Ruim een week geleden werd een groot datalek ontdekt bij het Radboudumc. Daardoor waren gegevens van medewerkers weliswaar niet op straat komen te liggen, maar wel op het internet. Het datalek werd snel gedicht en het ziekenhuis liet ook direct weten de nodige maatregelen getroffen te hebben om herhaling te voorkomen. Daarnaast is het Radboudumc een onderzoek gestart naar de oorzaak van het datalek. Dat is nu afgerond.
Update (25-08, 09u40)
Uit het onderzoek is gebleken dat de het datalek veroorzaakt is door een oud-medewerker. Die persoon plaatste enkele bestanden van het Radboudumc op GitHub, een platform voor kennisdeling tussen softwareontwikkelaars. De bestanden bevatten met name scripts voor het automatiseren van processen, maar er stond ook vertrouwelijke informatie uit de IT-omgeving van het Radboudumc in. Daaronder waren ook de gelekte persoonsgegevens.
De gelekte bestanden, zo blijkt uit het onderzoek, zijn door derden gedownload. Een van die partijen heeft de informatie over de inrichting van het netwerk van het Radboudumc misbruikt om op servers van een online omgeving van het Radboudumc cryptovaluta te genereren (‘minen’). Het onderzoek van het ziekenhuis wijst ook uit dat er geen ongeoorloofde toegang geweest is tot bedrijfsapplicaties van het Radboudumc, zoals financiële administratie of het elektronisch patiëntendossier.
Naar aanleiding van de bevindingen uit het onderzoek heeft het Radboudumc de technische beveiliging van haar netwerk op meerdere fronten verder aangepast en verbeterd. Ook is aangifte gedaan tegen zowel de veroorzaker van het datalek als de ‘cryptominer’. De zaak is nu in handen van de cyberpolitie Oost-Nederland.
Oorspronkelijk bericht:
Universitair ziekenhuis Radboudumc meldde eind vorige week een datalek, waarbij gegevens van eigen medewerkers en partnerorganisaties betrokken waren. Gegevens van patiënten zijn niet op straat terecht gekomen. Het lek is volgens het ziekenhuis gedicht. Verder zijn er maatregelen genomen om herhaling en verdere schade te voorkomen. Uit onderzoek van het CBS eerder dit jaar bleek dat een datalek in de zorg vrij regelmatig plaatsvindt.
“Digitale veiligheid is een groot goed, zeker in de zorg, en heeft voortdurend onze aandacht”, aldus Mark Janssen, lid Raad van Bestuur bij het Radboudumc in een reactie. “We vinden het enorm vervelend dat we er desondanks niet in geslaagd zijn dit incident te voorkomen. Onze welgemeende excuses aan alle collega’s en partnerorganisaties die overlast ervaren als gevolg van deze situatie.”
Gegevens op internet
Door menselijk handelen binnen de ICT-organisatie kwamen accountgegevens van mensen met een Radboudumc-werkplek op internet terecht. Het gaat om medewerkers van het Radboudumc zelf, maar ook om medewerkers van partnerorganisaties.
De gelekte persoonsgegevens omvatten (inlog)namen, e-mailadressen en telefoonnummers. Er zijn geen patiëntgegevens of andere bijzondere persoonsgegevens openbaar geworden, benadrukt het ziekenhuis. Applicaties van de ICT-omgeving, zoals het elektronisch patiëntendossier, zijn niet in gevaar geweest.
Datalek direct gedicht
Na de ontdekking heeft het Radboudumc het lek onmiddellijk gedicht. Ook zijn er niet nader omschreven maatregelen genomen om herhaling en verdere schade te voorkomen. Het datalek is – zoals verplicht is onder de AVG - gemeld bij de Autoriteit Persoonsgegevens.
Het onderzoek naar de precieze toedracht, impact en getroffen personen loopt nog. Alle getroffen personen ontvangen hier de komende dagen persoonlijk bericht over.
Regelmatig datalek in zorg
Datalekken vinden relatief vaak plaats in de gezondheidszorg. Dat stelde het CBS afgelopen mei in een meerjarig overzicht van onderzoek over het ICT‐gebruik van bedrijven in de Cybersecuritymonitor 2020. Ook in mei presenteerde zorgbeveiliger Z-Cert met VWS een handreiking om de kans op een datalek door een verlopen domeinnaam zo klein mogelijk te maken.
In 2019 meldde 6 procent van de organisaties uit de zorgsector een ‘dataonthullingsincident’ met een interne oorzaak, aldus de CBS-studie. Bij 1 procent van zorgorganisaties werd een onthulling veroorzaakt door een aanval van buitenaf. Met name op het eerste gebied steekt de zorgsector met kop en schouders boven andere sectoren uit. De ICT-sector staat met 4 procent organisaties met datalekken door interne oorzaak op de tweede plek.
Menselijk handelen
In januari 2021 stelde de Autoriteit Persoonsgegevens (AP) de GGD onder ‘verscherpt toezicht’. Aanleiding was een grootschalige diefstal van persoonsgegevens uit twee informatiesystemen van de GGD. Uit onderzoek van RTL Nieuws bleek destijds dat een kwetsbaarheid in beide systemen was misbruikt door twee medewerkers, die persoonsgegevens hebben verkocht. Het downloaden van deze gegevens bleek al sinds april 2020 mogelijk te zijn.
Datalekken worden ook vaak veroorzaakt door niet crimineel menselijk handelen. Zo had vorig jaar maart een medewerker van het Flevoziekenhuis tegen de regels in, patiëntgegevens op een USB-stick gekopieerd. Vervolgens verloor diezelfde medewerker deze USB-stick verloren op een parkeerterrein in de buurt van het ziekenhuis. Daardoor lagen de gekopieerde patiëntgegevens letterlijk even op straat.