Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

Hacker ontdekt slecht beveiligde patiëntgegevens Groene Hart

Gegevens van honderdduizenden patiënten van het Groene Hart Ziekenhuis in Gouda zijn sinds 2010 toegankelijk geweest op een slecht beveiligde server. Een hacker benaderde Nu.nl over de zaak.
Hacker ontdekt slecht beveiligde patiëntgegevens Groene Hart

De gegevens bevatten onder meer röntgenfoto’s, echo’s, hartfilmpjes, medicatielijsten, diagnoses en laboratoriumuitslagen. Het volledige patiëntenbestand met de informatie van ruim 493.000 personen staat ook op de computer, met onder meer adres, geboortedatum, telefoonnummer en burgerservicenummer.

Slechte beveiliging

De gehackte server staat in een datacenter van een provider dat vanaf internet toegankelijk is. De toegang tot die server verloopt via FTP. Hierbij worden gegevens onversleuteld verzonden. De hacker heeft door nog onbekende oorzaak de inloggegevens kunnen bemachtigen en zo toegang gekregen tot de server. Het wachtwoord bleek ‘groen2000’ te zijn.

Patiëntgegevens

Het bestand met patiëntgegevens dat werd ontdekt, stamt uit 2008 en stond sinds 2010 op de server. Het ziekenhuis onderzoekt momenteel of er naast de tipgevende hacker nog andere indringers zijn geweest. Volgens een woordvoerder gaat het ziekenhuis nog niet de patiënten benaderen van wie de gegevens op de server staat. ‘Maar als daar reden voor is, gaan we het zeker doen. We weten overigens wel zeker dat ons Elektronische Patiënten Dossier (epd) op geen enkel moment toegankelijk is geweest. Dit loopt namelijk niet via het publieke internet.’

Reactie raad van bestuur

De raad van bestuur laat op de website weten dat dit nooit had mogen gebeuren. ‘We zijn ontzettend geschrokken van deze melding. Wat ons betreft is deze situatie onacceptabel. De betreffende server is na de melding direct van het netwerk afgehaald.’ Inmiddels heeft het ziekenhuis ervoor gezorgd dat niemand meer van buitenaf in de computersystemen kan. Samen met beveiligingsbedrijf Fox-IT verbetert het ziekenhuis momenteel de beveiliging. Zo worden onder andere de beheerderspaswoorden aangepast.

Verantwoordelijkheid

Een woordvoerder van Steunpunt NEN 7510 voor informatiebeveiliging in de zorg laat weten dat de zorgorganisatie verantwoordelijk blijft voor het lekken van medische data, ‘ook al staan de gegevens op een externe server. Het is daarom belangrijk om goede contractuele afspraken te maken met de externe partij. Hoe dat bij het Groene Hart Ziekenhuis is gedaan, kunnen wij natuurlijk niet zeggen. Om deze problemen zoveel mogelijk te voorkomen is het belangrijk dat zorginstellingen constant de risico’s analyseren en maatregelen treffen om deze risico’s zo goed mogelijk te kunnen beheersen.’ De woordvoerder is niet erg verbaasd dat een hacker het ziekenhuissysteem kan binnendringen. ‘Als een professionele hacker een ziekenhuis binnen wil dringen, zal hem dat bijna altijd wel lukken. We weten bijvoorbeeld ook dat ziekenhuizen hackers inhuren om hun systeem te testen en dan komen ze er altijd wel doorheen. Het is voor ziekenhuizen van belang om het zo moeilijk mogelijk te maken.’
(Zorgvisie/ICT – Mark van Dorresteijn | Twitter | Foto: GHZ )

Eén reactie

  • no-profile-image

    J. Vegter

    "We weten overigens wel zeker dat ons Elektronische Patiënten Dossier (epd) op geen enkel moment toegankelijk is geweest." Wat is die bewering waard als van honderduizenden patiënten de gegevens toegankelijk waren? Staan in dat EPD dan andere dingen dan diezelfde patiëntgegevens? Onbegrijpelijke uitspraak.

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden