Afgelopen weekeinde was het weer raak: een webpagina van het Amsterdams Medisch Centrum (AMC) werd gehackt. De hacker in kwestie kreeg toegang tot inschrijfgegevens van mensen die via deze pagina een afspraak hebben gemaakt bij het AMC. Het AMC had geluk: de hacker wilde geen gegevens stelen, maar alleen de kwetsbaarheid van websites aantonen.
Er ligt geregeld privacygevoelige informatie op medisch gebied op straat. 29 procent van alle in 2016 gemelde datalekken is afkomstig van organisaties die actief zijn in de gezondheidszorg. Dat meldde de Autoriteit Persoonsgegevens (AP) eind december 2016. In totaal zijn er 5.500 meldingen binnengekomen van verlies van data zoals persoonsgegevens sinds de Meldplicht Datalekken begin januari 2016 van kracht werd.Het ging bij het AMC specifiek om het afsprakenformulier van de polikliniek Mondziekten, Kaak- en Aangezichtschirurgie. De hacker heeft aangegeven de gegevens niet te hebben ingezien. Er zijn ook geen andere pagina's of formulieren kwetsbaar of geraakt, aldus het AMC in een persbericht. Alle patiënten die het formulier hebben gebruikt zijn via email op de hoogte gesteld van het probleem. De betreffende pagina is na de melding direct (offline gehaald. Er is een onderzoek ingesteld naar de oorzaak van het probleem, en het AMC heeft melding gemaakt van dit incident bij de Autoriteit Persoonsgegevens. Een dergelijke melding is in het kader van de Meldplicht Datalekken verplicht.
Ethische hack
De hacker heeft direct contact met het AMC gezocht. Hij is eigenaar van een website over hacken en heeft een bedrijf dat zich specialiseert in de digitale beveiliging. Het was de hacker niet te doen om de gegevens zelf, maar om de kwetsbaarheid van websites aan te tonen (ook wel ethisch hacken genoemd). Hij heeft aangegeven dat hij de gegevens op de inschrijfpagina niet heeft ingezien of gekopieerd, maar dat dit wel mogelijk was geweest. ‘Hoewel de gegevens dus niet door derden zijn ingezien, trekken wij ons dit zeer aan.’De betreffende pagina is een externe pagina en is als zodanig geen onderdeel van de AMC-website, maar wel direct gelinkt is via deze website.’ Alle externe webpagina’s zijn getest op hun kwetsbaarheid. We hebben geen enkele aanwijzing dat er meer kwetsbare pagina's zijn.
Bij het inschrijven via het online formulier zijn de volgende persoonlijke gegevens ingevuld: naam en initialen, patiëntnummer, BSN, geboortedatum, contactgegevens, inclusief email-adres en (mobiele) telefoonnummer, verzekeraar en verzekeringsnummer, adresgegevens van huisarts en tandarts, en een omschrijving van de klacht. Het gaat niet om het medisch dossier van patiënten. De hacker heeft daar geen toegang toe gehad.
Websites vaak slecht beveiligd
Trouw meldde begin januari dat ruim een derde van de websites van ziekenhuizen slecht beveiligd is. Bij een kwart van de sites ontbreekt een beveiligde verbinding volledig, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd. Dat brengt het risico met zich mee dat data van patiënten door bijvoorbeeld hackers gestolen kan worden of op andere manier op de spreekwoordelijke straat kan komen te liggen, aldus door Trouw aangehaald onderzoek van Women in Cybersecurity (WICS). Dit Nederlandse netwerk van vrouwen, werkzaam in de ICT-beveiliging, bekeek 97 ziekenhuissites.Ook bij huisartsenpraktijken die patiënten de mogelijkheid bieden om online zaken te regelen, is de beveiliging van hun website niet altijd op orde. Dat bleek eveneens begin januari uit onderzoek van RTL onder ruim 300 huisartsenpraktijken. Van de onderzochte praktijken bieden er 197 de mogelijkheid van online inschrijven en/of het aanvragen van herhaalrecepten. 29,3 procent van de websites waar dit mogelijk is, maken geen gebruik van een beveiligde https-verbinding bij het versturen van medische gegevens.
Niet alleen websites van ziekenhuizen en huisartsen blijken vaak onvoldoende beveiligd, dat geldt ook voor websites met medische zelftests. Volgens een scan van de Consumentenbond uit januari 2017 wordt ingevulde informatie van gebruikers van de tests vaak onvoldoende beveiligd. Hierdoor kan gevoelige persoonlijke informatie in verkeerde handen komen.
De consumentenorganisatie bekeek acht websites die tests aanbieden over gevoelige onderwerpen, zoals depressieklachten, drankgebruik en stress. De uitkomsten waren voor de bond aanleiding om meer soortgelijke websites te gaan onderzoeken.