Ruim € 3.000.000,- kosten door beveiligingslek Een organisatie die de gevolgen van digitale risico’s pijnlijk heeft ervaren, is het Groene Hart Ziekenhuis in Gouda. Eind 2012 werd bekend dat tientallen medische dossiers en de gegevens van honderdduizenden patiënten jarenlang via internet toegankelijk zijn geweest op een nauwelijks beveiligde computer. Een korte schets van de situatie en de gevolgen, zoals deze door diverse bronnen worden bericht. De situatie De medische dossiers en de gegevens van honderdduizenden patiënten van het Groene Hart Ziekenhuis in Gouda waren jarenlang gemakkelijk te benaderen. Het ging om tientallen dossiers, variërend van opnamegegevens tot ogenschijnlijk complete patiëntendossiers. Ze bevatten bijvoorbeeld brieven tussen artsen, röntgenfoto’s, echo’s, hartfilmpjes, medicatielijsten, recepten, diagnoses, diverse soorten scans, behandelplannen en laboratoriumuitslagen. Ook het volledige patiëntenbestand met de informatie van ruim 493.000 personen bleek diverse malen op de computer te staan. Daarin staan naast patiëntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner. In een ander bestand was te vinden welke patiënt op welke afdeling bekend was. De respons Na de hack duurde het enkele dagen voordat het ziekenhuis in beweging kwam. Beveiligingsbedrijf Fox-IT had gezien dat iemand zich toegang had verschaft tot het netwerk en meldde dat aan de IT-afdeling. Maar daar bleef het liggen; het bericht bereikte de directie van het ziekenhuis niet. Pas toen er een nieuwsbericht op NU.nl verscheen, kwam het management in actie. De directie had toevallig twee weken daarvoor een training crisismanagement gehad. Ze waren helemaal voorbereid. Toen pas luisterde de directie naar Fox-IT en werd duidelijk dat er 7,5 GB aan data gedownload was. Het ziekenhuis gooide alles digitaal op slot en deed aangifte. De gevolgen De directe kosten voor het ziekenhuis waren € 300.000,-. Beveiligingsbedrijf Fox-IT moest meer uren draaien en KPMG werd ingehuurd om een audit te doen. Ook de communicatie- en juridische afdeling werden extra belast. De werkelijke kosten lagen naar alle waarschijnlijkheid een stuk hoger: zo’n € 3.000.000,-. Zo moesten onder andere alle verouderde computersystemen worden vervangen en nieuwe kabels worden getrokken. Ook zijn bepaalde delen van het netwerk nu losgekoppeld, waarvoor veel processen tijdelijk stilgelegd moesten worden. En dan zijn er nog de kosten van de Autoriteit Persoonsgegevens (AP). Twee jaar lang heeft de toezichthouder meegekeken met alle verbeteringen die het Groene Hart Ziekenhuis doorvoerde. Aanpassen, melden, meten, rapporteren, verbeteren, weer een rapportage. Het oordeel Het AP was snoeihard in zijn oordeel. Volgens de Wet bescherming persoonsgegevens moet een organisatie ‘passende technische en organisatorische maatregelen ten uitvoer brengen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking’. Dat had het Goudse ziekenhuis niet gedaan: de IT was hopeloos verouderd. De dader En de hacker? Dat was Jordy van J. Dat hij 7,5 GB aan data heeft gedownload, is niet bewezen. Wel dat hij een aantal documenten in handen heeft gekregen. Vervolgens ging hij in de patiëntgegevens op zoek naar bekende Nederlanders en liet dat aan zijn vriendjes zien. Daarin ging hij te ver. Hij kreeg daarvoor 120 uur taakstraf. “CU46?” “9!” Kunt u dit gesprek volgen? Computervirus bestaat 30 jaar In 2016 viert de digitale wereld een wrang jubileum: 30 jaar geleden werden computergebruikers namelijk voor het eerst de dupe van een virus. Waar in 1986 het zogenaamde BRAIN-virus nog verspreid werd via diskettes en het verwijderen van het schijfje voldoende was om het euvel op te lossen, zijn de schadelijke stukjes software de afgelopen 3 decennia flink geëvolueerd. Niet alleen gaat de verspreiding dankzij internet razendsnel, de virussen zelf zijn ook een stuk schadelijker en worden tegenwoordig vooral door criminelen gebruikt die uit zijn op geld. Het BRAIN-virus werd in 1986 ontwikkeld door twee Pakistaanse broers. Het was eigenlijk een experiment om de veiligheid van systemen te testen. De naam is afkomstig van het bedrijf van de broers, Brain Telecommunications, dat in 1986 al bestond. De 2 lieten ook hun adresgegevens en telefoonnummer in het virus achter. Naar eigen zeggen omdat het geen kwaadaardig maar een ‘vriendelijk’ virus was. Bron: metronieuws.nl Weet u wat er bedoeld wordt als u in een chatgesprek dat uw zoon of dochter met iemand voert ‘TDTM’, ‘CU46’ of ‘9’ ziet staan? Een tip: als u deze termen herkent uit een chatgesprek van uw kind, kan een goed ouder-kindgesprek wellicht geen kwaad. Onderstaand een verklarend woordenboek, voor elke ouder die weer helemaal ‘bij’ wil zijn. PIR 9 99 POS KPC IWSN TDTM NSFW Parent in room Parent watching Parent gone Parent over shoulder Keeping parents clueless I want sex now Talk dirty to me Not safe for work NIFOC CU46 Naked in front of computer See you for sex SUGARPIC Suggestive or erotic photo (L)MIRL IWU46 Let’s meet in real life I want you for sex Broken 420 TWD Hungover from alcohol Marihuana Texting while driving 55% van de mensen die online zijn, gebruikt voor elk account hetzelfde wachtwoord. Hackers kosten de samenleving naar schatting 2 biljoen dollar in 2019. 15
16 Online Touch Home