Tientallen medische dossiers en een bestand waarin gegevens van ruim 493.000 patiënten van het Groene Hart Ziekenhuis (GHZ) in Gouda hebben langdurig op een onbeveiligde server gestaan. Dat meldt Nu.nl na een tip van een hacker van het Genootschap van Hackende Huisvrouwen die het lek aan het licht bracht.

Het ziekenhuis bevestigt de inbraak en heeft de lekke server direct offline gehaald. Ook zijn alle netwerkverbindingen van het ziekenhuis inmiddels afgesloten.

Verbinding blijkt onversleuteld

De bewuste server staat in een datacenter van een onbekende provider. Via internet was toegang via een onversleutelde ftp-verbinding. Het wachtwoord van de beheerder bleek bovendien gemakkelijk te kraken.

De medische dossiers bevatten vertrouwelijke informatie zoals medicatielijsten, diagnoses, röntgenfoto's en behandelplannen van patiënten. Daarnaast zou het gaan om honderdduizenden Burgerservicenummers en NAW-gegevens die allemaal voor onbekende tijd toegankelijk zijn geweest voor onbevoegden. Op de server stonden verder installatieversies van softwarepakketten van Microsoft, Adobe Flash en VMWare.

Ziekenhuis is eerder gewaarschuwd

Het GHZ noemt de situatie onacceptabel en laat weten geschrokken te zijn van de melding. Het ziekenhuis heeft in samenwerking met beveiligingsbedrijf Fox IT en het Nationaal Cyber Securty Center (NCSC) een onderzoek ingesteld.

Opvallend genoeg valt op een zondag opgestelde FAQ-pagina te lezen dat het GHZ al sinds langere tijd samenwerkt met datzelfde beveiligingsbedrijf. Bovendien is het ziekenhuis in 2011 al eens gewaarschuwd door de Inspectie voor de Volkgezondheid voor onveilige it-beveiliging. Desondanks heeft de server blijkbaar al die tijd opengestaan.

'Politiek moet actie ondernemen'

Patiëntenfederatie NPCF roept de politiek op om in actie te komen. Op zijn website schrijft de organisatie dat het vreselijk is dat opnieuw medische gegevens onveilig zijn opgeslagen en stelt dat er grondig onderzoek moet komen naar de situatie in andere Nederlandse ziekenhuizen.


Zie ook de analyse die Webwereld zaterdag heeft gepubliceerd: Een jaar na lektober nog altijd actie vereist