Inbrekers stelen onversleutelde patiëntgegevens uit UMC

Inbrekers stelen onversleutelde patiëntgegevens uit UMC

Laatst bijgewerkt: 12 mei 2020
Leestijd: 2 minuten, 23 seconden

Inbrekers zijn erin geslaagd om persoonsgegevens van honderden patiënten te stelen uit het Universitair Medisch Centrum (UMC). De dieven namen harde schijven, processoren en geheugenbanken mee. Het ziekenhuis heeft aangifte gedaan bij de politie en het datalek gemeld bij de Autoriteit Persoonsgegevens.

Diverse media schrijven over de inbraak, waaronder RTV Utrecht, De Telegraaf en De Utrechtse Internet Courant.

Noodcomputers

De diefstal van de computerapparatuur en gegevensdragers vond plaats op zaterdag 18 april. Het nieuws over de inbraak komt vandaag pas naar buiten. Het UMC laat weten dat bij de polikliniek interne geneeskunde en allergologie tien computers werden opengebroken. In plaats van de gehele computers mee te nemen, namen de inbrekers genoegen met harde schijven, processoren en geheugenbanken.

Twee van de tien computers die werden opengeschroefd, waren zogeheten noodcomputers. Als de bestaande computersystemen door een cyberaanval getroffen worden, er een netwerkstoring plaatsvindt of om wat voor reden dan ook uitvallen, dan kunnen artsen op deze computers alsnog bij de patiëntgegevens.

700 patiënten

In totaal hebben de dieven de persoonlijke gegevens van 700 patiënten weten buit te maken. Het gaat dan om zaken als namen van patiënten, delen van hun patiëntdossiers en burgerservicenummers (BSN). De patiënten wiens gegevens zijn gestolen, zijn door het ziekenhuis via een brief van de inbraak op de hoogte gebracht. In de brief staat tevens een telefoonnummer waar bezorgde patiënten terecht kunnen voor vragen.

Het UMC bevestigt tegenover diverse media dat de harde schijven beschermd waren met een gebruikersnaam en wachtwoord. De gegevens zelf zijn niet versleuteld. Als de daders erin slagen om de inlognaam en het bijbehorende wachtwoord te raden, kunnen ze bij alle data die op de schijven staat. Het is onduidelijk waarom de patiëntgegevens niet extra beveiligd waren door middel van encryptie.

Aangifte

Het ziekenhuis benadrukt dat de behandelingen van de patiënten op geen enkel moment in gevaar was en dat de behandelingen gewoon door konden gaan. Het UMC heeft aangifte gedaan van de inbraak bij de politie. Het datalek is tevens gemeld bij de Autoriteit Persoonsgegevens (AP). Iedere organisatie die persoonsgegevens opslaat en verwerkt is verplicht om het lek binnen 72 uur te melden bij de AP.

Datalek Donorregister

Het is de tweede keer in korte tijd dat we worden opgeschrikt door een datalek. Eerder deze maand schreef minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport (VWS) dat begin maart twee externe harde schijven waren kwijtgeraakt bij het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG). Op de schijven stonden 6,9 miljoen digitale formulieren van burgers die zich tussen 1998 en 2010 hadden geregistreerd in het Donorregister, of wijzigingen had aangebracht in zijn of haar dossier. In totaal gaat het om privacygevoelige persoonsgegevens van iets meer dan 6 miljoen Nederlanders, zoals  voor- en achternaam, geboortedatum, geslacht, adresgegevens, donorkeuze en burgerservicenummer (BSN). In tegenstelling tot het UMC waren de externe harde schijven van het CIBG niet beveiligd met een gebruikersnaam en wachtwoord.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen