Terugblik 2018: 5 opvallende security-incidenten in de zorg

/, Nieuws/Terugblik 2018: 5 opvallende security-incidenten in de zorg

Zorgorganisaties beschikken over (zeer) gevoelige informatie van patiënten. Die bijzondere persoonsgegevens mogen niet in verkeerde handen vallen. Helaas is de zorg net als andere sectoren vatbaar voor security-incidenten. Wat kunnen we leren van de incidenten uit 2018?

1. Onterechte inzage patiëntgegevens

Bij een datalek denk je waarschijnlijk al snel aan datadiefstal na een cyberinbraak of een menselijke fout waardoor gegevens van patiënten onterecht zijn verspreid naar onbevoegden. Ook allerlei andere incidenten kunnen echter een datalek zijn.

Een voorbeeld is een incident in het HagaZiekenhuis in Den Haag. 85 medewerkers van het ziekenhuis kregen in april een waarschuwing nadat zij zonder legitieme reden het medisch dossier hadden ingezien van Samantha de Jong, ook wel bekend als Barbie. Het HagaZiekenhuis maakte melding van het incident bij de Autoriteit Persoonsgegevens, die een onderzoek is gestart.

2. Medische apparatuur doelwit

Regelmatig duiken nieuwe computervirussen op, waarvan de meeste zijn gericht op traditionele computersystemen of mobiele apparaten. Ook andere apparatuur zoals medische apparaten kan echter kwetsbaar zijn voor dergelijke kwaadaardige software.

Deze kwetsbaarheid wordt onder meer aangetoond door het Orangeworm-virus dat begin 2018 opdook. Deze malware richt zich specifiek op medische apparaten zoals MRI- en CT-scanners en nestelt zich op de computersystemen die met deze apparatuur zijn verbonden. Ook vond het virus zijn weg naar apparaten waarop patiënten toestemmingsformulieren invullen. Spionage lijkt het belangrijkste doel van de malafide software; er zijn geen aanwijzingen dat het virus (patiënt)gegevens steelt of schade probeert te veroorzaken op getroffen systemen.

3. Werknemers veroorzaken datalek

Medewerkers hebben doorgaans toegang tot allerlei gevoelige informatie om hun werk uit te kunnen voeren. Deze toegang brengt echter risico’s met zich mee. Zo kan een kwaadwillende medewerker allerlei gevoelige informatie stelen en openbaar maken. Een werknemer hoeft echter niet altijd met slechte intenties te handelen om een datalek te veroorzaken.

Zo maakte verzekeringsmaatschappij Achmea in oktober bekend dat de gegevens van circa 10.000 klanten zijn uitgelekt. Onder meer namen, adresgegevens en burgerservicenummers (BSN’s) van getroffen klanten lagen op straat. Het lek ontstond via een medewerker van Achmea. Vermoedelijk heeft iemand ‘uit de omgeving’ van de werknemer de uitgelekte data in handen gekregen en verspreid. Hoe deze derde persoon toegang kon krijgen tot de gegevens is niet bekend.

4. Oud-medewerker beschadigt imago

Niet alleen huidig personeel, maar ook oud-medewerkers kunnen datalekken veroorzaken. Een voorbeeld is een incident met een voormalig KNO-arts van Ziekenhuis Amstelland, die in oktober de fout inging.

De arts voegde ruim honderd (oud-)patiënten ongevraagd toe aan een WhatsApp-groep, waarin hij aangaf bij een nieuwe werkgever aan de slag te zijn die aanzienlijke kortere wachttijden heeft. De arts adviseerde hen daarom een afspraak te maken in dit medisch centrum: het Acibadem International Medical Center. Door de actie zijn de telefoonnummers van betrokken patiënten openbaar gemaakt, waardoor sprake is van een datalek.

5. Security-incident dupeert massapubliek

Een datalek in de zorg kan in potentie een grote omvang hebben. Doordat nagenoeg alle burgers in een land gebruikmaken van zorg, bevatten zorgsystemen vaak gegevens over een groot aantal patiënten. Als zo’n systeem wordt gehackt, kan de schade dan ook omvangrijk zijn.

Een security-incident in Singapore toont dit goed aan. De gegevens van 1,5 miljoen Singaporese zorggebruikers werden door onbekenden buitgemaakt. Onder meer namen, adresgegevens, geslacht, ras en geboortedata van betrokkenen werden buitgemaakt, evenals hun identiteitskaartnummers. Van 160.000 patiënten zijn daarnaast voorgeschreven recepten uitgelekt, waaronder van de Singaporese premier Lee Hsien Loong en een aantal ministers.

De data werden gestolen via een cyberinbraak op computersystemen van SingHealth, de grootste zorggroep in Singapore. David Koh, chief executive van het Cyber Security Agency in Singapore, spreekt over een doelgerichte en goed geplande cyberaanval.

2019-01-31T08:35:10+00:00Categorieën: blog, Nieuws|

QSight IT is KPN Security: wat betekent dit voor u?

Beste relatie,

Samen met onze klanten willen wij Nederland elke dag een stukje veiliger maken. Met ingang van 11 april doen we dit onder een nieuwe merknaam: KPN Security. Graag leggen we uit wat dit voor u als gewaardeerde relatie van QSight IT betekent.

Wat is KPN Security

KPN voegt zijn securityorganisaties samen onder de nieuwe merknaam KPN Security. Hiermee ontstaat de grootste securityspecialist van Nederland. KPN Security biedt voor alle type organisaties (van midden- en kleinbedrijf tot corporate organisaties) een compleet security aanbod: van kant-en-klare (geïntegreerde) securityoplossingen tot complete managed securitydiensten.

Wat gebeurt er met QSight IT?

QSight IT maakt vanaf nu deel uit van KPN Security. Het merk QSight IT zal daarmee gaan verdwijnen, net als het eveneens in 2017 overgenomen securitybedrijf DearBytes. Wij opereren met ingang van 11 april onder de vlag van het nieuwe merk.

Wat verandert er voor u?

Geleidelijk zult u de overgang naar KPN Security gaan merken, maar u blijft contact houden met dezelfde mensen en ook de werkwijze blijft hetzelfde. De kernwaarden van QSight IT – betrokkenheid, betrouwbaarheid en innovatie – leven voort in KPN Security. Met gebundelde krachten kunnen we u nog beter van dienst zijn.

Heeft u vragen over onze nieuwe organisatie of anderzijds? Dan horen we dat natuurlijk graag van u.

Met vriendelijke groet,

Martijn Hakstege
CEO QSight IT / EVP KPN Security

close-link