Medische informatie van miljoenen patiënten wereldwijd staat al jarenlang op niet of nauwelijks beveiligde servers. Het gaat om allerlei privacygevoelig beeldmateriaal zoals röntgen-, CT- en MRI-cans. iedereen met een webbrowser kon met een paar regels code de beelden bekijken. Dat schrijven de Amerikaanse website Propublica en de Duitse Tagesschau (Bayerischer Rundfunk).
Het gaat volgens Propublica om 16 miljoen datasets van zeker vijf miljoen Amerikanen en miljoenen anderen elders. Hoewel het merendeel van de datasets patiënten betreffen in de VS, Turkije, Brazilië en India, zou het ook om gegevens van patiënten in West-Europese landen zoals Duitsland en Nederland gaan. In totaal zijn patiënten in 50 landen getroffen.
Iedereen kan toegang krijgen
Amerikaanse en Duitse onderzoekers vonden zeker 187 onbeschermde servers in de VS en vijf in Duitsland. Iedereen met een freeware-programmaatje of zelfs een webbrowser kon toegang krijgen. In veel gevallen waren namen, geboortedata en behandelprocessen aan de beelden gekoppeld. Tagesschau schrijft dat er sprake is van bijna realtime toegang, ook nu nog. In enkele gevallen verkregen de onderzoekers van beide media eerder dan de behandelend arts toegang.
"Het is niet eens hacken. Het is door een open deur heen lopen", zo citeert Propublica Jackie Singh, een onderzoeker op het gebied van cyberbeveiliging en CEO van het adviesbureau Spyglass Security. Het probleem zou mede veroorzaakt zijn doordat steeds meer voorheen losstaande systemen gekoppeld zijn aan internet, waardoor de verantwoordelijkheid voor de beveiliging verschoof naar netwerkbeheerders.
Sommige medische zorgverleners zijn begonnen om hun systemen beter te beveiligen nadat Propublica hen de bevindingen had doorgegeven. De Duitse toezichthouder voor databescherming heeft na ingelicht te zijn over de bevindingen collega'-instanties in 46 landen geïnformeerd.
Het is niet bekend of er daadwerkelijk gegevens gekopieerd en misbruikt zijn, maar de potentie voor misbruik zou groot zijn. In sommige gevallen waren zelfs BSN-nummers gekoppeld aan de datasets. Propublica stelt dat hoewel het gaat om een relatief klein aantal medische beelden, het probleem niet op zichzelf staat. De afgelopen jaren bleken veel meer systemen die medische informatie bevatten, onvoldoende beveiligd. Zo was er in 2015 een hack bij de Amerikaanse zorgverzekeraar Anthem waarbij gegevens van 78 miljoen verzekerden gestolen werden.
Beveiliging zorg NL onvoldoende
Uit diverse onderzoeken bleek de afgelopen jaren dat ook bij Nederlandse zorgaanbieders de beveiliging van IT- en informatiesystemen vaak niet op orde is. Zo bleek in 2017 uit een rapport van het Rathenau Instituut dat de overheid, het bedrijfsleven en zorginstellingen onvoldoende beveiligd tegen de gevolgen van cybercriminaliteit. Een jaar eerder kwam Deloitte ook al met een rapport waaruit bleek dat Nederlandse ziekenhuizen hun beveiliging niet op orde hebben.
In Nederland waren er in 2018 zo'n 21.000 gemelde datalekken bij de Autoriteit Persoonsgegevens, waarvan een derde plaatsvond in de sector Zorg & Welzijn. Minister Bruins (Medische Zorg) gaf afgelopen mei aan dat hij mogelijk in het derde kwartaal van dit jaar wil laten onderzoeken welke acties nodig zijn om risico’s op ICT-storingen en/of datalekken in ziekenhuizen te mitigeren. Hij noemt databeveiliging echter in eerste instantie een zaak van zorginstellingen zelf.