Search
Close this search box.
Search

Webpagina AMC gehackt door ethische hacker

Afgelopen weekeinde was het weer raak: een webpagina van het Amsterdams Medisch Centrum (AMC) werd gehackt. De hacker in kwestie kreeg toegang tot inschrijfgegevens van mensen die via deze pagina een afspraak hebben gemaakt bij het AMC. Het AMC had geluk: de hacker wilde geen gegevens stelen, maar alleen de kwetsbaarheid van websites aantonen.

Er ligt geregeld privacygevoelige informatie op medisch gebied op straat. 29 procent van alle in 2016 gemelde datalekken is afkomstig van organisaties die actief zijn in de gezondheidszorg. Dat meldde de Autoriteit Persoonsgegevens (AP) eind december 2016. In totaal zijn er 5.500 meldingen binnengekomen van verlies van data zoals persoonsgegevens sinds de Meldplicht Datalekken begin januari 2016 van kracht werd.

Het ging bij het AMC specifiek om het afsprakenformulier van de polikliniek Mondziekten, Kaak- en Aangezichtschirurgie. De hacker heeft aangegeven de gegevens niet te hebben ingezien. Er zijn ook geen andere pagina’s of formulieren kwetsbaar of geraakt, aldus het AMC in een persbericht. Alle patiënten die het formulier hebben gebruikt zijn via email op de hoogte gesteld van het probleem. De betreffende pagina is na de melding direct (offline gehaald. Er is een onderzoek ingesteld naar de oorzaak van het probleem, en het AMC heeft melding gemaakt van dit incident bij de Autoriteit Persoonsgegevens. Een dergelijke melding is in het kader van de Meldplicht Datalekken verplicht.

Ethische hack

De hacker heeft direct contact met het AMC gezocht. Hij is eigenaar van een website over hacken en heeft een bedrijf dat zich specialiseert in de digitale beveiliging. Het was de hacker niet te doen om de gegevens zelf, maar om de kwetsbaarheid van websites aan te tonen (ook wel ethisch hacken genoemd). Hij heeft aangegeven dat hij de gegevens op de inschrijfpagina niet heeft ingezien of gekopieerd, maar dat dit wel mogelijk was geweest. ‘Hoewel de gegevens dus niet door derden zijn ingezien, trekken wij ons dit zeer aan.’

De betreffende pagina is een externe pagina en is als zodanig geen onderdeel van de AMC-website, maar wel direct gelinkt is via deze website.’ Alle externe webpagina’s zijn getest op hun kwetsbaarheid. We hebben geen enkele aanwijzing dat er meer kwetsbare pagina’s zijn.

Bij het inschrijven via het online formulier zijn de volgende persoonlijke gegevens ingevuld: naam en initialen, patiëntnummer, BSN, geboortedatum, contactgegevens, inclusief email-adres en (mobiele) telefoonnummer, verzekeraar en verzekeringsnummer, adresgegevens van huisarts en tandarts, en een omschrijving van de klacht. Het gaat niet om het medisch dossier van patiënten. De hacker heeft daar geen toegang toe gehad.

Websites vaak slecht beveiligd

Trouw meldde begin januari dat ruim een derde van de websites van ziekenhuizen slecht beveiligd is. Bij een kwart van de sites ontbreekt een beveiligde verbinding volledig, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd. Dat brengt het risico met zich mee dat data van patiënten door bijvoorbeeld hackers gestolen kan worden of op andere manier op de spreekwoordelijke straat kan komen te liggen, aldus door Trouw aangehaald onderzoek van Women in Cybersecurity (WICS). Dit Nederlandse netwerk van vrouwen, werkzaam in de ICT-beveiliging, bekeek 97 ziekenhuissites.

Ook bij huisartsenpraktijken die patiënten de mogelijkheid bieden om online zaken te regelen, is de beveiliging van hun website niet altijd op orde. Dat bleek eveneens begin januari uit onderzoek van RTL onder ruim 300 huisartsenpraktijken. Van de onderzochte praktijken bieden er 197 de mogelijkheid van online inschrijven en/of het aanvragen van herhaalrecepten. 29,3 procent van de websites waar dit mogelijk is, maken geen gebruik van een beveiligde https-verbinding bij het versturen van medische gegevens.

Niet alleen websites van ziekenhuizen en huisartsen blijken vaak onvoldoende beveiligd, dat geldt ook voor websites met medische zelftests. Volgens een scan van de Consumentenbond uit januari 2017 wordt ingevulde informatie van gebruikers van de tests vaak onvoldoende beveiligd. Hierdoor kan gevoelige persoonlijke informatie in verkeerde handen komen.

De consumentenorganisatie bekeek acht websites die tests aanbieden over gevoelige onderwerpen, zoals depressieklachten, drankgebruik en stress. De uitkomsten waren voor de bond aanleiding om meer soortgelijke websites te gaan onderzoeken.

Misbruik medische gegevens

Door het ontbreken van een beveiligde verbinding worden privacygevoelige informatie zonder vorm van encryptie over het publieke internet verstuurd. Dat maakt het voor hackers en andere cybercriminelen  relatief eenvoudig om persoonsgegevens in te zien en te misbruiken voor identiteitsfraude. Medische data blijkt vaak interessant te zijn voor hackers, er gaat meer geld in om dan bij bijvoorbeeld financiële gegevens.

admin

ICT&health World Conference 2024

Ervaar de toekomst van de gezondheidszorg tijdens de ICT&health World Conference van 14-16 mei 2024! Claim alvast jouw ticket en dompel je onder in baanbrekende technologieën en innovatieve oplossingen. Ga in gesprek met collega-experts en verken de kracht van wereldwijde samenwerkingen.

Deel dit artikel!

Lees ook
Wervingscampagne
Bijzondere wervingscampagne Reinier de Graaf
Neuromorphic Computing
Elektronische devices gebaseerd op neuromorphic computing
Hersenatlas
Zwaartekracht-subsidie voor hersenatlas en het lot van eiwitten
Aneurysma
Nieuwe betrouwbare methode om aneurysma’s te volgen
leerling-verpleegkundigen
Albert Schweitzer succesvol met behoud leerling-verpleegkundigen
Databeschikbaarheid
Betere zorg dankzij goede databeschikbaarheid
Woonomgeving
Empathische woonomgeving past zich aan bij wensen bewoners
Gegevens delen
Derde pilot proactief gegevens delen
Digitalisering expertisecentrum
Expertisecentrum bundelt kennis digitalisering en welzijn
wiel
Wiel zelf uitvinden hoeft niet, maar ontwikkel er wel op door
Volg jij ons al?