Universiteitsprofessor Eric Johnson heeft in januari twee weken lang op p2p-netwerken gezocht naar medische gegevens. Zijn zoektocht heeft vele duizenden patientendossiers en –gegevens opgeleverd. Die informatie is compleet met naam, Social Security-nummer, verzekeringsmaatschappij en diagnoses.

Ziekenhuisdatabase

Het gaat niet alleen om slecht beveiligde pc’s van huisartsen of laptops van medewerkers. Grootste vangst is een ziekenhuisdatabase met de dossiers van 20.000 patienten. In de totale buit zit informatie over patiënten met Aids, kanker en psychische aandoeningen. De resultaten van dit onderzoek zijn geanonimiseerd en gepubliceerd in een paper. Johnson heeft vorige week een lezing hierover gehouden.

“Het uitlekken van deze medische informatie is vooral alarmerend voor burgers”, meent de p2p-onderzoekers. Met die gegevens is het echter ook mogelijk om fraude te plegen, dus gezondheidsinstanties en verzekeraars hebben ook reden om zich zorgen te maken.

Johnson is directeur van het Centrum voor Digitale Strategieën aan het Amerikaanse onderwijsinstituut Dartmouth College. In die hoedanigheid heeft hij in 2007 al over onbedoelde bestandsdeling ‘getuigd’ voor een Senaatscommissie.

Omgaan met informatie

De nieuwe Amerikaanse president heeft net een grootschalig plan goedgekeurd voor brede invoering van het EPD in de Verenigde Staten. President Obama heeft hiervoor 19 miljard gebudgetteerd. Dat wordt in de komende vijf jaar gespendeerd, volgens een flink pakket richtlijnen en vereisten voor de beveiliging. Ook in Nederland is er veel aandacht voor zowel de security van als het geld voor het EPD.

Diverse experts maken zich zorgen over de beveiliging van die verzameling privacy-gevoelige informatie. Het gaat daarbij niet alleen om de beveiliging van het EPD zelf, maar ook om hoe mensen omgaan met informatie. Consultant Peter Westerveld van Sincerus Consultancy heeft dat struikelblok eerder al uitgelegd aan Webwereld.

Helikopter van de president

Het is overigens niet alleen privé-data van consumenten die uitlekt via p2p-netwerken. Gegevens over de helikopter van de Amerikaanse president zijn nu naar buiten gekomen. De informatie over dit toestel, Marine One geheten, ligt op straat.

Het Amerikaanse p2p-beveiligingsbedrijf Tiversa heeft de blauwdrukken van de heli en de vluchtsoftware aangetroffen op een p2p-netwerk. Die geheime informatie is gevonden op een p2p-client met een ip-adres in de Iraanse hoofdstad Teheran. Dit lek is teruggevoerd op een Amerikaanse onderaannemer van Defensie, waar p2p-software op een pc bleek te staan. Volgens Tiversa zoeken ook landen als Pakistan, China en Yemen op p2p-netwerken naar dit soort informatie. Het bedrijf biedt een acht-stappenplan om datalekkage via p2p tegen te gaan.