Ziekenhuis lekt patientgegevens door slecht beveiligde computer bij ICT-dienstverlener (2012/10/07)

Organisatie

Groene Hart Ziekenhuis.

Verwerking

Server in datacenter van ICT-dienstverlener.

Betrokkenen

"[...] honderdduizenden patiënten van het Groene Hart Ziekenhuis [...] ruim 493.000 personen [...]" [Nu.nl, 2012/10/07]

Soort (persoons)gegevens

"Het gaat om tientallen dossiers variërend van opnamegegevens tot ogenschijnlijk complete dossiers. Ze bevatten bijvoorbeeld brieven tussen artsen, röntgenfoto's, echo's, hartfilmpjes, medicatielijsten, recepten, diagnoses, diverse soorten scans, behandelplannen en laboratoriumuitslagen. Ook het volledige patiëntenbestand met de informatie van ruim 493.000 personen blijkt diverse malen op de computer te staan. Daarin staan naast patiëntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner. In een ander bestand staat welke patiënt op welke afdeling bekend is." [Nu.nl, 2012/10/07]

"Overigens gaat het om patiëntengegevens van voor 2008 die in 2010 op een aparte server waren geparkeerd. De hacker heeft pagina's uit 47 patiëntendossiers ingezien en/of gekopieerd, met daarin bijvoorbeeld medische diagnostiek, analyses, brieven en behandeling. Het betreft papieren dossiers van de afdeling Interne Geneeskunde van voor 2008 die daarna gedigitaliseerd zijn. Verder gaat het om een gehackt bestand uit 2008 met naw-gegevens en bsn-combinaties van 496.176 patiënten, en een databestand van 15.262 initialen, achternamen en patiëntnummers afkomstig van de afdeling Cardiologie en Kindergeneeskunde." [Computable, 2012/11/28]

"'Tussen 26 september en 7 oktober zijn meerdere malen gegevens gedownload. Het betreft onder andere 1800 gescande pagina's uit medische dossiers (van vóór 2008) van 47 patiënten van de afdeling Interne Geneeskunde. De gedownloade bestanden hebben bij elkaar een omvang van meer dan 7 GB.'" [WebWereld, 2012/11/28]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Tientallen medische dossiers en de gegevens van honderdduizenden patiënten van het Groene Hart Ziekenhuis in Gouda zijn jarenlang via internet toegankelijk geweest op een nauwelijks beveiligde computer. Dat ontdekte een hacker [...] NU.nl werd door haar ingeschakeld. [...] De server bevat naast medische gegevens verder compleet installeerbare softwarepakketten van Microsoft, Adobe Flash en VMWare. Deze is duidelijk gericht op werkstations. [De hacker] waarschuwt slechts vluchtig te hebben gekeken en niet uit te sluiten dat er nog meer informatie op de server staat. De computer blijkt niet in het ziekenhuis te staan, maar in een datacenter van een provider dat vanaf internet toegankelijk is. Die toegang loopt via FTP, een technologie niet bestemd voor het transporteren van gevoelige gegevens omdat de informatie onversleuteld over internet gaat. Een ander probleem is dat het gebruikelijk is dat gevoelige gegevens na overbrengen van de server worden gehaald. Het blijkt echter dat de medische dossiers al sinds mei 2008 op de server stonden. Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar." [Nu.nl, 2012/10/07]

"Vermoedelijk zijn de documenten op de slecht beveiligde server geplaatst door een bedrijf dat papieren dossiers helpt te digitaliseren. Verder werden door de hacker kant-en-klare installatieversies van kantoorsoftware aangetroffen, wat er op kan duiden dat de server ook ingezet werd voor het inrichten van werkplekken." [Tweakers.net, 2012/10/07]

"De gegevens staan sinds mei 2008 al op de FTP-server [...]." [Security.nl, 2012/10/08]

"De bewuste server staat in een datacenter van een onbekende provider. Via internet was toegang via een onversleutelde ftp-verbinding. Het wachtwoord van de beheerder bleek bovendien gemakkelijk te kraken." [WebWereld, 2012/10/08]

"Volgens het ziekenhuis slaagde de inbraakpoging dankzij ongeautoriseerd gebruik van inloggevens. Hoe dit heeft kunnen gebeuren, wordt nog onderzocht." [Computable, 2012/11/28]

"Er konden bij het Groene Hart Ziekenhuis patiëntdossier gestolen worden omdat het backupsysteem maandenlang een al bekende zwakheid bevatte. Hetzelfde lek werd eerder misbruikt bij KPN. Dat geven bronnen rond het onderzoek bij het Groene Hart Ziekenhuis tegenover NU.nl aan. Uit het onderzoek zou zijn gebleken dat het backupsysteem HP Dataprotector maandenlang kwetsbaar was en er zo toegang is gekregen tot de patiëntdossier." [Nu.nl, 2012/11/28]

"De man die inbrak op een server van het Groene Hart Ziekenhuis in Gouda en daar tientallen patiëntendossiers buitmaakte heeft ook malware geïnstalleerd. [...] De man, die sinds dinsdag vastzat, heeft vandaag tegenover de Nationale Recherche een bekentenis afgelegd. Volgens het OM heeft de 26-jarige hacker na de inbraak bij het Groene Hart Ziekenhuis kwaadaardige software achtergelaten op het computersysteem. Ook zou na de eerste inbraak een grote hoeveelheid medische gegevens zijn gedownload." [Security.nl, 2012/11/30]

Respons van de organisatie

"In een eerste reactie zegt een zegsvrouw van het ziekenhuis geschrokken te zijn van de melding. 'Het is voor ons onacceptabel dat deze situatie heeft bestaan', aldus de woordvoerster. 'Uit veiligheidsoverweging hebben we de betreffende server en de verbindingen van het netwerk van het ziekenhuis naar buiten toe afgesloten. De website van het ziekenhuis kan wel in de lucht blijven.' Samen met het National Cyber Security Center en beveiligingsbedrijf Fox IT wordt gewerkt aan een definitieve oplossing voor het probleem om dit in de toekomst te voorkomen. Er werd al gewerkt aan verbetering van de beveiliging. 'We vinden het niet leuk dit te moeten horen, maar zijn de hacker dankbaar dat het gemeld is', stelt de zegsvrouw." [Nu.nl, 2012/10/07]

"Inmiddels heeft het ziekenhuis ervoor gezorgd dat niemand meer van buitenaf in de computersystemen kan. Het gevolg is wel dat ook medewerkers van het ziekenhuis bijvoorbeeld niet meer vanuit huis hun e-mail kunnen bekijken." [AG, 2012/10/08]

"Maandag liet het ziekenhuis weten ook alle systeembeheerwachtwoorden te wijzigen en complexer te maken. Ook wordt met een IT-expert gekeken naar verdachte bewegingen van buitenaf of op intranet. [...] 'Ons Elektronische Patiënten Dossier (EPD) loopt niet via het publieke internet, maar we kunnen nog niet volledig uitsluiten dat EPD-gegevens tijdens de inbraak via het netwerk zijn ingezien.' 'Vanzelfsprekend spannen wij ons op dit moment tot het uiterste in om uit te zoeken of en zo ja welke gegevens van patiënten zijn ingezien in die 2 uur dat de inbreker in de nacht van zaterdag op zondag actief aanwezig was op ons systeem', aldus de Raad van Bestuur in een verklaring. [...] Onduidelijk is nog of er anderen zijn geweest die de afgelopen jaren de gegevens hebben gedownload van de server." [Nu.nl, 2012/10/08]

"Het dossier van 52 patiënten van het Groene Hart Ziekenhuis in Gouda zijn ingezien doordat de gegevens niet goed waren beschermd. Dat zei minister Edith Schippers (Volksgezondheid) dinsdag tijdens het vragenuurtje in de Tweede Kamer. [...] Schippers noemde het 'heel ernstig dat de gegevens van zoveel patiënten waren in te zien'. Ze zei dit zeer te betreuren. Ze gaat samen met een reeks instanties proberen om herhaling te voorkomen. Ook loopt er een onderzoek naar de gebeurtenissen om te achterhalen wat er precies mis is gegaan." [Nu.nl, 2012/10/09]

"Niet van 52, maar van 47 patiënten het Groene Hart Ziekenhuis in Gouda zijn de elektronische dossiers ingezien door onbevoegden. Dat maakte het ziekenhuis dinsdagavond op zijn website bekend. Eerder spraken het ziekenhuis en minister Edith Schippers van 52 patiëntendossiers, maar dat aantal is dus lager volgens het ziekenhuis. Het betreft pagina's van patiëntendossiers van de afdeling Interne Geneeskunde, en het zijn digitale versies van oorspronkelijk papieren dossiers van vóór 2008, aldus het ziekenhuis. Het ziekenhuis overlegt met het College Bescherming Persoonsgegevens om de getroffen patiënten in te kunnen lichten." [AG, 2012/10/10]

"Er is een 26-jarige man aangehouden voor de inbraak in het computersysteem van het Groene Hart Ziekenhuis in Gouda. Dat heeft het Openbaar Ministerie dinsdag laten weten. [...] Het ziekenhuis deed na het lek zelf onderzoek naar de situatie, maar ook het High Tech Crime Team van de KLPD startte een onderzoek onder leiding van het Landelijk Parket." [Nu.nl, 2012/11/27]

"In samenwerking met Fox-IT is er ook een plan opgesteld dat momenteel wordt ingevoerd. Doel van dit traject is het veiligheidsniveau van het ziekenhuisnetwerk op een hoog niveau te brengen." [Computable, 2012/11/28]

"Beveiligingsbedrijf Fox-IT deed destijds onderzoek naar de inbraak bij KPN en was ook de beveiliger van het Groene Hart Ziekenhuis toen de systemen daar gehackt werden. Fox-IT had het lek bij KPN aan het licht gebracht, maar het niet laten dichten bij het ziekenhuis. Waarom dat niet gebeurd is, wil [de directeur van Fox-IT] niet vertellen. 'Mijn commentaar is dat ik niet vertel wat ik wel en niet voor klanten doe zonder hun toestemming', stelt hij in een reactie tegenover NU.nl. Volgens het ziekenhuis worden ze al 'langere tijd' beveiligd door Fox-IT." [Nu.nl, 2012/11/28]

"Het Groene Hart Ziekenhuis zegt aangifte te hebben gedaan tegen de nu gearresteerde 'hacker' op aandringen van justitie en Fox-IT. Ondanks dat is er waardering voor het wijzen op het beveiligingslek. Het ziekenhuis schrijft dat in een verklaring dat het publiceerde naar aanleiding van de arrestatie van de 26-jarige man uit Nieuwegein. [...] 'Wij hebben aangegeven het te waarderen dat wij de kans kregen om eerst een aantal veiligheidsmaatregelen te treffen, voordat tot publicatie van de inbraak werd overgegaan', zegt het ziekenhuis nu. 'Echter, de feiten die uit het onderzoek naar de inbraak naar voren kwamen, waren reden voor Fox-IT, politie, justitie en het Nationaal Cyber Security Centrum (NCSC) om ons te adviseren aangifte te doen.' Die aangifte werd vervolgens door het GHZ stilgehouden. 'Omwille van de voortgang van het onderzoek is besloten hier niet eerder over te communiceren. Dit deden wij op advies van politie, justitie en het Nationaal Cyber Security Centrum (NCSC).' Dat advies was gebaseerd op de omvangrijke download van de hacker, zo valt uit het relaas van het ziekenhuis op te maken." [WebWereld, 2012/11/28]

"ICT-journalist [...] is door het Team High Tech Crime (THTC) van de Nationale Politie gevraagd te verschijnen als getuige bij een verhoor over de hack bij het Groene Hart Ziekenhuis. [De journalist] volgt die zaak, waarbij in 2012 oude medische dossiers op een publiek toegankelijke en slecht beveiligde server stonden. [De journalist] laat weten te vechten voor zijn bronnen. Ook de NVJ vindt dat [de journalist] in zijn recht staat en er verstandig aan doet om de verhooroproep te weigeren." [NVJ, 2013/03/05]

"De hacker van het Groene Hart Ziekenhuis vorig jaar heeft volgens Justitie een grote hoeveelheid kinderporno op zijn computer. Het gaat om 700 filmpjes en 2500 foto's. [...] De 26-jarige man werd eind november opgepakt door de Nationale Recherche, nadat hij een maand daarvoor bekend maakte ingebroken te hebben in het computersysteem van het ziekenhuis in Gouda. Naar later bleek had de man niet alleen 7 GB aan data van patiënten gedownload, maar ook een backdoor achter gelaten op de server en malware geïnstalleerd. De hacker had zich vervolgens bij [een onderzoeksjournalist] gemeld met de waarschuwing dat de desbetreffende server lek was." [WebWereld, 2013/03/21]

"De Inspectie voor de Volksgezondheid (IGZ) heeft niet in beeld hoe het met de beveiliging van medische gegevens gesteld is. Ook is niet bekend of zorginstelling aan de gestelde normen voldoen. In de toekomst moet dat wel worden afgedwongen. Dat schrijft [de minister van Veiligheid en Justitie] aan de Tweede Kamer in antwoord op vragen van [een 50Plus-kamerlid]. Na een reeks beveiligingsincidenten in de zorg wilde het kamerlid weten of zorginstellingen nu hun zaken aantoonbaar in orde hebben." [Nu.nl, 2013-06-04]

"Een 28-jarige man uit Nieuwerkerk aan den IJssel die in 2012 op een server van het Groene Hart Ziekenhuis in Gouda wist in te breken verschijnt woensdag voor de rechter. [...] In november 2012 werd de inbreker door de nationale recherche aangehouden en legde een bekentenis af. Bij het onderzoek naar de computer van de man werd kinderporno aangetroffen waarvoor hij woensdag ook terechtstaat. Het ziekenhuis heeft wegens de inbraak een schadevergoeding van 5415 euro geëist, zo meldt RTV West." [Security.nl, 2014-12-01]

"Volgens het openbaar ministerie is er geen sprake van een hack uit ethische motieven. De grenzen die hiervoor zouden kunnen gelden zijn in ernstige mate overschreven. Door zichzelf steeds weer toegang te verschaffen tot de gegevens van het ziekenhuis, deze gegevens te downloaden, te bespreken en soms zelfs te delen met derden en door het achterlaten van kwaadaardige software had deze hack op geen enkele wijze meer met ideologische motieven te maken." [Openbaar Ministerie, 2014-12-03]

Bronnen

2012/10/07

• Bigwobber: Brief inspectie aan Groene Hart Ziekenhuis
• Nu.nl: Groene Hart Ziekenhuis lekt medische dossiers
• PHIprivacy: NL - Groene Hart Ziekenhuis (Green Heart Hospital) leaking medical records
• Tweakers.net: 'Medische dossiers van ziekenhuis waren toegankelijk via internet'

2012/10/08

• AG: 'Lek patiëntgegevens zorgelijk en verwijtbaar'
• Nu.nl: Groene Hart Ziekenhuis start onderzoek naar lek dossiers
• Nu.nl: Overheid roept op tot aandacht beveiliging privégegevens
• Security.nl: Ziekenhuis lekt gegevens 493.000 patiënten
• WebWereld: Server lekt honderdduizenden patiëntgegevens
• WebWereld: CBP doet onderzoek naar lek Groene Hart ziekenhuis

2012/10/09

• AG: Overheid roept op tot betere beveiliging privégegevens
• Nu.nl: 'Heel ernstig' dat patiëntdossiers na lek ingezien zijn

2012/10/10

• AG: Ziekenhuis - Gehackte dossiers 47 patiënten ingezien

2012/10/11

• Nu.nl: 'Directie Groene Hart zeker niet ontslaan na lek'

2012/11/27

• Nu.nl: Verdachte gepakt voor hacken patiëntgegevens
• Security.nl: Recherche arresteert ziekenhuis-hacker
• Tweakers.net: OM - Verdachte aangehouden voor 'hacken' Groene Hart Ziekenhuis
• WebWereld: Politie pakt hacker Groene Hart Ziekenhuis op

2012/11/28

• Computable: Groene Hart Ziekenhuis pakt hacker aan
• Nu.nl: Patiëntdossiers gelekt door bekende zwakheid
• WebWereld: Ziekenhuis waardeert hacker maar doet wel aangifte

2012/11/29

• Nu.nl: Kamer ontsteld over harde aanpak hacker

2012/11/30

• Nu.nl: Verdachte hacken Groene Hart Ziekenhuis vrijgelaten
• Security.nl: Hacker Groene Hart Ziekenhuis installeerde malware
• Tweakers.net: OM - verdachte ziekenhuishack zette malware op computersysteem - update
• WebWereld: Verdachte van hack Groene Hart Ziekenhuis vrij - UPDATE

2012/12/07

• Security.nl: Opstelten verklaart aangifte tegen ziekenhuishacker

2013/03/05

• NVJ: De Winter weigert bronnen bekend te maken

2013/03/21

• Nu.nl: Kinderporno gevonden op pc van hacker Groene Hart Ziekenhuis
• Security.nl: Ziekenhuishacker had kinderporno op pc
• WebWereld: Hacker GHZ vervolgd wegens bezit kinderporno

2013-06-04

• Nu.nl: 'Inspectie heeft geen totaalbeeld gegevensbeveiliging zorg'

2013-06-05

• WebWereld: Beveiliging medische dossiers wordt nauwelijks getoetst

2014-12-01

• Security.nl: Man die op server Groene Hart Ziekenhuis inbrak voor rechter

2014-12-03

• NUtech.nl: Twee jaar geëist tegen hacker Groene Hart Ziekenhuis
• Openbaar Ministerie: OM eist twee jaar gevangenisstraf tegen hacker Groene Hart Ziekenhuis
• Tweakers: OM eist twee jaar cel voor ziekenhuis-hacker

2014-12-04

• Security.nl: OM eist 2 jaar tegen man die op ziekenhuisservers inbrak