Eind vorige week is het Belgische OZ, het Onafhankelijk Ziekenfonds, getroffen door een cyberaanval. Volgens een verklaring van het ziekenfonds zijn bij de hack diverse gevoelige gegevens van klanten buitgemaakt. Echter, de medische dossiers en -verslagen, evenals de wachtwoorden en inloggegevens voor het online patiëntenportaal zijn niet gelekt. Het datalek werd op de dag dat het ontdekt is, 7 september, direct gedicht.
Op dit moment doet OZ nog uitgebreid onderzoek naar de gevolgen van de cyberaanval en het datalek. Zo is nog niet bekend hoe lang het lek, voordat het ontdekt werd, actief is geweest en hoeveel data de hackers in die periode hebben kunnen inzien. Voor het onderzoek is ook de hulp ingeroepen van het Belgische Cyber Emergency Team (CERT) van de federale overheid.
Cyberaanval gemeld en onderzocht
Direct na het ontdekken van het datalek heeft OZ een melding van het voorval gedaan bij de federale gegevensbeschermingsautoriteit. Daarnaast zijn direct de interne controles en procedures met betrekking tot de cyberveiligheid en beveiliging van gegevens aangescherpt.
De lijst van gegevens die tijdens de cyberaanval buitgemaakt zijn, is behoorlijk uitgebreid en zorgwekkend te noemen. Naast contactgegevens wisten de hackers zich ook toegang te verschaffen tot bankrekeningnummers, betaalinformatie, volmachten en informatie over uitkeringen en ziekteperiodes. Een overzicht van alle lekkere gegevens:
- Persoonsgegevens
- Adresgegevens
- Contactgegevens
- Bankrekeningnummers
- Voorkeuren
- Verzekeringen & betaalinformatie
- Familie gegevens / volmachten
- Medische akkoorden
- Terugbetalingen
- Uitkeringen/ziekteperiodes
Oppassen voor phishing
OZ waarschuwt cliënten voor het feit dat de hackers met de buitgemaakte gegevens phishing pogingen kunnen uitvoeren. Ook waarschuwt het ziekenfonds voor de mogelijkheid dat onverlaten met deze gegevens zich voor kunnen doen als een medewerker van OZ. Daarom benadrukt het ziekenfonds haar klanten altijd, maar de komende tijd met extra aandacht, te letten op de volgende punten:
- Kijk goed naar de afzender, het e-mailadres en spelfouten
- OZ vraagt nooit per mail, telefonisch of sms om wachtwoorden te wijzigen of te delen
- OZ vraagt nooit om op een link te klikken of om geld terug te storten
De lijst met gegevens die (gelukkig) niet gestolen zijn bevat onder andere de medische dossiers van cliënten, medische verslagen en logingegevens en wachtwoorden van het patiëntenportaal.
Ook in Nederland zijn cyberaanvallen in de zorgsector geen onbekend fenomeen. Onlangs werd nog bekend dat Gelre Ziekenhuizen wekenlang een doelwit van hackers was.