Statement 27 november, 16.20
Wij zijn door het Openbaar Ministerie geïnformeerd dat er een
aanhouding is verricht naar aanleiding van de digitale inbraak op
het netwerk van het Groene Hart Ziekenhuis. Wij hebben op dit
moment geen nadere informatie, die loopt via het Openbaar
Ministerie.
In de periode tussen 26 september en 7 oktober zijn
meerdere malen zonder onze toestemming gegevens gedownload vanaf
een van onze servers. Natuurlijk zijn wij als ziekenhuis
verantwoordelijk voor het veiligstellen van de medische gegevens
van onze patiënten. Maar dat betekent niet dat iemand zich zomaar
zonder onze toestemming daar toegang toe mag verschaffen. Ter
bescherming van deze patiëntgegevens en door de feiten die uit het
onderzoek naar de inbraak naar voren kwamen, waren reden voor
Fox-IT, politie, justitie en het Nationaal Cyber Security Centrum
(NCSC) om ons te adviseren aangifte te doen.
Update statement: vrijdag 12 oktober, 10.00
In afstemming met het College Bescherming Persoonsgegevens
hebben wij gisteren een brief verstuurd aan de patiënten van wie
tijdens de inbraak medische gegevens zijn gedownload.
Op dit moment zijn verder geen nieuwe ontwikkelingen in ons
onderzoek of in de maatregelen die wij getroffen hebben. De externe
digitale toegang tot het ziekenhuisnetwerk is nog steeds afgesloten
om de veiligheid van de medische gegevens van onze patiënten te
waarborgen.
Update statement: dinsdag 9 oktober, 19.00
Wij hebben aanvullende informatie over de inbraak op onze server
en de maatregelen die wij treffen om herhaling te voorkomen.
Allereerst blijkt dat het bij de 1881 gekopieerde pagina's van
medische bestanden die op de server stonden, niet om 52 maar om 47
unieke patiënten gaat. Het betreft pagina's van patiëntendossiers
van de afdeling Interne Geneeskunde. Daarnaast kunnen we nu
bevestigen dat het gaat om digitale versies van oorspronkelijk
papieren dossiers van vóór 2008.
In overleg met het College Bescherming Persoonsgegevens kunnen
wij de 47 patiënten om wie het gaat, schriftelijk informeren. Dit
zal zo snel mogelijk gebeuren.
Op deze plek houden wij u de komende tijd op de hoogte van de
voortgang van ons onderzoek, van nieuwe maatregelen en andere
beschikbare informatie.
Update statement: maandag 8 oktober, 20.00
Inmiddels hebben wij de eerste resultaten van het onderzoek naar
de digitale inbraak binnen. De volgende feiten zijn daarin
vastgesteld.
De digitale inbraak gaf mogelijk toegang tot diep in ons
systeem. Hierbij bestond het risico op ernstige, eventueel zelfs
onherstelbare beschadiging van het systeem en patiëntgegevens. Deze
schade is gelukkig niet opgetreden.
Wij hebben direct alle externe toegang tot ons systeem geblokkeerd
en de gegevens van onze patiënten zijn daarmee nu veiliggesteld.
Wij verwachten dat in de loop van woensdag de externe toegang tot
het ziekenhuis voor bijvoorbeeld 'online afspraken maken' wordt
hersteld.
Sinds 26 september is vier maal in ons systeem ingebroken.
In totaal zijn 1946 bestanden gekopieerd. Tijdens de laatste
digitale inbraak in de nacht van zaterdag op zondag jl. zijn 1886
bestanden gekopieerd. Hiervan zijn 1881 gescande pagina's van
medische dossiers. Het betreft 52 patiënten.
Als wij de bestanden die zijn gekopieerd kunnen koppelen
aan patiënten, is het onze intentie om deze patiënten zelf hierover
te benaderen. Hierbij moet echter nog uitgezocht worden of dit
juridisch wel mag. Dossiers van patiënten die niet (meer) bij ons
onder behandeling zijn, mogen wij binnen de huidige wetgeving niet
inzien. Hierover zijn wij dan ook in contact met het College
Bescherming Persoonsgegevens (CBP).
De komende tijd, tijdens de afwikkeling van de digitale inbraak,
zijn onze prioriteiten als volgt:
- De zorgverlening aan onze patiënten moet optimaal blijven
voortgaan, dit is onze primaire taak.
- Wij hebben de intentie om de 52 betrokken patiënten persoonlijk
te informeren, zodra we hen hebben kunnen koppelen aan de
daadwerkelijk gekopieerde pagina's. Voorwaarde is dat dit juridisch
ook mag.
- Samen met onder meer de Inspectie van Volksgezondheid, College
Bescherming Persoonsgegevens, Cyber Security Raad, politie en
Justitie zullen wij zoeken naar verdere maatregelen om
herhaling te voorkomen.
Wij willen hierbij nogmaals benadrukken dat deze digitale
inbraak zeer ernstig is. We hebben moeten vaststellen dat
onder onze verantwoordelijkheid een inbraak van deze aard kon
plaatsvinden. Wij bieden onze patiënten en overige betrokkenen onze
excuses aan.
Verder bedanken wij onze patiënten en medewerkers voor hun begrip
en steunbetuigingen.
Update statement: maandag 8 oktober, 13.45 herziene versie
Vanzelfsprekend hebben wij vanmorgen vroeg als eerste zoveel
mogelijk onze medewerkers op de hoogte gebracht van de situatie en
de maatregelen die wij genomen hebben. Het zorgproces, de primaire
taak van ons ziekenhuis kan onbelemmerd doorgang vinden.
Baliemedewerkers en de receptie zijn beschikbaar voor vragen van
patiënten en bezoekers. We begrijpen dat er onzekerheid bestaat
onder onze patiënten en oud-patiënten. Voor de meest
gestelde vragen staan de antwoorden op onze website.
Een van de belangrijkste vragen die wij krijgen is of er inzage
is geweest in de medische gegevens van de betreffende patiënt. Dit
zijn wij nu nog aan het onderzoeken. Ons Elektronische Patiënten
Dossier (EPD) loopt niet via het publieke internet, maar we kunnen
nog niet volledig uitsluiten dat EPD-gegevens tijdens de inbraak
via het netwerk zijn ingezien.
Vanzelfsprekend spannen wij ons op dit moment tot het uiterste in
om uit te zoeken of en zo ja welke gegevens van patiënten zijn
ingezien in die twee uur dat de inbreker in de nacht van zaterdag
op zondag actief aanwezig was op ons systeem.
Nadat we gisteren als eerste de externe toegang tot onze
digitale systemen volledig hebben afgesloten, hebben we nog enkele
maatregelen genomen.
Alle systeembeheerwachtwoorden worden gewijzigd en complexer
gemaakt. Woensdag zullen we kunnen controleren of dit aangescherpte
wachtwoordbeleid ook op alle systemen correct is doorgevoerd. Rond
deze tijd verwachten we dat het systeem ook weer grotendeels extern
toegankelijk zal kunnen zijn. Bijvoorbeeld voor het maken van
online afspraken.
Tot slot kijken wij samen met Fox-IT voortdurend naar verdachte
bewegingen van buitenaf op ons internet.
Maandag 8 oktober, 13.00 uur:
Vanzelfsprekend hebben wij vanmorgen vroeg als eerste zoveel
mogelijk onze medewerkers op de hoogte gebracht van de situatie en
de maatregelen die wij genomen hebben. Het zorgproces, de primaire
taak van ons ziekenhuis, kan onbelemmerd doorgang vinden.
Baliemedewerkers en de receptie zijn beschikbaar voor vragen van
patiënten en bezoekers. We begrijpen dat er onzekerheid bestaat
onder onze patiënten en oud-patiënten. Voor de meest gestelde
vragen staan de antwoorden op onze website.
Een van de belangrijkste vragen die wij krijgen is of er inzage
is geweest in de medische gegevens van de betreffende patiënt. Dit
zijn wij nu nog aan het onderzoeken. We weten echter wel zeker dat
ons Elektronische Patiënten Dossier (EPD) op geen enkel moment
toegankelijk is geweest. Dit loopt namelijk niet via het publieke
internet.
Vanzelfsprekend spannen wij ons op dit moment tot het uiterste
in om uit te zoeken of en zo ja welke gegevens van patiënten zijn
ingezien in die twee uur dat de inbreker in de nacht van zaterdag
op zondag actief aanwezig was op ons systeem.
Nadat we gisteren als eerste de externe toegang tot onze
digitale systemen volledig hebben afgesloten, hebben we nog enkele
maatregelen genomen.
Alle systeembeheerwachtwoorden worden gewijzigd en complexer
gemaakt. Woensdag zullen we kunnen controleren of dit aangescherpte
wachtwoordbeleid ook op alle systemen correct is doorgevoerd. Rond
deze tijd verwachten we dat het systeem ook weer grotendeels extern
toegankelijk zal kunnen zijn. Bijvoorbeeld voor het maken van
online afspraken.
Tot slot kijken wij samen met Fox-IT voortdurend naar verdachte
bewegingen van buitenaf op ons internet.
Zondag 7 oktober:
We zijn enorm geschrokken van deze inbraak in ons digitale
systeem. Zonder toestemming heeft iemand zich toegang verschaft tot
gegevens van ons en van onze patiënten. We vinden dit zeer
ernstig.
Het allerbelangrijkste is dat onze patiëntenzorg gewoon doorgang
kan vinden. Alle benodigde communicatie tussen arts,
verpleegkundigen en patiënten ondervindt ook geen belemmering
hiervan.
Uiteraard hebben we direct maatregelen genomen om de veiligheid
van patiëntengegevens te waarborgen. De betreffende server is
direct van het netwerk afgehaald. Om alle risico's te vermijden,
hebben we ook alle andere digitale toegangswegen naar het GHZ
netwerk afgesloten.
Op dit moment is het nog te vroeg om de volledige omvang van de
gevolgen van de inbraak op ons systeem te overzien; dit zijn we nog
aan het onderzoeken. Zoals bij ieder modern ziekenhuis staat
het onderwerp informatieveiligheid al geruime tijd zeer hoog op
onze agenda. Nadat we in 2010 door de IGZ (inspectie voor de
gezondheidzorg) de tijd hebben gekregen om een aantal verbeteringen
in onze informatiebeveiliging door te voeren, zijn wij in oktober
2011 nog met positief resultaat door het IGZ geaudit.
Samen met het gerenommeerde bedrijf Fox IT, dat gespecialiseerd
is in cyberbedreigingen, is een plan opgesteld dat momenteel wordt
ingevoerd. Omdat we zeer veel waarde hechten aan goede beveiliging,
heeft Fox IT ook een inbraaktest uitgevoerd. Deze externe
inbraakpoging is niet gelukt. Desondanks is het nu toch gelukt om
een opening in onze beveiliging te vinden. Hoe dit komt,
wordt nog onderzocht. Naar het zich laat aanzien, kunnen we niet
uitsluiten dat door een menselijke factor slordigheden in het
passwordgebruik zijn opgetreden.
We zijn onderzoeksjournalist Brenno de Winter en NU.NL dankbaar
dat het lek aan het licht is gebracht zonder dat gegevens van onze
patiënten naar buiten zijn gebracht, zodat wij meteen maatregelen
hebben kunnen nemen.
Zodra wij meer nieuws hebben, zullen wij dit via onze website
communiceren.