Lekken van ziekenhuisdata toch niet uitgesloten bij Chipsoft-hack

Het is toch niet uitgesloten dat gegevens van ziekenhuispatiënten zijn gestolen bij de ransomware-aanval op Chipsoft, melden bronnen aan de NOS. Chipsoft levert software voor de opslag van patiëntendossiers. In eerste instantie meldden bronnen binnen en buiten dat bedrijf dat ziekenhuisdata veilig waren.

Nu blijkt toch niet uitgesloten dat de ransomware-aanvallers toegang hebben gekregen tot de gegevens van een deel van de ziekenhuizen. Volgens een betrokkene zijn er geen concrete aanwijzingen dat dat zou zijn gebeurd, maar is het ook niet uitgesloten.

Dat speelt bij ziekenhuizen die een speciale website van Chipsoft gebruiken om patiënten toegang te geven tot hun dossiers, het zogenoemde HIX365-platform. Verkeer van en naar het patiëntendossier loopt dan via servers van Chipsoft. Aanvallers konden dat verkeer eventueel meelezen, is nu de vrees.

Onder meer het Franciscus Gasthuis in Rotterdam, het Albert Schweitzer Ziekenhuis in Dordrecht en het Meander Medisch Centrum in Amersfoort gebruiken HIX365, samen met circa twaalf andere ziekenhuizen.

De bewuste ziekenhuizen zouden het advies hebben gekregen om een melding te doen bij de Autoriteit Persoonsgegevens vanwege een mogelijk datalek. Die privacywaakhond bevestigt van meerdere ziekenhuizen een melding te hebben gekregen, maar wil niet toelichten welke dat zijn of hoe veel.

Andere ziekenhuizen hoeven zo’n melding nu nog niet te doen, hoewel de precieze impact voor die ziekenhuizen nog wordt onderzocht. Eerder bestond de vrees dat de ziekenhuizen via de servers van Chipsoft zouden kunnen worden gehackt, maar daar zijn nog geen aanwijzingen voor.

Waarom inmiddels wordt gevreesd voor de diefstal van ziekenhuisdata, is niet geheel duidelijk. Wel melden bronnen dat eind vorige week de teugels zijn aangetrokken. In eerste instantie haalde Chipsoft de HIX365-patiëntensites niet offline, maar dat gebeurde wel nadat externe beveiligingsexperts werden ingehuurd.

Op hetzelfde moment kregen ziekenhuizen de opdracht om alle accounts die ondersteunend Chipsoft-personeel kon gebruiken om in te loggen bij de ziekenhuizen, te verwijderen of te voorzien van een nieuw wachtwoord. De digitale sleutels waarmee verkeer tussen Chipsoft en de ziekenhuizen wordt beschermd, werden vanaf toen ook allemaal vervangen.

Dat duidt erop dat de externe beveiligingsexperts niet konden uitsluiten dat de aanvallers meer data hebben verkregen dan Chipsoft in eerste instantie dacht. De externe experts, die momenteel “diepgaand forensisch onderzoek” doen, zijn volgens betrokkenen relatief laat ingeschakeld.

Chipsoft wil niet ingaan op vragen van de NOS zolang het onderzoek loopt. Wel ontkent het bedrijf dat de beveiligingsexperts laat zijn ingevlogen. “Ze zijn direct ingeschakeld”, laat een woordvoerder weten. Ook Z-Cert, dat de ict-beveiliging in de zorg coördineert, wil niet inhoudelijk reageren.

De door Chipsoft geleverde patiëntportalen zijn op het moment van schrijven nog steeds offline. Daardoor kunnen patiënten van de getroffen ziekenhuizen hun dossier niet bekijken, bijvoorbeeld na een laboratoriumonderzoek. Ook is inchecken in het ziekenhuis niet mogelijk, waardoor de rijen in het ziekenhuis langer kunnen zijn.

Voor zover bekend heeft dat er nergens toe geleid dat de patiëntenzorg in het geding is geweest, maar op sommige plekken is het duidelijk drukker, meldt een betrokkene. “Het verschilt enorm.”

Naast de ziekenhuizen is mogelijk een relatief klein aantal huisartsenpraktijken getroffen dat de software van Chipsoft voor zijn patiëntendossiers gebruikt. Dat was kort na de hack al duidelijk.