Het ziekenhuis schrijft dat in een verklaring dat het publiceerde naar aanleiding van de arrestatie van de 26-jarige man uit Nieuwegein. In oktober vond een hacker op een onbeveiligde server die buiten het GHZ stond gehost medische gegevens van duizenden patiënten van het Goudse ziekenhuis en meldde dat eerst aan het GHZ zelf. Dat schakelde het forensisch ICT-beveiligingsbedrijf Fox-IT in.

Ziekenhuis wel vooraf ingeseind door hacker

“Wij hebben aangegeven het te waarderen dat wij de kans kregen om eerst een aantal veiligheidsmaatregelen te treffen, voordat tot publicatie van de inbraak werd overgegaan", zegt het ziekenhuis nu. “Echter, de feiten die uit het onderzoek naar de inbraak naar voren kwamen, waren reden voor Fox-IT, politie, justitie en het Nationaal Cyber Security Centrum (NCSC) om ons te adviseren aangifte te doen."

Die aangifte werd vervolgens door het GHZ stilgehouden. “Omwille van de voortgang van het onderzoek is besloten hier niet eerder over te communiceren. Dit deden wij op advies van politie, justitie en het Nationaal Cyber Security Centrum (NCSC)."

Dat advies was gebaseerd op de omvangrijke download van de hacker, zo valt uit het relaas van het ziekenhuis op te maken. “Tussen 26 september en 7 oktober zijn meerdere malen gegevens gedownload. Het betreft onder andere 1800 gescande pagina's uit medische dossiers (van vóór 2008) van 47 patiënten van de afdeling Interne Geneeskunde. De gedownloade bestanden hebben bij elkaar een omvang van meer dan 7 GB."

PvdA: ethische hacker niet vervolgen

Tweede Kamerlid Astrid Oosenbrug (PvdA) zegt geen commentaar te willen geven op individuele gevallen, maar wil in de algemeenheid wel kwijt dat “mensen die hacken om bepaalde veiligheidsrisico's aan te tonen en deze melden bij het bedrijf/instantie waar het lek ontdekt is niet vervolgd moeten worden. Deze mensen signaleren veiligheidsrisico's en verlenen de samenleving een dienst."

Oosenbrug voegt daar wel aan toe dat als er gegevens van een computer worden afgehaald om door te verkopen of te publiceren zonder eerst met het bedrijf te overleggen. “Dan ben je als hacker niet meer ethisch bezig."