Het College Bescherming Persoonsgegevens gaat het Groene Hart Ziekenhuis in Gouda bevragen over de mate van beveiliging van de medische persoonsgegevens van patiënten. Dit weekeinde werd bekend dat een hacker die beveiliging makkelijk kon omzeilen en zo bij de gegevens van honderdduizenden patiënten kon komen. Onder meer de resultaten van medische onderzoeken waaronder röntgenfoto's en hartfilmpjes waren via het internet te benaderen.

Behalve de medische gegevens waren ook van bijna 500.000 patiënten uit de Goudse regio de volledige persoonsgegevens in te zien. De server die door de hacker was binnengedrongen stond in een datacenter van een dienstverlener en niet bij het ziekenhuis zelf. Daarnaast was de toegang tot die server mogelijk via ftp, waardoor de data onversleuteld over het internet ging. Volgens de hacker stond de info al sinds 2008 op de server.

'Beveiliging medische gegevens hoog op de agenda'

Hoogleraar privacyrecht Gerrit-Jan Zwenne zei eerder al tegen Nu.nl dat de Wet bescherming persoonsgegevens werd geschonden en dat wil het CBP nu gaan onderzoeken. “We hebben dit onderwerp (bescherming medische gegevens, red) sinds begin dit jaar hoog op de prioriteitenlijst", zegt woordvoerster Lysette Rutgers van het CBP. “Naar aanleiding van de gebeurtenissen van dit weekeinde zien wij alle reden om het ziekenhuis hierover opheldering te vragen."

Het ziekenhuis zelf onderzoekt de zaak ook, zo heeft de Raad van Bestuur laten weten. “Een van de belangrijkste vragen die wij krijgen is of er inzage is geweest in de medische gegevens van de betreffende patiënt. Dit zijn wij nu nog aan het onderzoeken", zegt het bestuur in een deze middag geüpdatete verklaring. “Ons Elektronische Patiënten Dossier (EPD) loopt niet via het publieke internet, maar we kunnen nog niet volledig uitsluiten dat EPD-gegevens tijdens de inbraak via het netwerk zijn ingezien."

Ziekenhuis verandert systeemwachtwoorden

Het ziekenhuis meldt verder dat alle systeembeheerwachtwoorden worden gewijzigd en complexer gemaakt. “Woensdag zullen we kunnen controleren of dit aangescherpte wachtwoordbeleid ook op alle systemen correct is doorgevoerd. Rond deze tijd verwachten we dat het systeem ook weer grotendeels extern toegankelijk zal kunnen zijn. Tot slot kijken wij samen met Fox-IT voortdurend naar verdachte bewegingen van buitenaf of intranet."

Op een zondag opgestelde FAQ-pagina valt te lezen dat het Groene Hart ziekenhuis al langer samenwerkt met Fox-IT. “Samen met hen en NCSC (Nationaal Cyber Security Center) werken we aan een oplossing." Overigens is het ziekenhuis in 2011 al eens gewaarschuwd door de Inspectie voor de Volksgezondheid voor onveilige IT-beveiliging. Desondanks heeft de server blijkbaar al die tijd opengestaan.

Update 15.20: Jacob Kohnstamm, voorzitter van het CBP, zei deze zondag nog voor een groot publiek tijdens de Amsterdam privacy Conference dat het CBP een enorme tijdsinvestering heeft gedaan dit jaar naar hoe IT-systemen in ziekenhuizen worden beheerd en dat duidelijk was dat "ziekenhuizen vooral de focus hebben op het redden van levens en niet op hoe hun IT-systemen zijn georganiseerd." Verder zei Kohnstamm in het algemeen dat er een grote afstand is tussen de ziekenhuisdirectie en hun ICT-systemen.