Persbericht Elsevier Weekblad: Nederlandse ziekenhuizen kwetsbaar voor cyberaanvallen

Nederlandse ziekenhuizen kwetsbaar voor cyberaanvallen

De digitale beveiliging van ziekenhuizen in Nederland laat te wensen over. Hierdoor zijn ziekenhuizen mogelijk kwetsbaar voor aanvallen van hackers en kunnen gevoelige patiëntgegevens op straat komen te liggen. Dit blijkt uit onderzoek van cybersecuritybedrijf Cybersprint in opdracht van Elsevier Weekblad.

Cybersprint onderzocht in totaal 7.258 websites, servers en IP-adressen van de acht academische, de tien grote en de tien kleinste ziekenhuizen. Bij alle onderzochte ziekenhuizen zijn kwetsbaarheden geconstateerd. In sommige gevallen waren die zodanig dat onmiddellijke actie was vereist. Zo was een babycam in een academisch ziekenhuis niet beveiligd, waardoor pasgeborenen van buitenaf door iedereen konden worden bekeken.

Opvallend is het enorme aantal websites dat vooral academische ziekenhuizen hanteren, gemiddeld 766 per academisch ziekenhuis. Bij één academisch ziekenhuis draaide een kwart van zijn websites op verouderde software. Van de tien grote ziekenhuizen is bij de helft verouderde software aangetroffen. ‘Verouderde software kan grote gevolgen hebben voor de veiligheid van patiëntgegevens,’ zegt Cynthia Schouten, hoofd informatiebeveiliging bij Cybersprint. ‘Kwaadwillenden kunnen dan vrij eenvoudig binnendringen. Het is een kwestie van een programmaatje downloaden en dit op een website loslaten. Een kind van elf zou dit kunnen doen,’ aldus Schouten.

De kleine ziekenhuizen scoorden beduidend beter in het onderzoek. Hier is geen verouderde software aangetroffen. Wel werden bij de helft van de websites configuratiefouten geconstateerd. Dit zijn fouten die niet direct tot een hack kunnen leiden, maar het hackers wel gemakkelijker kunnen maken om binnen te komen. Het niet instellen van een veilig wachtwoord voor een babycam is een voorbeeld van een configuratiefout die grote gevolgen kan hebben. Ook kunnen onveilige verbindingen ontstaan, waardoor gevoelige patiëntgegevens kunnen worden onderschept.

De zorg was afgelopen jaar de sector waar de meeste datalekken werden gemeld. Van de bijna 21.000 datalekken die bij de Autoriteit Persoonsgegevens zijn gemeld, kwam bijna eenderde uit de zorg. Datalekken moeten onder de Algemene verordening gegevensbescherming (AVG) bij de toezichthouder worden gemeld. Ziekenhuizen die hun beveiligingsmaatregelen niet op orde hebben, hangt een ultieme boete van 10 miljoen euro of 2 procent van hun jaaromzet boven het hoofd.

Elsevier Weekblad is een uitgave van ONE Business bv, dé toonaangevende multimediale uitgever, die met A-merken als Elsevier Weekblad, Juist en Beleggers Belangen de absolute marktleider in zijn segment is.