D9D1E2

Datalekken in Nederland

2012

Medische dossiers toegankelijk met voor de hand liggend wachtwoord (12/04/19)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Medisch onderzoekscentrum 'Diagnostiek voor U'.

Verwerking

Cyberlab (een website voor medische professionals).

Betrokkenen

"[...] duizenden Brabanders [...]" [Bron]

"[...] 17 patiënten [...]" [Bron]

Soort (persoons)gegevens

"Cyberlab is een internetapplicatie waarin laboratoriumuitslagen en uitslagen voor functieonderzoeken worden ingevoerd. [...] [...] was geschokt te lezen welke patiënten van het Diagnostisch Centrum bijvoorbeeld HIV hebben, alcoholist zijn en welke medicijnen die mensen gebruiken. Het centrum doet bloedonderzoek voor ziekenhuizen en huisartsen. De resultaten van al die onderzoeken zijn op dit moment simpel in te zien." [Bron]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Volgens [een lijsttrekker van een politieke partij] ontdekte een lid van zijn partij het lek. Mensen die beroepshalve toegang hebben tot de site bleken met een voor de hand liggend wachtwoord toegang te hebben tot duizenden medische dossiers. [...] [De lijsttrekker]: 'Het is idioot, zo makkelijk als een van mijn partijleden bij de informatie kon. Hij heeft het me laten zien. Ik kon bijvoorbeeld precies zien welke patiënten alcohol of drugs hebben gebruikt.'" [Bron]

"De vijfcijferige inlognaam voor gebruikers bleek hetzelfde als het wachtwoord." [Bron]

"[Het kamerlid bij wie het lek werd gemeld] kon niet alleen medische gegevens van duizenden mensen via een lek in het systeem van Diagnostiek voor U inzien, maar ook wijzigen. Zo zou hij een hiv-status kunnen toevoegen of verwijderen. [...] Het systeem houdt geen rekening welke ingelogde gebruiker wie als patiënt heeft." [Nu.nl, 2013/01/22]

Respons van de organisatie

"Volgens het centrum heeft een individu zich toegang verschaft tot het systeem door de bestaande inlognaam en wachtwoord van een arts die toegang had tot de gegevens van zijn patiënten te misbruiken. Voor zover bekend zijn er geen gegevens gekopieerd en buiten het systeem geplaatst. Het centrum zegt dat er geen aanwijzingen zijn dat er gegevens op straat liggen. [...] [De directeur]: 'Wij zijn geschokt over het feit dat blijkbaar gegevens van een aantal van onze patiënten op illegale wijze zijn ingezien. We nemen dit heel serieus. Wij hebben per direct Cyberlab uit de lucht gehaald.'" [Bron]

"Het systeem van Diagnostiek Voor U in Eindhoven is donderdag offline gehaald. 'We zijn nu aan het inventarisen wat er exact aan de hand is en hebben contact gezocht met de leverancier', aldus het centrum. 'Zoals het er nu naar uitziet heeft een individu zich toegang verschaft tot het systeem door de bestaande inlognaam en het wachtwoord van een arts te misbruiken.'" [Bron]

"Het Diagnostisch Centrum in Eindhoven en Den Bosch heeft vrijdag aangifte gedaan omdat twee mensen van [een politieke partij] met een onrechtmatig verkregen account gegevens van 17 patiënten hebben bekeken. Het laboratorium heeft dat vrijdag bekendgemaakt. 'Zoals het er nu naar uitziet is er sprake van computercriminaliteit', staat in een verklaring. Er is aangifte gedaan van computervredebreuk. De aangifte is niet gedaan tegen specifieke personen, zei [de directrice]. De 17 cliënten over wie het gaat, worden persoonlijk geïnformeerd." [Bron]

"50Plus-fractievoorzitter [...] wordt door Justitie vervolgd voor het hacken van medische dossiers. [...] 'Eén van de 50Plus-leden kwam naar mij toe met de boodschap dat het kinderlijk eenvoudig is om daar binnen te komen. Ik dacht: dat kan niet waar zijn dat wil ik controleren', vertelt [de fractievoorzitter] tegenover NU.nl. 'Ik kon het niet geloven dat met medische gegevens zo onzorgvuldig werd omgegaan.' Toen [de fractievoorzitter] probeerde het probleem te melden, werd de melding in eerste instantie geweigerd. 'Ik kreeg te horen dat ik dit maar schriftelijk moest melden en dat niet zomaar aan de telefoon kon gebeuren', gaat de politicus verder. 'Vervolgens ben ik naar Omroep Brabant gestapt.'" [Nu.nl, 2012/12/04]

"'We kunnen ons voegen in de zaak van het OM, of een eigen civiele procedure starten', vertelt [de advocaat] die de medische kliniek vertegenwoordigt. Welk scenario het wordt, is nog niet besloten. [De advocaat] bevestigt wel dat het één van deze twee opties wordt. De zaak overlaten aan alleen het Openbaar Ministerie is niet aan de orde. De advocaat legt aan Webwereld uit dat Diagnostiek voor U schade heeft geleden en dat het die wil verhalen. De lekke website is direct offline gehaald en daar is werk voor verricht. Verder konden patiënten daardoor niet meer bij hun gegevens, wat extra informeringswerk met zich mee heeft gebracht. Daarbij kon een simpel telefoontje door een willekeurige werknemer niet volstaan. [De advocaat] licht toe dat de medische data een vertrouwelijke aard heeft. Dus moet een arts met valide toegang tot die gegevens patiënten inlichten over hun medicatie." [WebWereld, 2012/12/04]

"Een meerderheid in de Tweede Kamer wil dat de Inspectie voor de Gezondheidszorg (IGZ) de beveiliging van patiëntendossiers beter in de gaten houdt." [Nu.nl, 2012/12/16]

"Tegen Tweede Kamerlid [...] is vanochtend een boete van 750 euro, plus 750 euro voorwaardelijk, geëist voor inbraak bij de internetsite van het Brabantse laboratorium Diagnostiek voor U. [...] [Het kamerlid] kreeg de inloggegevens via een vrijwilliger en lid van 50PLUS, die de code had afgekeken van zijn psychiater. Tegen deze man werd 250 euro boete geëist. [...] Het recht op de bescherming van het systeem en de bescherming van de privacy van patiënten weegt volgens het Openbaar Ministerie zwaarder dan het recht op vrije nieuwsgaring van [het kamerlid] (destijds ook hoofdredacteur van de Gaykrant). Hij heeft journalistieke zorgvuldigheidsnormen niet nageleefd omdat hij meteen de publiciteit heeft gezocht en zich had zich kunnen beperken tot inloggen in het systeem zonder in de medische geheimen te kijken, aldus de officier." [AG, 2013/02/01]

"Tweede Kamerlid [...] is vandaag veroordeeld tot 750 euro boete voor inbraak bij de internetsite van het Brabantse laboratorium Diagnostiek voor U. De rechtbank in Den Bosch vindt dat hij te ver is gegaan omdat hij na de ontdekking dat hij eenvoudig kon inloggen, meteen naar de media is gestapt en het laboratorium te weinig tijd heeft gegeven om te reageren. [...] voor zover de politicus en toenmalig journalist heeft ingelogd, enkele patiëntgegevens zag en uitprintte, was dat gerechtvaardigd en verdedigbaar, oordeelde de rechter. Over de beveiliging van de internetsite doet de rechter geen harde uitspraken. De rechter constateert dat er geen sprake was van een technisch mankement maar dat één gebruiker (de psychiater) onzorgvuldig was met zijn inloggegevens." [AG, 2013/02/15]

"Het medisch onderzoekscentrum Diagnostiek voor U spant geen civiele procedure aan tegen [het kamerlid dat het datalek openbaar had gemaakt] wegens computervredebreuk. Eerst dreigde het lab tienduizenden euro's op het kamerlid te verhalen." [WebWereld, 2013/02/19]

'Opeens realiseerden veel partijen dat zij ook kwetsbaar waren', stelt [de directrice van Diagnostiek voor U]. 'Je wilt niet weten hoeveel bestuurders van zorginstellingen naar mij toekwamen met vragen of opmerkingen.' Zij zien dat veel zorginstellingen na het nieuws meer aandacht voor beveiliging hebben gekregen. 'Dat speelt vooral op bestuurlijk niveau', stelt ze. Diagnostiek voor U heeft sinds het incident veel meer aandacht voor beveiliging en heeft de toegang tot het systeem verbeterd. Zo moet een arts naast een betere gebruikersnaam en wachtwoord ook een code die per sms wordt toegestuurd invoeren. Bovendien moeten gebruikers van het systeem nu een handtekening zetten voor ze toegang krijgen en is de beveiliging van e-mail verbeterd.Uit andere testen van Diagnostiek voor U werden in andere software nog meer zwakheden ontdekt. Het laboratorium had bij de andere producten niet altijd de indruk dat de problemen even hoog op de agenda kwamen. 'Wat je merkt is dat wij grote stappen hebben gezet, maar leveranciers niet altijd zover zijn als jij bent', vertelt [...], IT-manager bij Diagnostiek voor U tegenover NU.nl. 'Wel merk je dat ze snappen waarom het zo bij ons op de radar staat. Toch zou ik graag zien dat leveranciers een soort securitykeurmerk hebben waar ze aan moeten voldoen. Dat zou wel helder zijn.'" [Nu.nl, 2013/04/10]

Bronnen

12/04/19

12/04/20

2012/12/04

2012/12/05

2012/12/06

2012/12/16

2013/01/14

2013/01/22

2013/01/27

2013/02/01

2013/02/03

2013/02/15

2013/02/18

2013/02/19

2013/02/26

2013/03/01

2013/04/10

.