Door het lek waren persoonsgegevens van circa 8500 patiënten beschikbaar. De informatie bedroeg geboortedatum, adresgegevens, de gegevens van de instelling waar iemand is opgenomen, het burgerservicenummer en gegevens voor uitwisseling via het EPD. ‘Dit is een erg kwetsbare groep mensen en daarom moet dit lek zo snel mogelijk dicht’, vertelt een woordvoerder van het hackgenootschap aan Nu.nl.
Ontwikkelomgeving
Toegang tot de gegevens werd verkregen via een ontwikkelomgeving waar operationele gegevens aanwezig zijn. Het verantwoordelijke bedrijf FarMedvisie zegt een aanval op 21 mei te hebben gedetecteerd en daar binnen twee minuten op in actie te zijn gekomen. ‘Naar aanleiding van de door NU.nl aan ons op 31 mei verstrekte informatie, hebben wij tot onze spijt moeten concluderen dat wij toch iets over het hoofd hebben gezien’, erkent directeur Robert van Wijk van FarMedvisie in een verklaring. ‘Als leverancier van een ICT-systeem zijn wij verantwoordelijk voor de beveiliging van ons systeem. Wij zullen ook onze overige klanten over dit voorval informeren. Vanzelfsprekend raakt dit lek ons zeer.’ Het bedrijf heeft inmiddels de ontwikkelserver van het internet ontkoppeld en aanvullende beveiligingsmaatregelen genomen.
GGZ Noord-Holland-Noord
Om welke instellingen het gaat is niet bekendgemaakt. In een reactie laat GGZ NHN uit eigen beweging weten dat het gaat om gegevens uit hun bestand. ‘We doen op ICT-gebied al het mogelijke om te voldoen aan alle veiligheidseisen en is dus zeer onaangenaam verrast door dit lek bij een van onze leveranciers. GGZ NHN maakt sinds enkele jaren gebruik van het elektronisch medicatie voorschrijfsysteem van FarMedvisie. Wij hebben de informatie die gehackt is gekregen van de onderzoeksjournalist. Hieruit kunnen wij opmaken dat het een gedateerd (september 2011) bestand is van GGZ NHN. In dit bestand gaat het specifiek om de volgende persoonsgegevens: naam, naam partner, adres, woonplaats en geboortedatum. Het gaat nadrukkelijk niet om medische gegevens, maar in enkele gevallen worden lichaamsgewicht en lengte vermeld. Ook de Burger servicenummers en receptgegevens zijn niet zichtbaar in dit bestand’, aldus de reactie van de ggz-instelling.
Gegevens veilig gesteld
Onze eerste zorg is natuurlijk dat de gevolgen van deze hack beperkt blijven. FarMedvisie heeft inmiddels het beveiligingslek gedicht. De onderzoeksjournalist heeft ons verzekerd dat het bestand niet verder verspreid zal worden. De inspectie voor de gezondheidszorg is door ons geïnformeerd.
(Zorgvisie/ICT – Mark van Dorresteijn | Twitter | Foto: ANP )
Je krijgt de beveiliging die je zelf eist. Zorg dus voor goede eisen t.a.v. beveiliging in de contracten en controleer die ook! Alleen de eis “moet voldoen aan NEN7510” is niet voldoende.
Hoe is het mogelijk dat iemand zo maar op een server kan komen, want onbeveiligd is onbeveiligd. ‘We hebben toch iets over het hoofd gezien’. Met dat soort clubs hoor je niet meer in zee te gaan als het contract is afgelopen tenzij dat er boetebepalingen van een akelige hoogte worden afgesproken.
hallo zeg, een onbeveiligde server is ‘niet lek’ en wordt op dat punt natuurlijk ook niet gehacked…