Zorgelijke cijfers
Het hacken van gegevens is een probleem dat alle sectoren raakt. Maar de meeste pogingen om data te stelen vinden juist plaats waar veel onze gevoeligste privégegevens zijn opgeslagen: in de zorg.
door Robert Heeg
Eerder dit jaar openbaarde de Autoriteit Persoonsgegevens (AP) in zijn jaarrapport voor het eerst waar cyberaanvallen het meest tot datalekken leiden. Cybercriminelen die persoonlijke gegevens wilden bemachtigen hadden het volgens de toezichthouder vooral gemunt op de sector zorg en welzijn: 23 procent. Bijna een kwart van de gemelde datalekken over cyberaanvallen, een kleine negenduizend, was in 2022 afkomstig uit de zorgsector.
Identiteitsfraude
Alleen al door de grootste drie cyberaanvallen bij IT-leveranciers van de zorgsector zijn er in 2022 van ongeveer 900.000 patiënten of cliënten medische persoonsgegevens gelekt. De gevolgen kunnen ernstig zijn; slachtoffers krijgen mogelijk te maken met identiteitsfraude of reputatieschade. Ze worden volgens de AP na een hack vaak onvoldoende en onduidelijk geïnformeerd. In 2021 was de zorgsector ook al de negatieve koploper. Het gaat volgens de toezichthouder niet alleen om kwetsbare ziekenhuizen, maar ook om onder meer ouderenzorg, fysiotherapeuten, huisartsenpraktijken, apothekers, verloskundigen en tandartsen.
De AP noemt geen namen, maar NRC noemde enkele bekend incidenten. Tandartsenketen Colosseum Dental (zo’n 130 tandartsenpraktijken in de Benelux), werd gehackt en betaalde naar alle waarschijnlijkheid losgeld betaald voor de data. Een ander slachtoffer was Nedap Healthcare, bouwer van het veel gebruikte online zorgplatform Carenzorgt.
Kwetsbaarheid
Brancheorganisatie Z-CERT (computer emergency response team voor de zorg) sloeg eerder dit jaar alarm over de kwetsbaarheid van zorgaanbieders in zijn jaarlijkse Cybersecurity Dreigingsbeeld voor de Zorg. Ransomware en financiële fraude vormen de belangrijkste cyberdreiging voor de sector. De overlast door met name gijzelsoftware nam in 2022 sterk toe. Z-CERT registreerde 51 ransomware-incidenten bij Europese zorginstellingen; 65 procent meer dan in 2021.
De cijfers zijn pijnlijk en passen in het bredere beeld van datalekken dat alle sectoren raakt. Sinds de privacywet AVG vijf jaar geleden werd ingevoerd, zijn er ruim 114.000 meldingen gedaan, waarvan 6500 cyberaanvallen. Vanwege de enorme aantallen zegt Dennis Davrados, coördinator Team Datalekken bij AP: ‘Ga er maar vanuit dat je slachtoffer bent van een lek, of dat je het nog zult worden.’
Chantabel
Dat juist binnen zorg en welzijn de meeste datalekken voorkomen, wordt volgens de toezichthouder mogelijk verklaard omdat daar veel persoonsgegevens worden verzameld. Desmond de Haan, van de AP, noemt zorginstellingen in NRC ‘relatief chantabel’ om losgeld te betalen, vanwege de afhankelijkheid van hun data en de vaak heel gevoelige informatie. Zorginstellingen zijn zich volgens het Z-CERT-rapport onvoldoende bewust van de risico’s van cloud-opslag van patiëntengegevens. Daarmee maken zij zich afhankelijk van een externe partij. Gedeelde infrastructuur kan de impact van een incident bovendien flink vergroten.
Voorzichtig optimisme
Tamara Pieterse, bestuurder bij Zorgbalans, kreeg in 2021 te maken met een poging tot afpersing. Een deel van de digitale cliëntgegevens was gegijzeld. Op de site van branchevereniging ActiZ vertelt zij hoe intensief onderzoek uiteindelijk een verdachte opleverde. Het liep goed af maar Pieterse trok wijze lessen uit het incident. Bij Zorgbalans doen ze nu trouw systeemupdates en vergroten ze de bewustwording bij medewerkers door het versturen van test-phishingmails. Pieterse: ‘De vraag is niet óf je als zorgorganisatie te maken krijgt met een cyberaanval, maar wannéér.’
Heel voorzichtig optimisme is er ook, want het aantal meldingen van datalekken daalde vorig jaar met enkele duizenden naar ruim 21.000. Ook het aantal cyberaanvallen om gegevens te stelen liep terug. Maar die afname is allerminst een geruststelling. Volgens Davrados zijn datalekken ‘aan de orde van de dag. We zullen er helaas aan moeten wennen.’