ChipSoft-Ransomwareaanval Legt Nederlandse Patiëntgegevens Bloot

Ransomwareaanval Treft het Hart van de Nederlandse Patiëntendossiers

Een ernstige ransomwareaanval op ChipSoft, een van de meest gebruikte leveranciers van elektronische patiëntendossiers in Nederland, heeft schokgolven door de Nederlandse zorgsector veroorzaakt. Minstens een dozijn ziekenhuizen heeft al meldingen ingediend bij de Autoriteit Persoonsgegevens (AP), en onderzoekers werken nog steeds aan het bepalen van de volledige omvang van het datalek.

De schaal van de mogelijke blootstelling is aanzienlijk. Het HiX-platform van ChipSoft wordt gebruikt door ongeveer 70% van de Nederlandse ziekenhuizen voor het beheren van elektronische patiëntendossiers. Dat betekent dat één enkele aanval op één softwareleverancier rimpeleffecten kan hebben door het overgrote deel van het nationale ziekenhuisnetwerk, met mogelijk gevolgen voor de persoonlijke en medische gegevens van miljoenen patiënten.

Welke Gegevens Kunnen in Gevaar Zijn

Elektronische patiëntendossiers bevatten een van de meest gevoelige soorten persoonlijke informatie die er bestaan: diagnoses, behandelgeschiedenissen, medicatiegegevens, identificatienummers en contactinformatie. Wanneer ransomware een systeem binnendringt dat dit soort gegevens verwerkt, gaan de risico's verder dan tijdelijke verstoring.

Onderzoeken zijn momenteel gericht op de vraag of dataverkeer tijdens de aanval is onderschept. Dit is een cruciale vraag. Ransomware vergrendelt systemen niet altijd alleen maar en eist betaling; steeds vaker stelen aanvallers gegevens vóór of tijdens de versleuteling, waardoor ze een hefboom hebben voor zogenoemde dubbele afpersingsregelingen. Als gegevens tijdens de overdracht zijn onderschept, kan dit betekenen dat dossiers volledig zijn gekopieerd en uit beveiligde omgevingen zijn verwijderd.

Ziekenhuizen die afhankelijk zijn van de software van ChipSoft bevinden zich nu in de lastige positie dat ze toezichthouders moeten informeren, terwijl ze tegelijkertijd proberen te begrijpen wat er eventueel is buitgemaakt. Op grond van de Europese AVG-regels moeten organisaties datalekken binnen 72 uur na ontdekking melden bij de toezichthoudende autoriteiten, en afhankelijk van de ernst van het risico moeten ze mogelijk ook de betrokken personen informeren.

Waarom de Zorgsector een Hoofddoelwit is voor Ransomware

De zorgsector is wereldwijd een van de meest aangevallen sectoren geworden als het gaat om ransomware-aanvallen. Hier zijn meerdere redenen voor. Medische dossiers hebben een hoge waarde op ondergrondse markten omdat ze een rijke combinatie van persoonlijke en financiële informatie bevatten. Ziekenhuizen opereren ook onder grote druk om systemen draaiende te houden, wat hen meer bereid kan maken om snel losgeld te betalen om toegang te herstellen.

Aanvallen op softwaretoeleveringsketens, waarbij criminelen zich richten op een leverancier die door veel organisaties wordt gebruikt in plaats van elke organisatie afzonderlijk aan te vallen, vermenigvuldigen de potentiële schade aanzienlijk. Door één bedrijf zoals ChipSoft te hacken, krijgen aanvallers een voet aan de grond die zich uitstrekt over het volledige netwerk van klanten dat op die software vertrouwt. Deze aanpak is efficiënt voor aanvallers en verwoestend voor de organisaties en personen aan de ontvangende kant.

Nederland is geen geïsoleerd geval. Zorgverleners in heel Europa en Noord-Amerika hebben de afgelopen jaren soortgelijke incidenten meegemaakt, en de trend laat geen tekenen van omslag zien.

Wat Dit voor U Betekent

Als u patiënt bent bij een Nederlands ziekenhuis dat gebruik maakt van het HiX-platform van ChipSoft, kunnen uw medische en persoonlijke gegevens zijn blootgesteld. Dit is wat u zou moeten overwegen te doen:

• Houd meldingen in de gaten. Ziekenhuizen die door het datalek zijn getroffen, zijn verplicht patiënten te informeren als hun gegevens betrokken waren. Let op officiële communicatie van uw zorgverlener.
• Wees alert op phishingpogingen. Na een datalek gebruiken aanvallers gestolen informatie vaak om overtuigende phishing-e-mails of telefoongesprekken op te stellen. Wees skeptisch tegenover ongewenst contact dat beweert afkomstig te zijn van uw ziekenhuis of verzekeraar.
• Maak gebruik van uw AVG-rechten. Op grond van de AVG heeft u het recht om bij organisaties informatie op te vragen over welke gegevens zij van u bewaren en hoe deze zijn verwerkt. De Autoriteit Persoonsgegevens is het relevante orgaan als u zorgen heeft over de manier waarop uw gegevens zijn behandeld.
• Begrijp de grenzen van wat u kunt controleren. Wanneer uw gegevens worden bewaard door een derde partij zoals een ziekenhuis of zijn softwareleverancier, heeft u beperkte directe controle over de beveiliging ervan. Dit maakt het des te belangrijker dat instellingen hun verplichtingen op het gebied van gegevensbescherming serieus nemen.

Voor zorginstellingen en IT-beheerders is dit datalek een herinnering dat het beheer van leveranciersrisico's van belang is. Het vertrouwen op één enkel platform voor een groot deel van een nationaal zorgsysteem creëert concentratierisico. Regelmatige beveiligingsaudits, planning van incidentrespons en het waarborgen dat gegevens tijdens overdracht zijn versleuteld zijn basisvereisten, geen optionele extra's.

Het ChipSoft-incident is nog steeds onder onderzoek, en het volledige beeld van welke gegevens zijn getroffen kan weken in beslag nemen om te komen. Patiënten verdienen tijdige en transparante communicatie van de instellingen die worden vertrouwd met hun meest gevoelige informatie. Toezichthouders, ziekenhuizen en softwareleveranciers hebben allemaal een rol te spelen om ervoor te zorgen dat aan die standaard wordt voldaan.