te vinden. Eindelijk een plek gevonden waar ik stilletjes mijn gang kon gaan. Een medewerker werd opgepiept en liep weg. Snel naar de plek en …Oeps, ctrl-alt-del. Dat ging dus niet werken.
Na een half uurtje de poging maar opgegeven.
Pluspunt! Het is me niet gelukt.
Minpunt! Er stonden enkele pc's onbeheerd, maar er waren te veel medewerkers in de buurt.
12:30 Een ziekenhuis in de buurt van Tilburg.
Heel goed geregeld. Ik kon meteen naar binnen en had binnen vier minuten al een werkplek te pakken waarop ik mijn werk kon doen. Dat ging snel. Na vijf minuutjes browsen op het netwerk op zoek naar wat gegevens en weer snel de deur uit. Binnen vijftien minuten zat ik alweer in de auto.
Pluspunt? Geen idee.
Minpunt! Daar ga ik dus nooit meer heen. Geheimen liggen daar in no-time op straat.
Dan maar weer richting huis. Ik had me voorgenomen om er drie te bezoeken, maar het was dermate gemakkelijk dat ik een vierde nog wel aandurfde.
15:15 Een ziekenhuis in Limburg.
Met een van pijn vertrokken gezicht naar binnen. Een vriendelijke dame ving me netjes op en wees me de weg naar de poli. Maar daar wou ik niet zijn. Hop met de lift omhoog en de afdelingen op. Na kwartier ronddwalen vond ik een mooie werkplek. Afgelegen, geen mens te zien. De medewerker van die werkplek verliet de afdeling net, en ik kon snel mijn gang gaan. USB-stickje erin. Hee? Dat is nieuw? Die werd meteen herkend en ik had er een drive-letter bij. Dat was wel heel gemakkelijk. Snel een toolkitje gestart en op zoek naar info. Admin-wachtwoorden opgezocht, en een rdp naar de AD-controller. Even users en computers starten en meteen een SQL-server gevonden.
Eens even kijken. Snel een query gebouwd en deze laten zoeken naar mensen met dezelfde achternaam als ik. En binnen vijf minuten had ik full access tot mijn eigen dossier. Nu nog snel wegwezen.
Stickie eruit en de pc uitgezet om te voorkomen dat de medewerker zou kunnen zien dat er iemand iets had gedaan. Bij het verlaten van de afdeling kwam de medewerker terug en vroeg me hoogstverbaasd wat ik daar deed. Oeps, betrapt. Met mijn pijnlijk gezicht vertelde ik hem dat ik de weg kwijt was en op zoek was naar de poli. Hij keek naar mijn arm en twijfelde even. De spanning schoot er even bij me in, maar de medewerker werd heel vriendelijk. Ik kreeg meteen een paracetamol van hem, en hij wees me de weg naar de poli.
Behoorlijk geschrokken dat ik bijna was betrapt – ik zag me al een nachtje in de cel – stapte ik in mijn auto.
Het is niet zo best gesteld met de gegevensbeveiliging in onze ziekenhuizen. Alle dossiers staan digitaal op een netwerk en het is relatief gemakkelijk om daar toegang toe te krijgen. Deze dag toonde voor mij duidelijk aan dat het makkelijk is om in een ziekenhuis een werkplek te vinden die je kunt gebruiken. Alleen in het ziekenhuis in de omgeving van Utrecht lukte het niet. De enige pc die ik kon vinden was netjes vergrendeld met een screensaver. Buiten dit ziekenhuis om was het overal mogelijk om de usb-stick met tools te gebruiken. Verder was er geen beveiliging tegen een veel gebruikt lek, wat het mogelijk maakt om admin-wachtwoorden in te zien. Het zoeken naar de renamed admin koste me meer tijd dan het ophalen van het wachtwoord.
Men kan zich wel voorstellen wat er gebeurt als iemand dit in het Bronovo-ziekenhuis in Den Haag doet en daar toegang zou hebben tot gegevens over het koninklijk huis. Menig blad in Nederland zou dolgraag echo's of rontgenfoto's willen zien. Je hoeft ze niet eens op een disk of stick te zetten. SMTP stond in alle bezochte ziekenhuizen open, en met een kleine SMTP-mailer kun je vanaf een command line snel gegevens de deur uit krijgen. Dat verkleint de risico's al behoorlijk. Als je al gepakt word, heb je in ieder geval niets bij je.
Er moet nog erg veel gebeuren om ook deze gegevens veiliger te maken. De eerste stap zou een goed securitybeleid zijn. Daar begint alles mee.
Bizar. vraag me wel af hoe jouw dossier in een SQL server terecht komt van een willekeurig ziekenhuis in Limburg. (tenzij het je eigen ziekenhuis is natuurlijk) Ik kan me goed voorstellen dat de gegevens die daar rondslingeren bijzonder interessant zijn voor de farmaceutische maffia. In dat zelfde licht houd ik ook mijn hart vast kijkend naar de EPD ontwikkelingen.
Dat weten we toch al? NEN7510 is niet voor niets in het leven geroepen. Helaas, lage budgetten, te kort aan kennis en de wil van uit het ziekenhuiswezen om er daadwerkelijk iets aan te doen… het EPD is daar ook maar weer een voorbeeld van. Als de overheid over 1 nacht ijs gaat, hoe kan je dan verwachten dat een ziekenhuis het wel doet. Goed huisvaderschap noemen we dat, deze vader doet aan huiselijk geweld, geeft een slecht voorbeeld en dat wordt dan gevolgd.
Joao,
Ja, het was inderdaad een ziekenhuis waar ik een aantal keren heb mogen vertoeven.
Logisch dus dat daar een dossier van mij aanwezig was.
Ben benieuwd wat een aanklacht wegens privacyschending zou doen?
Wat knap zeg! Zomaar achter pc gaan zitten van iemand die met patientenzorg bezig is en misschien wel voor een echte patient weg moest. Wat ga je nu aantonen? Dat je bij een roofoverval zomaar medicijnen mee krijgt en dat die beveiliging ook zo lek als een mandje is? Get a life!
Meneer Westhovens is geen journalist, maar technology director bij een bedrijf in Almere. Dit is een beveiliginsaudit zonder toestemming vooraf. Hoewel de resultaten belangrijk zijn is het op deze manier uitvoeren van zo’n test samen het publiceren van de resultaten ronduit onprofessioneel en onethisch.
Voor mij is dit bedrijf in de toekomst geen serieuze partner meer; ik zal het zelfs toejuichen als de ‘geteste’ ziekenhuizen aagifte zouden doen van computervredebreuk en gegevensdiefstal.
Er heerst bij de reakties een stuitend gebrek aan gevoel voor privacy, deze test was nodig en uiterst zinvol. Ik hoop dat ziekenhuizen eindelijk iets aan die toestanden gaan doen.
Tja, deze manier van doen is niet goed voor het imago van de ICT sector. Een beetje doortastende ICT’er die je op bezoek krijgt kun je dus niet vertrouwen. Het zou zo maar kunnen zijn dat jouw bedrijf volgende week in een column staat. Ik zou die aanpak niet gekozen hebben Erik, en het kan echt anders hoor.
Bij een voormalige werkgever heb ik een aantal jaren geleden rond het onderwerp WBP gratis een audit met gedetailleerde rapportage en advies aangeboden aan verscheidene instellingen. Om even in jouw buurt te blijven: rond Utrecht waren er twee ziekenhuizen die dat aanbod geaccepteerd hebben. Dat ging natuurlijk een stuk verder dan de beschreven steekproef. De rapportages zijn met de instelling besproken en adviezen zijn meegenomen in de beleidsgesprekken.
Het mooie is dat daar op basis van een vertrouwensrelatie veel meer getoetst kon worden, dat er serieuze gesprekken plaats hebben gevonden met elke betrokkene (bredere bewustwording) en dat de instelling niet in paniek hoefde te raken (hetgeen nooit goed is in een zorginstelling) vanwege een publicatie.
Kortom, het kan anders, zelfs met een beter resultaat voor de klant.
In principe heeft van der Feen gelijk.
Probleem is dat het gebrek aan zorgvuldigheid in de omgang met patientengegevens inmiddels 15 tot 20 jaar lang aktueel is (ik heb in die branche gewerkt).
Wanneer de zorginstellingen niet de minste aandacht besteden willen aan deze zorgvuldigheid is een radikale konfrontatie soms nodig om de luitjes uit hun slaap te halen.
Na al die jaren geloof ik er eigenlijk niet in dat het beter wordt, we kunnen wachten op het eerste grote schandaal, pas dan is de motivatie aanwezig om maatregelen te treffen.
Mensen die dit “onderzoek” afdoen als irrelevant of onprofessioneel zouden eens goed moeten nadenken. Dit is de enige manier om aan te tonen, dat van de beveiliging van medische gegevens in ziekenhuizen niets deugd. Echter: technisch is alles mogelijk en kan eea goed worden beveiligd, maar organisatorisch is er “laksheid” en moet “alles kunnen”. Veel mensen denken bij beveiling gewoon niet na over de consequenties (van lankmoedig omgaan met beveiliging) en ervaren het als overdreven regeltjes en moeilijk doen………….. maar het zullen jou medische gegevens maar zijn die op straat liggen.
Kortom: denk goed na en volg de regels van beveiling (gebruik je eigen account en geef je wachtwoord niet weg). Daarnaast moet ICT-beveiliging werkbaar zijn.
Een onorthodoxe aanpak is soms nodig om misstanden aan het licht te brengen. Aan de bedoeling van Westhovens hoeft niet getwijfeld te worden. Van te voren netjes vragen of je een securitycheck mag doen levert 9 van de 10 keer een gekleurd (want men is gewaarschuwd) beeld van de situatie. Of het ethisch verantwoord is dit te doen laat ik in het midden. Overigens toont Westhovens aan dat het belangrijkste lek in systemen het gevolg is van onachtzaamheid van de mensen die er mee werken. Dat is de belangrijkste les.