Een Britse it-leverancier moet mogelijk een boete van zes miljoen pond betalen wegens een ransomware-aanval waar het twee jaar geleden door getroffen werd en die grote gevolgen voor de Britse gezondheidszorg had. De Britse privacytoezichthouder ICO is van plan om de boete op te leggen. It-leverancier Advanced krijgt echter nog de gelegenheid om te reageren voordat er een definitieve beslissing volgt.

Advanced is een grote it-leverancier die onder andere diensten aan de Britse gezondheidszorg levert. Twee jaar geleden in augustus 2022 werd het bedrijf slachtoffer van een ransomware-aanval. Daardoor moest het noodnummer van de Britse gezondheidszorg 111 terugvallen op pen en papier. De landelijke telefoondienst voorziet mensen onder andere van medisch advies, helpt bij herhaalrecepten en laat weten hoe een noodvoorraad van voorgeschreven medicijnen zijn te verkrijgen.

Het systeem wordt ook gebruikt voor het sturen van ambulances naar patiënten en het maken van afspraken voor spoedgevallen en huisartszorg buiten kantooruren. Daarnaast verzorgt Advanced ook anderen systemen voor zorginstellingen, waaronder elektronische patiëntendossiersoftware waar meer dan veertigduizend artsen gebruik van maken.

Vanwege de aanval moest Advanced een deel van de systemen offline halen. Daardoor waren systemen onbereikbaar en moest zorgpersoneel op pen en papier terugvallen. Zo kon zorgpersoneel geen digitale patiëntendossiers inzien. Daarnaast wisten de aanvallers gegevens van 83.000 mensen te stelen, waaronder gevoelige persoonlijke informatie zoals medische dossiers en gegevens om toegang te krijgen tot de woningen van bijna negenhonderd mensen die thuiszorg ontvingen.

"Dit incident toont hoe belangrijk het is om informatiebeveiliging te prioriteren. Het verlies van controle over persoonlijke informatie zal stressvol zijn geweest voor mensen die geen andere keuze hebben dan zorgorganisaties te vertrouwen", zegt de Britse Informatiecommissaris John Edwards. "Niet alleen is er persoonlijke informatie gestolen, maar hebben we ook meldingen gezien dat dit incident zorgdiensten verstoorde, waardoor die geen patiëntenzorg konden leveren. Een sector die al onder druk staat werd door dit incident verder belast."

Hoe de ransomware-aanval precies kon plaatsvinden is niet bekendgemaakt. De ICO stelt dat bedrijven zoals Advanced wettelijk verplicht zijn om passende technische en organisatorische maatregelen te nemen om persoonlijke informatie te beveiligen. Het gaat dan om zaken als het uitvoeren van risicoanalyses, het tijdig installeren van beveiligingsupdates, controleren op kwetsbaarheden en implementeren van tweefactorauthenticatie.