D9D1E2

Datalekken in Nederland

2012

PatiŽntgegevens GGZ-instellingen op onbeveiligde server (12/06/01)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

GGZ Noord-Holland-Noord en een andere GGZ-instelling / FarMedvisie.

Verwerking

Ontwikkelomgeving ICT-dienstverlener (?)

Betrokkenen

"[...] zoín 8.500 patiŽnten. [...] Het gaat om mensen die medicatie ontvangen voor geestelijke gezondheidszorg." [Bron]

Soort (persoons)gegevens

"In totaal gaat het om persoonsgegevens van zoín 8.500 patiŽnten. De informatie bedroeg geboortedatum, adresgegevens, de gegevens van de instelling waar iemand is opgenomen, het burgerservicenummer en gegevens voor uitwisseling via het Elektronisch PatiŽnten Dossier (EPD)." [Bron]

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Beschrijving van het incident

"Door een fout van een IT-dienstverlener stonden medische gegevens van twee GGZ-instellingen op een onvoldoende beveiligde server. PatiŽntinformatie is daardoor toegankelijk geweest. [Het lek is ontdekt door hackers.] Ook informatie van een aantal andere zorginstellingen bleek beschikbaar te zijn, maar daarbij ging het om inloggegevens van medewerkers en niet om patiŽnteninformatie. In ťťn geval waren ook recepten beschikbaar, maar de recepten waren niet naar personen te herleiden. De toegang werd verkregen via een ontwikkelomgeving waar operationele gegevens aanwezig zijn." [Bron]

"Op 21 mei is ons ICT systeem aangevallen. Binnen 2 minuten is dit door ons gesignaleerd. Deze aanval is vervolgens door ons gepareerd. Voor ons is de aanval direct aanleiding geweest onze getroffen beveiligingsmaatregelen te evalueren. Vanaf 22 mei zijn er door ons aanvullende beveiligingsmaatregelen getroffen. Naar aanleiding van de door NU.nl aan ons op 31 mei jl. verstrekte informatie, hebben wij tot onze spijt moeten concluderen, dat wij toch iets over het hoofd hebben gezien. Uit de NU.nl informatie blijkt dat het bij de genoemde aanval toch mogelijk is geweest toegang te krijgen tot een bepaalde ontwikkelomgeving. Voor zover wij op basis van de door NU.nl verstrekte informatie hebben kunnen nagaan, is daarbij toegang verkregen tot 2 bestanden met persoonsgegevens van 2 zorginstellingen uit 2011." [Bron]

Respons van de organisatie

"[FarMedvisie] heeft inmiddels de ontwikkelserver van het internet ontkoppeld en aanvullende beveiligingsmaatregelen genomen. De zorginstellingen gaan de betrokken klanten informeren." [Bron]

"Inmiddels is de door u verstrekte informatie voor ons reden geweest om verdere maatregelen te treffen. Het betreffende systeem is inmiddels van buiten niet meer bereikbaar. De 2 betrokken zorginstellingen zijn ook door ons geÔnformeerd. Met hen vindt intensief overleg plaats over de wijze waarop wij met de gevolgen van deze inbreuk verder zullen omgaan. Als leverancier van een ICT-systeem zijn wij verantwoordelijk voor de beveiliging van ons systeem. Wij zullen ook onze overige klanten over dit voorval informeren." [Bron]

"De gegevens van zo'n 8300 patiŽnten van GGZ Noord-Holland-Noord zijn gedurende korte tijd toegankelijk geweest door een onvoldoende beveiligde server. Ook de gegevens van een andere GGZ-instelling waren zichtbaar. Dat heeft GGZ Noord-Holland-Noord vrijdag bekendgemaakt naar aanleiding van een bericht op Nu.nl. Het gaat om gegevens zoals: de naam van patiŽnten, de naam van hun partner, hun adres en hun woonplaats die zichtbaar waren. In sommige gevallen waren ook de lengte en het lichaamsgewicht te zien. Medische gegevens waren niet zichtbaar. Het lek lag bij het elektronisch medicatievoorschrijfsysteem FarMedvisie. Zij hebben het lek naar eigen zeggen binnen 2 minuten gesignaleerd en meteen gerepareerd." [Bron]

Bronnen

12/06/01

.