Change Healthcare's datalek van 192,7 miljoen records: wat het betekent voor de privacy van patiënten
De cijfers zijn moeilijk te bevatten. In 2024 leidde een ransomware-aanval op Change Healthcare, een clearinghouse dat facturerings- en verzekeringstransacties verwerkt voor een aanzienlijk deel van het Amerikaanse zorgstelsel, tot de diefstal van persoonlijke en gezondheidsinformatie van 192,7 miljoen personen. Dat ene datalek in de gezondheidszorg is nu het grootste in de geschiedenis en overtreft elk eerder incident met een enorme marge.
Ter context: dat aantal vertegenwoordigt meer dan de helft van de bevolking van de Verenigde Staten. Het kwam niet voort uit tientallen losse incidenten verspreid over een jaar. Het kwam uit één aanval, op één bedrijf, dat centraal stond in een onderling verbonden web van zorgverleners, verzekeraars en patiënten.
Hoe één aanval 192,7 miljoen mensen trof
De rol van Change Healthcare in het Amerikaanse zorgstelsel maakte het een buitengewoon waardevol doelwit. Als clearinghouse verwerkte het claims en transacties die duizenden ziekenhuizen, klinieken, apotheken en verzekeraars met elkaar verbonden. Toen aanvallers het netwerk binnendrongen, kregen ze niet alleen toegang tot de gegevens van één organisatie. Ze kregen toegang tot een centrale opslagplaats die een enorme dwarsdoorsnede van de hele zorgsector raakte.
Het datalek volgde een patroon dat gebruikelijk is bij grootschalige ransomware-incidenten: aanvallers verkregen initiële toegang, bewogen zich lateraal door interne systemen, identificeerden en exfiltreerden gevoelige gegevens, en zetten vervolgens ransomware in om de bedrijfsvoering te verstoren. Alleen de operationele verstoring veroorzaakte al een kettingreactie aan problemen in de zorgsector, waarbij zorgverleners wekenlang geen claims konden verwerken. Maar de langduriger schade is de blootstelling van medische dossiers, verzekeringsinformatie en persoonlijke identificatoren van bijna 193 miljoen mensen.
Dit soort risico's bij externe leveranciers is niet uniek voor Change Healthcare. Het TriZetto-datalek, waarbij 3,4 miljoen patiëntendossiers werden gestolen, volgde een vergelijkbaar patroon, waarbij aanvallers het gemunt hadden op een zorgtechnologische tussenpersoon in plaats van rechtstreeks op een ziekenhuis. Wanneer één leverancier honderden zorgklanten bedient, kan één succesvolle inbraak uitwaaieren en miljoenen mensen treffen die nooit rechtstreeks met het getroffen bedrijf te maken hebben gehad.
Waarom de gezondheidszorg een hardnekkig doelwit blijft
Zorgorganisaties behoren tot de meest getroffen sectoren om verschillende onderling samenhangende redenen. Medische dossiers bevatten een uniek dichte combinatie van persoonlijke, financiële en medische informatie, waardoor ze waardevoller zijn voor criminelen dan gewone financiële gegevens. Tegelijkertijd werken veel zorgorganisaties met krappe marges, vertrouwen ze op verouderde infrastructuur en hebben ze te maken met wettelijke en operationele druk die veiligheidsverbeteringen kunnen vertragen.
De omvang van het datalek bij Change Healthcare is extreem, maar de frequentie van datalekken in de zorg is niet ongebruikelijk. Incidenten waarbij grote patiëntenpopulaties worden getroffen, worden de laatste jaren consequent geregistreerd, van grote openbare gezondheidszorgsystemen tot kleinere gespecialiseerde aanbieders. Het datalek bij NYC Health and Hospitals, waarbij 1,8 miljoen vingerafdrukken werden blootgesteld, laat zien hoe zelfs biometrische gegevens van openbare instellingen kunnen worden gecompromitteerd wanneer het netwerk van een externe leverancier onvoldoende is beveiligd.
Het patroon in deze incidenten is consistent: aanvallers vinden een zwakke plek, vaak via gecompromitteerde inloggegevens, ongepatchte systemen of onvoldoende beveiligde externe toegang, en bewegen zich vervolgens door netwerken die niet zijn gebouwd om een vastberaden indringer tegen te houden.
Wat dit voor u betekent
Als u op enig moment voor of in 2024 zorg heeft ontvangen in de Verenigde Staten, is er een aanzienlijke kans dat uw gegevens zich bevonden tussen de records die zijn blootgesteld bij het datalek van Change Healthcare. De getroffen gegevens omvatten naar verluidt namen, adressen, burgerservicenummers, verzekeringsinformatie en in veel gevallen gedetailleerde medische dossiers.
Voor patiënten betekent dit dat het risico niet alleen identiteitsdiefstal is. Het omvat ook de mogelijkheid van verzekeringsfraude, gerichte phishingaanvallen met persoonlijke gezondheidsgegevens, en de langdurige blootstelling van gevoelige medische geschiedenis. Gezondheidsinformatie kan, in tegenstelling tot een creditcardnummer, niet worden gewijzigd.
Voor zorgmedewerkers en beheerders is het datalek een duidelijke herinnering dat de veiligheid van patiëntgegevens niet alleen afhangt van de eigen beveiliging van hun organisatie, maar van elke leverancier en partner die op hun systemen is aangesloten. Datalekken gelinkt aan externe leveranciers blijven verantwoordelijk voor een aanzienlijk deel van de incidenten in de gezondheidszorg, en de zaak Change Healthcare roept urgente vragen op over hoe grondig die relaties worden doorgelicht en gemonitord.
Voor zorgorganisaties in het bijzonder wijst het datalek op een aantal concrete gebieden die de moeite waard zijn om te herzien:
- Toegangscontroles voor derden: Leveranciers met toegang tot interne systemen moeten dezelfde controle ondergaan als interne gebruikers, inclusief strikt wachtwoordbeleid en netwerksegmentatie die beperkt hoe ver een enkel toegangspunt kan reiken.
- Beveiliging van externe toegang: VPN's met verplichte multifactorauthenticatie zijn een basisbescherming voor externe toegang tot interne systemen. Het datalek bij Change Healthcare illustreert dat gecompromitteerde inloggegevens een toegangspunt kunnen zijn, maar een VPN alleen is geen complete verdediging. Het moet worden gecombineerd met segmentatie, monitoring en responsmogelijkheden.
- Dataminimalisatie: Organisaties moeten controleren welke gegevens ze delen met externe leveranciers, en alleen bewaren en versturen wat operationeel noodzakelijk is.
Het is goed om duidelijk te zijn over wat beveiligingstools zoals VPN's wel en niet kunnen. VPN's beschermen het kanaal waarover gegevens reizen, met name voor zorgmedewerkers die op afstand klinische systemen benaderen of voor telegeneeskundecommunicatie die privé moet blijven. Ze vormen een betekenisvolle beschermingslaag voor zorgmedewerkers die buiten een klinisch netwerk werken. Maar het datalek bij Change Healthcare was in de eerste plaats geen falen van de beveiliging van externe toegang. Er waren dieperliggende systeemproblemen rond netwerkarchitectuur en laterale beweging bij betrokken, problemen die gelaagde verdedigingen vereisen die veel verder gaan dan één enkel hulpmiddel.
Concrete stappen
Als u denkt dat uw gegevens mogelijk zijn getroffen door het datalek bij Change Healthcare of een soortgelijk incident, zijn er concrete stappen die u kunt nemen. Controleer uw zorgverzekeringsoverzichten op claims die u niet herkent. Plaats een fraudewaarschuwing of een kredietbevriezing bij de grote kredietbureaus. Wees alert op phishingpogingen die persoonlijke gezondheidsgegevens gebruiken om legitiem te lijken.
Voor zorgprofessionals en beheerders is de les van het recordbrekende datalek van 2024 dat leveranciersrelaties veiligheidsrelaties zijn. Elke externe verbinding met een klinisch netwerk is een potentieel toegangspunt dat een rigoureuze, voortdurende evaluatie verdient. De schaal van wat er bij Change Healthcare is gebeurd, weerspiegelt niet alleen de kwetsbaarheden van één bedrijf, maar ook de risico's die gepaard gaan met het bouwen van een sector op nauw met elkaar verbonden, onvoldoende geharde infrastructuur. Het aanpakken van die risico's vereist investeringen in beveiliging op elke schakel in de keten, niet alleen bij de meest zichtbare.
