ChipSoft bevestigt nu eindelijk dat gegevens van patiënten na een ransomware-aanval in handen van criminele hackers zijn gekomen. Al langer bestond hierover vrees in de zorgwereld, maar de softwareleverancier gaf dit niet toe.
Na meer dan een week heeft forensisch onderzoek uitgewezen dat ook medische gegevens zijn ontvreemd. Op 7 april constateerde ChipSoft al afwijkingen. Een dag later werden de verbindingen met het Zorgportaal, HiX Mobile (alle apps), HAS Relay en het Zorgplatform uitgezet.
Het grote lek blijkt te zitten in HiX 365, het cloudplatform waarbij het informatiesysteem HiX via de infrastructuur van ChipSoft zelf wordt aangeboden. Het bedrijf is nog steeds vaag over de omvang van de lek. De saas-aanbieder zegt dat medische gegevens ‘van enkele Nederlandse klanten’ zijn gestolen. Maar ChipSoft noemt geen aantallen.
Volgens bronnen van De Volkskrant gaat het om gegevens van huisartsen, revalidatieklinieken en oogziekenhuizen; klanten die gegevensverkeer en beheer (deels) via ChipSoft laten lopen. De krant denkt dat ten minste 66 zorginstellingen slachtoffer zijn geworden, want er zouden 66 meldingen van het datalek bij de Autoriteit Persoonsgegevens zijn gedaan. Het Oogziekenhuis in Rotterdam zegt dat na de cyberaanval op ChipSoft aanvallers zijn backup-omgeving konden binnendringen.
Gebrek aan informatie
ChipSoft zegt nog altijd niet te weten hoeveel patiënten slachtoffer zijn geworden en welke medische gegevens zijn gelekt. De Patiëntenfederatie Nederland beklaagt zich over het gebrek aan informatie over de hack. ‘Patiënten moeten weten waar ze aan toe zijn, zeker waar het gaat om gevoelige medische gegevens’, aldus deze belangenorganisatie.
Volgens de bron van De Volkskrant hadden de criminelen vooral interesse in medische informatie over behandelingen. Duidelijk is dat vooral zorgaanbieders die hun dataverkeer via de systemen van ChipSoft laten lopen, bij de aanval kwetsbaar waren. Volgens ChipSoft zijn zorginstellingen die de software in eigen beheer uitvoeren of door derden laten beheren, niet getroffen.
ChipSoft-topman Hans Mulder zegt er alles aan te doen om de getroffen klanten zo goed mogelijk te ondersteunen. ‘Deze ontvreemding van gegevens kunnen wij niet ongedaan maken,’ zegt hij.
De enige manier om bedrijven de beveiliging van privé gegevens serieus te laten nemen is door gevangenisstraffen op te leggen bij nalatigheid voor iedereen van de top tot en met de manager van de afdeling. En laten we eerlijk zijn: het is al snel nalatigheid als er gevoelige informatie wordt ontvreemd.
Alleen bij overmacht kan men volstaan met een (forse) boete.
Bedrijven moeten uitgaan van het scenario: een buitenstaander zegt tegen een interne medewerker: “Als jij deze USB stick in de computer steekt dan geef ik je 10.000 euro.” Als men zich daartegen kan beveiligen dan zit het goed.
Men heeft het over enkele klanten maar het zijn er tientallen. En elk van die klanten heeft weer tienduizenden patiënten dus we praten over potentieel miljoenen patiëntendossiers!!