Minister Sterk houdt slag om de arm na vernietiging data ChipSoft
De gestolen patiëntengegevens die begin april werden buitgemaakt bij een digitale aanval op zorg-IT-leverancier ChipSoft, zijn vernietigd. Dat schrijft minister Mirjam Sterk (Langdurige Zorg, Jeugd en Sport) vandaag in een update aan de Tweede Kamer. Hoewel de publicatie van de gevoelige bestanden hiermee lijkt te zijn voorkomen, waarschuwt de minister dat absolute zekerheid in dit soort cyberzaken nooit te geven is.
De cyberaanval vond plaats op 7 april jl. in de cloudomgeving van ChipSoft, de marktleider op het gebied van elektronische patiëntendossiers (EPD) in Nederland. Daarbij kregen aanvallers toegang tot gegevens van patiënten van diverse zorgaanbieders.
Geen absolute zekerheid over vernietiging
Volgens de bewindsvrouw heeft ChipSoft laten weten dat het de publicatie van de buitgemaakte data heeft weten te verhinderen en dat de bestanden inmiddels zijn vernietigd. De brief meldt niet of er losgeld is betaald om deze vernietiging af te dwingen.
De overheid houdt echter een slag om de arm. "Ik merk op dat nooit met volledige zekerheid vast te stellen is dat de buitgemaakte bestanden ook daadwerkelijk volledig zijn vernietigd", schrijft Sterk, mede namens de minister van VWS en de staatssecretaris van Justitie en Veiligheid.
Om de vinger aan de pols te houden, staan experts van Z-CERT, het cybersecurity-expertisecentrum voor de zorgsector, in nauw contact met ChipSoft. Zij monitoren of de data inderdaad van de radar verdwijnen en communiceren de bevindingen richting het zorgveld.
Systemen eind deze week nagenoeg hersteld
Ondertussen nadert het technische herstel van de systemen de eindfase. De Vereniging Samenwerkende ChipSoft ziekenhuizen, die de getroffen instellingen vertegenwoordigt, verwacht dat in de loop van deze week (week 21) nagenoeg alle functionaliteiten weer naar behoren werken. Ook het digitale verwijssysteem tussen artsen en ziekenhuizen moet dan weer volledig operationeel zijn.
De komende periode zal in het teken staan van nazorg, waarbij het vergroten van het inzicht in de exacte toedracht en de (juridische) afhandeling centraal staan.
Strengere eisen voor opslag medische data in de maak
Onderzoekers en diverse toezichthouders – waaronder naar alle waarschijnlijkheid de Autoriteit Persoonsgegevens – proberen momenteel nog altijd te achterhalen hoe de aanvallers destijds de beveiliging van de cloudomgeving konden omzeilen.
Minister Sterk sluit niet uit dat de overheid naar aanleiding van dit incident de teugels voor IT-leveranciers in de zorg strakker gaat aantrekken: "Op basis van de uitkomsten van deze onderzoeken beoordeel ik of er aanleiding is om aanvullende eisen of kaders te stellen aan de wijze waarop patiëntengegevens dienen te worden opgeslagen."
Mochten die strengere regels er komen, dan zal de Kamer daarover later worden geïnformeerd.
Meer over cybercrime
Over Witold Kepinski
