Ruim 300 meldingen dataverlies door Nederlandse ziekenhuizen

vr 25 november 2016 - 08:24
Nieuws

Nederlandse ziekenhuizen hebben het afgelopen jaar tot nu toe304 keer melding gemaakt van het verlies van privacygevoelige informatie. Dat blijkt uit cijfers van de Autoriteit Persoonsgegevens (AP) waar Trouw over heeft gepubliceerd. Omgerekend gaat het circa één gerapporteerd cyberincident op het gebied van dataverlies per dag.

Sinds 1 januari 2016 zijn organisaties – dus ook de circa 134 ziekenhuizen die Nederland telt (cijfers: NVZ 2014) - verplicht om de privacytoezichthouder direct op de hoogte te stellen van ernstige datalekken. Dat staat in de Meldplicht Datalekken. Voorbeelden zijn het verlies van grote hoeveelheden gegevens of zeer gevoelige informatie waar ziekenhuizen mee te maken hebben, zoals EPD’s.

Veel meldingen hebben betrekking op dataverlies als gevolg van onbeveiligde verbindingen en menselijke fouten, aldus de AP. Verdere details geeft de toezichthouder niet vanwege de mogelijke traceerbaarheid daarvan naar individuele ziekenhuizen. Het gaat niet alleen om cyberincidenten of hacks, zo kwam een tijd terug in de publiciteit hoe een arts van het Antoni van Leeuwenhoek Ziekenhuis een harde schijf verloor met daarop gegevens van bijna 800 patiënten.

De Nederlandse Vereniging van Ziekenhuizen (NVZ) wil niet zeggen of dat aantal reden is tot zorg. Omdat de meldplicht datalekken pas sinds begin dit jaar bestaat, kan zij het aantal nergens tegen afzetten, aldus een woordvoerder tegenover Trouw. "Wel hebben wij het idee dat er een hoge mate van alertheid is bij ziekenhuizen. De bereidheid om te melden is groot. Dus ook als er twijfel is of een datalek wel onder de meldplicht valt."

In totaal waren sinds 1 januari zo'n 4700 meldingen bij de AP, omdat privégegevens mogelijk in handen van derden waren gevallen. Bijna een kwart van de meldingen kwam uit de zorgsector.

Ziekenhuizen vaker doelwit

Volgens onderzoekers van McAfee Labs/Intel Security verleggen cybercriminelen hun werkveld steeds vaker naar ziekenhuizen omdat deze organisaties vaak nog gebruikmaken van oudere IT-systemen. Ook wordt medische apparatuur gebruikt die slecht of niet beveiligd is. Tegelijk is toegang tot informatie essentieel voor goede patiëntenzorg, zo bleek uit onderzoek afgelopen september.

“Voor criminelen zijn ziekenhuizen aantrekkelijke doelwitten omdat ze vaak een combinatie bieden van een relatief zwakke beveiliging, complexe omgevingen en een dringende noodzaak voor toegang tot data, in situaties waarbij het soms draait om leven of dood”, aldus Wim van Campen uit, VP Noord- en Oost Europa, Intel Security. “De schaal van de gebruikte ransomwarenetwerken en de groeiende focus op ziekenhuizen laten nog maar eens zien dat cybercriminelen beschikken over de schaalgrootte en de motivatie om nieuwe sectoren aan te vallen.”

Organisaties in retail en financiële diensten beschikken over de beste beschermingsmaatregelen tegen dataverlies. Dit is volgens McAfee Labs een gevolg van de frequente cyberaanvallen op organisaties in deze sectoren en de waarde van de data. Omdat de gezondheidszorg tot nu toe niet zo vaak het doelwit was van gerichte cyberaanvallen, is hier minder geïnvesteerd in IT-beveiliging. Daardoor zijn ook maatregelen op het gebied van data loss prevention minder effectief.

De zwakkere verdediging is volgens de onderzoekers van McAfee Labs vooral zorgwekkend omdat cybercriminelen hun focus blijven verschuiven van makkelijk vervangbare creditcardinformatie naar data die langer misbruikt kunnen worden, zoals persoonlijke informatie, patiëntengegevens, intellectueel eigendom en vertrouwelijke bedrijfsinformatie.
 

Slordig met inloggegevens

Trouw schrijft ook over onderzoek van Women in Cybersecurity (WICS), een Nederlands netwerk van vrouwen werkzaam in de computerbeveiliging, naar hoe ziekenhuizen met beveiliging omgaan. Wat hen opvalt is de slordigheid waarmee medewerkers met inloggegevens omgaan – de menselijke factor. Ook verouderde software en apparatuur maken ziekenhuizen kwetsbare doelwitten voor hackers, aldus WICS. Soms zijn de systemen zo verouderd dat updates niet meer mogelijk zijn.

Ethisch hacker Victor Gevers stelt tegenover het dagblad dat geregeld patiëntgegevens worden aangeboden op online zwarte markten. "Wat er precies met de gegevens gebeurt, is lastig vast te stellen. Criminelen gebruiken ze om iemand af te persen. Maar denk ook aan databoeren die het niet zo nauw nemen met privacy en de gegevens verkopen aan bedrijven die profielen maken om klanten zo direct mogelijk te kunnen benaderen."