Gegevens van 218.000 mensen buitgemaakt bij ChipSoft-hack
Forensisch onderzoek heeft uitgewezen dat bij de ChipSoft-hack van 7 april, toch persoonsgegevens en medische informatie zijn gestolen. Naar schatting liggen gegevens van 218.000 mensen op straat.
© CC0 - Pixabay
Zorginstellingen waar gegevens zijn gestolen, zijn daarvan op de hoogte gesteld door ChipSoft. Zij nemen zelf contact op met hun patiënten. Niet alleen persoonsgegeven zoals namen, adressen en geboortedata zijn buitgemaakt, maar ook medische informatie over behandelingen en diagnoses. Die informatie kunnen kwaadwillenden gebruiken voor phishing of identiteitsfraude.
Realistische schatting
Gijs Roeffen, CISO bij Castor (een Nederlands platform voor het verzamelen, standaardiseren en delen van klinische onderzoeksdata) heeft een overzicht gemaakt van de impact van de ransomware-aanval op ChipSoft. Hij concludeert dat meer dan vijftien medische instellingen zijn geraakt door de hack. Dat zijn voornamelijk huisartsenpraktijken, drie revalidatiecentra en een centrum voor klinische forensische psychiatrie. Bij dat laatste instituut zijn gegevens van 6.000 patiënten gestolen, waaronder ook TBS-patiënten. Volgens de berekening van Roeffen zijn in totaal de gegevens van circa 218.000 mensen in gevaar. Hij noemt dit zelf een voorzichtige, maar realistische schatting.
Verontrustend
Juist het feit dat vooral patiëntgegevens van huisartsenpraktijken door de hack zijn gestolen, vindt Roeffen verontrustend. ‘Als poortwachters van het zorgstelsel hebben ze veel persoonlijke informatie over patiënten, verzameld over een langere tijd’, zegt hij. ‘Dat was voor mij de motivatie om alle gegevens over de hack op een rijtje te zetten. Via verschillende openbare bronnen, persberichten van instellingen, AP-meldingen, NOS en Volkskrant kon ik de informatie samenbrengen. Ik heb dat op vrijdagavond verzameld en online gezet.’
Forensisch onderzoek loopt
De Volkskrant laat weten dat de gestolen gegevens voor zover bekend nog niet op het dark web zijn gesignaleerd. Ook weet de krant dat de hackers specifiek zochten naar medische informatie over behandelingen. Op de eigen website laat ChipSoft weten dat het forensisch onderzoek naar oorzaak, bron en de omvang van het incident nog loopt. Het bedrijf wil niet bekendmaken of er is onderhandeld met de hackers en of er eventueel losgeld is betaald.
Grote ophef
Roeffen vergelijkt de hack met recente incidenten bij Odido en Clinical Diagnostics. ‘De ophef is elke keer groot, we noemen het een grote schande. Maar drie weken later is het weer business as usual’, zegt hij. ‘Bij deze hack zijn persoonsgegevens én medische gegevens uitgelekt - de zwaarste categorie onder de AVG. Bij de forensisch-psychiatrische klinieken zijn TBS-dossiers bevestigd ontvreemd. Dat is van een andere orde dan een telecomlek.’
Alles uit de kast
Met een Kamerbrief heeft minister Sterk (Langdurige zorg, Jeugd en Sport) op 21 april de Tweede Kamer geïnformeerd over de ransomware-aanval. Ze noemt de hack een ernstige zaak en ze dringt erop aan dat er snel duidelijkheid moet komen over de omvang en impact. ‘ChipSoft moet als leverancier de volle verantwoordelijkheid nemen en alles uit de kast halen om dit verder snel en zorgvuldig te onderzoeken.’
Reputatieschade
ChipSoft ligt al jaren onder een vergrootglas, omdat de softwareleverancier zich heeft ontwikkeld tot marktleider in de zorgsector. Naar schatting ruim 70% van alle zorginstellingen in Nederland maakt gebruik van de software van het bedrijf. De Autoriteit Consument en Markt schreef daar in 2022 een kritisch rapport over, dat het bedrijf uit angst voor reputatieschade tot november 2023 uit de publiciteit wist te houden.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee