De gevolgen van de ransomware-aanval op zorg-ICT-bedrijf ChipSoft zijn mogelijk groter dan eerder werd aangenomen. In een brief aan de Tweede Kamer schrijft minister Sterk van Langdurige Zorg, Jeugd en Sport dat na de cyberaanval “nooit met volledige zekerheid is vast te stellen dat de buitgemaakte bestanden daadwerkelijk volledig zijn vernietigd”. Daarmee erkent het kabinet dat onzekerheid blijft bestaan over mogelijk gestolen patiëntgegevens.
De aanval op ChipSoft, leverancier van elektronische patiëntendossiers voor Nederlandse ziekenhuizen, zorgde eerder al voor grote onrust in de zorgsector. Het bedrijf bevestigde dat cybercriminelen toegang hadden gekregen tot systemen en bestanden hadden buitgemaakt. Volgens de minister loopt het forensisch onderzoek naar de omvang en aard van het datalek nog altijd.
Zorgen over patiëntgegevens
De kwestie raakt direct aan de beveiliging van medische gegevens van miljoenen Nederlanders. ChipSoft levert met het HiX-platform software aan een groot deel van de Nederlandse ziekenhuizen. Daardoor kunnen incidenten bij het bedrijf potentieel grote gevolgen hebben voor de continuïteit van zorg en de bescherming van gevoelige patiëntinformatie.
In de Kamerbrief benadrukt de minister dat cybercriminelen bij ransomware-aanvallen vaak claimen gegevens te vernietigen na betaling of onderhandelingen, maar dat dit in de praktijk nauwelijks onafhankelijk te controleren is. “Volledige zekerheid ontbreekt”, schrijft de bewindspersoon.
De Autoriteit Persoonsgegevens en cybersecurityspecialisten waarschuwen al langer dat de zorgsector een aantrekkelijk doelwit is voor hackers vanwege de grote hoeveelheid medische en persoonlijke data.
> LEES OOK: Privacywaakhond gaat databeveiliging in de zorg controleren
Mogelijk strengere eisen voor opslag zorgdata
Naar aanleiding van het incident onderzoekt het kabinet nu of aanvullende eisen nodig zijn voor de opslag en beveiliging van patiëntgegevens. Daarbij wordt gekeken naar strengere voorwaarden voor leveranciers van zorg-ICT en mogelijk extra toezicht op systemen waarin medische gegevens worden verwerkt.
De minister noemt onder meer eisen rond datasegmentatie, versleuteling en strengere beveiligingsstandaarden als mogelijke maatregelen. Ook wordt bekeken of zorginstellingen beter moeten worden voorbereid op cyberaanvallen en noodscenario’s.
Cyberveiligheid in zorg onder druk
De aanval op ChipSoft staat niet op zichzelf. De afgelopen jaren werden meerdere Nederlandse zorginstellingen slachtoffer van cyberincidenten, phishingcampagnes en ransomware-aanvallen. Experts wijzen erop dat ziekenhuizen en zorgleveranciers steeds afhankelijker worden van digitale systemen, terwijl de dreiging vanuit cybercriminaliteit blijft toenemen.
De Tweede Kamer wil later dit jaar verder debatteren over de beveiliging van medische gegevens en de digitale weerbaarheid van de zorgsector.
Bron: Ministerie van Volksgezondheid, Welzijn en Sport
Volg Security Management op LinkedIn
