Ziekenhuizen lekken bijna dagelijks patiëntgegevens

Ziekenhuizen lekken bijna dagelijks patiëntgegevens

24-11-2016 09:50 Laatste update: 27-04-2018 01:26

Nederlandse ziekenhuizen melden bijna elke dag een lek van gevoelige informatie over patiënten bij de Autoriteit Persoonsgegevens.

Dat bevestigt de Autoriteit Persoonsgegevens​ (AP) na berichtgeving door Trouw. In totaal zijn er sinds 1 januari 4700 lekken bij de privacyautoriteit gemeld. Dat is sinds dit jaar voor bedrijven en organisaties verplicht: wie een incident niet binnen 72 uur bij de AP meldt, kan een boete krijgen van maximaal 820.000 euro. De autoriteit wil niet specifiek ingaan op de ziekenhuizen, maar meldt dat 'onvoldoende menselijke kennis' voor het gros van de datalekken zorgt. "Dan kun je denken aan onversleutelde usb-sticks en smartphones die kwijtraken", zegt een woordvoerder van de toezichthouder. 

Het Amsterdamse Antoni van Leeuwenhoek Ziekenhuis kwam eerder in het nieuws wegens een datalek: het ziekenhuis verloor in maart dit jaar een harde schijf met onversleutelde gegevens van bijna 800 kankerpatiënten. Naast het kwijtraken van onversleutelde apparaten behoren ook hacks, slecht geconfigureerde dataservers of een e-mail met gevoelige data die naar een verkeerd adres wordt gestuurd tot datalekken.

Criminelen kunnen data misbruiken

Christiaan Beek, die bij Intel Security onderzoek doet naar cybercrime, bracht in oktober een rapport uit over gestolen ziekenhuisdata en wat criminelen ermee kunnen.  Met de gegevens wordt vooral identiteitsfraude gepleegd, zo stelt Beek: "Ziekenhuizen weten je adresgegevens, burgerservicenummer en polisinformatie. Met die gegevens kun je je als iemand anders voordoen." Ook worden de gegevens misbruikt om mensen af te persen, bijvoorbeeld SOA-patiënten. "De infrastructuur van ziekenhuizen is open", stelt Beek. "Patiëntgegevens moeten snel met andere afdelingen en specialisten kunnen worden gedeeld. Dat is tevens de zwakke schakel. Je hoeft als hacker meestal maar achter één wachtwoord te komen om toegang te krijgen tot grote databases met gevoelige informatie."

De gegevens worden veelal op ondergrondse marktplaatsen aangeboden, waarbij gevoelige gegevens van een patiënt voor gemiddeld 2 dollar over de toonbank gaat. Ter vergelijking: financiële gegevens worden vaak voor 20 dollar per stuk verkocht, creditcardinformatie levert zo'n 5 dollar per kaart op. De aanbieders zijn meestal professionele hackers die niet gemakkelijk zijn op te sporen.