Mogelijk toch data van ziekenhuispatiënten gestolen bij Chipsoft-lek

Volgens een van de bronnen van de NOS zijn er geen concrete aanwijzingen dat dit daadwerkelijk is gebeurd, maar kan het ook niet worden uitgesloten. Dit speelt met name bij ziekenhuizen die gebruikmaken van een speciale website van Chipsoft, waarmee patiënten toegang krijgen tot hun dossier. Het verkeer tussen deze website en de patiëntendossiers verloopt via servers van Chipsoft, waardoor aanvallers mogelijk dit verkeer hebben kunnen onderscheppen.

Advies melding te maken bij toezichthouder

Ziekenhuizen zoals het Franciscus Gasthuis in Rotterdam, het Meander Medisch Centrum in Amersfoort en het Albert Schweitzer Ziekenhuis in Dordrecht, samen met ruim tien andere ziekenhuizen, maken gebruik van deze dienst. Deze ziekenhuizen zouden het advies hebben gekregen om een melding te doen bij de Autoriteit Persoonsgegevens vanwege een mogelijk datalek. De Autoriteit Persoonsgegevens bevestigt meldingen van meerdere ziekenhuizen te hebben ontvangen, maar wil niet aangeven om welke ziekenhuizen het gaat of hoeveel dat er zijn.

Andere ziekenhuizen hoeven vooralsnog geen melding te doen, hoewel de exacte impact voor deze instellingen nog wordt onderzocht. Eerder bestond de zorg dat ziekenhuizen via de servers van Chipsoft gehackt zouden kunnen worden, maar hiervoor zijn nog geen aanwijzingen gevonden.

Extra beveiligingsmaatregelen

Het is niet geheel duidelijk waarom nu wordt gevreesd voor de diefstal van ziekenhuisdata. Wel is bekend dat eind vorige week extra beveiligingsmaatregelen zijn genomen. In eerste instantie werden de patiëntenportalen niet offline gehaald, maar dit gebeurde wel nadat externe beveiligingsexperts werden ingeschakeld. Ziekenhuizen kregen tevens de opdracht om alle accounts die ondersteunend Chipsoft-personeel gebruikten om in te loggen bij de ziekenhuizen, te verwijderen of te voorzien van een nieuw wachtwoord. Ook werden de digitale sleutels, die het verkeer tussen Chipsoft en de ziekenhuizen beveiligen, vervangen.

Dit wijst erop dat de externe beveiligingsexperts niet kunnen uitsluiten dat de aanvallers meer data hebben verkregen dan aanvankelijk werd gedacht. De experts voeren momenteel 'diepgaand forensisch onderzoek' uit en zouden volgens de bronnen relatief laat zijn ingeschakeld.

Chipsoft wil niet ingaan op vragen van de NOS zolang het onderzoek loopt. Een woordvoerder ontkent wel dat de beveiligingsexperts laat zijn ingeschakeld: "Ze zijn direct ingeschakeld." Ook Z-Cert, dat de ict-beveiliging in de zorg coördineert, wil niet inhoudelijk reageren.

Patiëntportalen nog steeds offline

De patiëntportalen die door Chipsoft worden geleverd, zijn op dit moment nog steeds offline. Hierdoor kunnen patiënten van de getroffen ziekenhuizen hun dossier niet raadplegen, bijvoorbeeld na een laboratoriumonderzoek. Ook is inchecken in het ziekenhuis niet mogelijk, wat kan leiden tot langere wachttijden. Volgens een betrokkene heeft dit nog niet geleid tot situaties waarin de patiëntenzorg in het geding is geweest, maar op sommige plekken is het duidelijk drukker.

Naast de ziekenhuizen is mogelijk ook een beperkt aantal huisartsenpraktijken getroffen dat de software van Chipsoft gebruikt voor het beheren van patiëntendossiers. Dit was al kort na de hack bekend.