Het is toch niet uitgesloten dat gegevens van ziekenhuispatiënten zijn gestolen bij de ransomware-aanval op ChipSoft, het bedrijf dat onder meer achter het elektronisch patiëntendossier van het Albert Schweitzer ziekenhuis zit. Dat meldt de NOS op basis van meerdere bronnen. Eerst leek het er nog op dat ziekenhuisdata waren gespaard.
Nu blijkt toch niet uitgesloten dat de ransomware-aanvallers toegang hebben gekregen tot de gegevens van een deel van de ziekenhuizen. Volgens een betrokkene zijn er geen concrete aanwijzingen dat dat zou zijn gebeurd, maar is het ook niet uitgesloten.
Dat speelt bij ziekenhuizen die een speciale website van ChipSoft gebruiken om patiënten toegang te geven tot hun dossiers, het zogenoemde HIX365-platform. Verkeer van en naar het patiëntendossier loopt dan via servers van ChipSoft. Aanvallers konden dat verkeer eventueel meelezen, is nu de vrees.
Onder meer het Franciscus Gasthuis in Rotterdam, het Albert Schweitzer ziekenhuis in Dordrecht en het Meander Medisch Centrum in Amersfoort gebruiken HIX365, samen met circa twaalf andere ziekenhuizen.
LEES OOK: Patiëntendossiers ziekenhuis offline na hackpoging
De bewuste ziekenhuizen zouden volgens de NOS het advies hebben gekregen om een melding te doen bij de Autoriteit Persoonsgegevens vanwege een mogelijk datalek. Die privacywaakhond bevestigt van meerdere ziekenhuizen een melding te hebben gekregen, maar wil niet toelichten welke dat zijn of hoe veel.
ASz deed melding
Het Albert Schweitzer ziekenhuis bevestigt dat er "uit voorzorg en op eigen initiatief melding is gedaan bij de Autoriteit Persoonsgegevens van een mogelijk datalek". Uit onderzoek blijkt dat het ziekenhuis geen opvallende of verdachte activiteiten heeft gezien in de eigen systemen. Maar, "omdat patiëntverkeer van en naar het dossier echter deels via servers van ChipSoft loopt, kunnen wij op dit moment niet uitsluiten dat aanvallers dit verkeer hebben kunnen inzien."
Andere ziekenhuizen hoeven zo'n melding nu nog niet te doen, hoewel de precieze impact voor die ziekenhuizen nog wordt onderzocht. Eerder bestond de vrees dat de ziekenhuizen via de servers van ChipSoft zouden kunnen worden gehackt, maar daar zijn nog geen aanwijzingen voor.
Waarom inmiddels wordt gevreesd voor de diefstal van ziekenhuisdata, is niet geheel duidelijk. Wel melden bronnen dat eind vorige week de teugels zijn aangetrokken. In eerste instantie haalde ChipSoft de HIX365-patiëntensites niet offline, maar dat gebeurde wel nadat externe beveiligingsexperts werden ingehuurd.
Op hetzelfde moment kregen ziekenhuizen de opdracht om alle accounts die ondersteunend ChipSoft-personeel kon gebruiken om in te loggen bij de ziekenhuizen, te verwijderen of te voorzien van een nieuw wachtwoord. De digitale sleutels waarmee verkeer tussen ChipSoft en de ziekenhuizen wordt beschermd, werden vanaf toen ook allemaal vervangen.
Dat duidt erop dat de externe beveiligingsexperts niet konden uitsluiten dat de aanvallers meer data hebben verkregen dan ChipSoft in eerste instantie dacht. De externe experts, die momenteel "diepgaand forensisch onderzoek" doen, zijn volgens betrokkenen relatief laat ingeschakeld.
ChipSoft wil niet ingaan op vragen van de NOS zolang het onderzoek loopt. Wel ontkent het bedrijf dat de beveiligingsexperts laat zijn ingevlogen. "Ze zijn direct ingeschakeld", laat een woordvoerder weten. Ook Z-Cert, dat de ict-beveiliging in de zorg coördineert, wil niet inhoudelijk reageren.
Offline
De door ChipSoft geleverde patiëntportalen zijn op het moment van schrijven nog steeds offline. Daardoor kunnen patiënten van de getroffen ziekenhuizen hun dossier niet bekijken, bijvoorbeeld na een laboratoriumonderzoek. Ook is inchecken in het ziekenhuis niet mogelijk, waardoor de rijen in het ziekenhuis langer kunnen zijn.
Voor zover bekend heeft dat er nergens toe geleid dat de patiëntenzorg in het geding is geweest, maar op sommige plekken is het duidelijk drukker, meldt een betrokkene. "Het verschilt enorm."
Naast de ziekenhuizen is mogelijk een relatief klein aantal huisartsenpraktijken getroffen dat de software van ChipSoft voor zijn patiëntendossiers gebruikt. Dat was kort na de hack al duidelijk.
