Ziekenhuis lekt gegevens 493.000 patiënten
Het Groene Hart Ziekenhuis in Gouda heeft jarenlang de gegevens van honderdduizenden mensen op een slecht beveiligde computer bewaard, waaronder medische dossiers. Op een FTP-server werden tientallen dossiers variërend van opnamegegevens tot ogenschijnlijk complete dossiers aangetroffen, zo meldt Nu.nl. Het gaat om brieven tussen artsen, röntgenfoto’s, echo’s, hartfilmpjes, medicatielijsten, recepten, diagnoses, diverse soorten scans, behandelplannen en laboratoriumuitslagen.
Ook werd een patiëntenbestand met de gegevens van ruim 493.000 personen meerdere keren op de server gevonden. Daarin staan naast patiëntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner. In een ander bestand staat welke patiënt op welke afdeling bekend is.
De gegevens staan sinds mei 2008 al op de FTP-server stonden. De systeembeheerder gebruikte als wachtwoord 'groen2000'. In 2011 werd het ziekenhuis wegens de slechte informatiebeveiliging al een keer door de Inspectie voor de Volksgezondheid op de vingers getikt.
De enige die mijn dossier heeft is mijn huisarts,en heel misschien mijn tandarts.
Maar ja die gaat alleen over een gebitsdossier van mij.
Als zo'n server alleen maar vanaf je LAN te benaderen is dan is het risico dat vervelende jongetjes er mee aan de haal gaan gewoon veel kleiner.
Vanaf internet moeten er alleen publieke services te benaderen zijn zoals web- en mailservers, geen FTP of fileservers die eigenlijk voor intern gebruik zijn.
Zijn mijn gegevens nu veilig? Ja. (Even daarvoor is duidelijk gemaak dat er zeker 1946 bestanden ongeoorloofd gedownload zijn waarvan het grootste deel medischedossiergegevens... Dan zijn je gegevens dus NIET veilig.)
Hoe heeft dit kunnen gebeuren? Dat weten we nog niet. (Er is eerder duidelijk gemaakt dat iemand met wel heel makkelijk te raden credentials binnen is gekomen via een onveilige FTP-service... Dan weet je het wel!)
Liggen nu alle patiëntgegevens 'op straat'? Nee... (Een onbevoegd persoon download bijna 2000 patientgegevens en je zegt met droge ogen dat de gegevens niet met anderen gedeeld zijn en ze niet voor derden beschikbaar zijn. Hoe arrogant kun je zijn!)
Worden patiënten om wiens gegevens het gaat ook actief benaderd? We weten niet of dat juridisch kan, we mogen ex-patiënten niet benaderen. (Kul argumenten, als je je daar door laat leiden laat je het beperken van risico op (juridische)schade voor het ziekenhuis prevaleren boven de bescherming van de levenssfeer van de (ex)patienten. Het ziekenhuis heeft zich al niet aan de wet gehouden door zeer onzorgvuldig met zeer gevoelige persoonsgegevens om te gaan, grove nalatigheid te plegen. En daarna nog verder nalatig zijn om het op juridische gronden te gooien dat je die personen dan maar niet op de hoogte stelt in de kennelijke hoop dat het vooral voor het ziekenhuis over waait. )
Er is sprake van een lek als gegevens zonder het verbreken van een beveiliging beschikbaar gesteld kunnen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
