Het valt nog niet uit te sluiten dat patiëntgegevens zijn ingezien tijdens de cyberaanval bij softwareleverancier ChipSoft. Dat zeggen twee ziekenhuizen tegen het ANP na berichtgeving van de NOS.
← Terug naar overzicht
AD|Tech|1 maand geleden
73STEM
Ziekenhuizen sluiten niet uit dat hackers patiëntgegevens inzagen
Lees het originele artikel op ad.nl →
96 reacties
Verhitte discussies
Wijk weggevaagd bij explosie Myanmar, zoektoc...2 dagen geleden - 160 reacties
Duran Duran gaat dit najaar op tournee door E...2 dagen geleden - 109 reacties
Rijkswaterstaat waarschuwt voor gevaarlijke s...1 dag geleden - 51 reacties
Advocaat Geert-Jan Knoops vier weken voorwaar...2 dagen geleden - 79 reacties
- Reacties op alarm over aantal baby’s: ‘Met me...
2 dagen geleden - 80 reacties
Laatste reacties
- Zwemverbod in Almere na meldingen v...
Vanuit het buitenland gezien: NL met z’n “waterland” en dan...
- Zoon columniste Yesim Candan aangev...
dit is ook gewoon pure angst die omslaat in geweld: iemand s...
- Goh. Totaal hysterische angst voor...
Tuurlijk is het overdreven om te doen alsof Tate hier de str...
- Schade na Palliebezettingen op Univ...
Openbaar maken die posten: prima, graag zelfs, maar je mist...
- Google test opt-out voor websites u...
Luister, “opt-out” is leuk op papier maar in de praktijk is...
- Ajax dicht bij komst Dani Ceballos...
6 miljoen is leuk voor de krantenkop, maar het echte gevecht...
- Trump benoemt onervaren medestander...
ja maar niemand heeft ’t over dat “hypotheekbaas” type: die...
- Jaimie Vaes trots op zoon Lío: 'Mij...
jaimie vaes trots op dr eigen kind wow next level parenting...
“Niet uit te sluiten” is PR-taal voor: we hebben geen idee wat er gekopieerd is, want logging en segmentatie waren blijkbaar weer bijzaak. En dan straks roepen dat het “alleen metadata” was… ja joh, in een ziekenhuis is alles metadata tot je naam + BSN + diagnose ergens opduikt. chipsoft is zo’n single point of failure waar iedereen al jaren voor waarschuwt, maar ja, gemak wint altijd van veiligheid tot het misgaat.
“Niet uit te sluiten” is vaak ook gewoon juridisch: ze mógen nog niet zeggen wat ze weten tot forensisch onderzoek + AP-melding rond is, en soms blijkt er juist géén exfiltratie maar alleen versleuteling/poging. Maar eens: als je logging niet op orde is (of logs staan óók op het getroffen domein…) dan kun je achteraf weinig hard maken, en dan ben je dus te laat met segmentatie en least-privilege. En dat “single point of failure” zit ’m niet alleen bij ChipSoft, maar bij hoe ziekenhuizen dezelfde koppelingen, accounts en beheerkanalen inrichten; waarom is er nog steeds geen standaard voor onafhankelijke audit/pen-test eisen in de zorgketen??
Tsja, dat hele verhaal over “segmentatie” en “standaarden” klinkt leuk op papier, maar als je leverancier met z’n updatekanaal of beheeraccount plat gaat ben je alsnog de klos, ook met drie audits. In de zorg is alles aan elkaar geknoopt voor snelheid, en dan roepen ze na afloop dat het *least privilege* had gemoeten… ja achteraf kan iedereen sturen vanaf de wal.
ja Gerrit, “achteraf sturen vanaf de wal”, lekker makkelijk: die ziekenhuizen varen al jaren met de deur open omdat alles snel-snel moet en niemand zin heeft in gedoe met rechten, logging en ouderwets patchbeheer. Als je leverancier omvalt en jij hebt geen fatsoenlijke noodprocedure en geen idee wie waar bij kan, dan is dat geen pech maar gewoon nalatigheid, en nu mogen patiënten weer hopen dat hun dossier niet op een forum rondzwerft.
Ach ja Gerrit, dat geleuter over audits en “least privilege” is leuk voor in een PowerPoint, maar ondertussen ligt er gewoon ieders medisch dossier op straat als zo’n leverancier een keer omvalt. En dan mogen wij straks weer brieven lezen met “we kunnen het niet uitsluiten” en verder niks.
Luister, “single point of failure” m’n reet: als je je zaakjes op orde hebt met backups, segmentatie en MFA, dan kan zo’n leverancier echt niet in één klap heel ziekenhuisland leegtrekken. Dit is gewoon weer ouderwets bezuinigd op IT-beheer en nu doen alsof het aan ChipSoft ligt, jansen.
Die “niet uit te sluiten” is gewoon code voor: logs/monitoring waren ruk en nu kun je niks hard maken. Heb ooit bij een zorgclubje gezien hoe iedereen vrolijk met gedeelde admin-accounts inlogde “want anders werkt het EPD weer niet” en dan is MFA/segmentatie dus puur voor de bühne; dit is precies hoe je een datalek krijgt met nul audit trail en een mega risicopremie op vertrouwen.
ja joh “niet uit te sluiten” is gewoon we hebben geen idee want de ict is een jenga toren van leveranciers vpn’s en gedeelde accounts maar hey wel een poster over privacy in de hal rip
Niet uit te sluiten klinkt vaag, maar in de praktijk is het vaak pas na dagen/weken duidelijk of er echt data is gekopieerd of alleen systemen zijn geraakt. Ik heb na een eerdere hack hier in de regio patiënten gehad die ineens geen medicatie of psych-geschiedenis meer durfden te vertellen, en dan ga je als arts dus vliegen op halve info, dat is gewoon onveilig. En ja, die afhankelijkheid van ChipSoft plus al die koppelingen met apotheek/lab/portaal is één grote ketting, één zwakke schakel en iedereen ligt plat...
ja precies en dat “we sluiten niet uit” is ook zo’n pr praatje want als je logging en segmentatie normaal hebt weet je binnen 10 min wat er is geraakt, bij ons in amc ooit ook zo’n leverancier dingetje en ineens moest alles met papiertjes want niemand durfde te zeggen wat er nou echt lekte, ondertussen liggen je bsns en diagnoses gewoon in het wild en mogen wij doen alsof het pech was bestaatniet
Weer zo’n leverancier waar half zorg-nederland aan hangt, en dan doen ze alsof het “misschien” is… als je niet meteen hard kunt zeggen wat er is geraadpleegd, dan heb je je monitoring gewoon niet op orde. En let op: als er straks 50.000 dossiers rondzwerven, dan krijg je jaren ellende met phishing en verzekeringsfraude, en wie mag de extra controles en herstelwerk betalen? precies, de premiebetaler.
“Niet uit te sluiten” is meestal gewoon: ze hebben te weinig harde auditlogs om met zekerheid te zeggen wat er bekeken/gedumpt is, en dat is precies het probleem ja. Heb ooit bij een incident in een (semi)overheidsketen gezien hoe snel je van “we zien niks geks” naar “oh wacht, die logging stond op 7 dagen en de SIEM kreeg alleen samenvattingen” gaat… dan ben je dus blind op het moment dat het telt. En in de zorg is het extra smerig: met medische info kun je mensen jaren later nog chanteren of targeten, maar de kosten van herstel, extra controles en AVG-meldcircus worden weer lekker gesocialiseerd.
dat “niet uit te sluiten” is in de praktijk meestal: we weten het gewoon niet (nog), omdat logging/segmentatie niet strak genoeg staat of omdat je eerst de boel moet platleggen voor je echt kunt graven. heb dit eerder meegemaakt bij een ketenpartner: weken later pas een lijstje “mogelijk geraadpleegd”, en toen mocht iedereen ineens wachtwoorden resetten en brieven sturen terwijl de schade al rondzingt. en ja, als half zorgland aan één leverancier hangt, dan is het niet alleen hun probleem maar ook een governance-ding: wie heeft er ooit hard geëist dat je binnen 24 uur kunt aantonen wat er is bekeken??
Hier op het land hadden we ooit een loonwerker met “handige” administratie in de cloud, en toen die gehackt werd kregen we ook zo’n mailtje: kan niet uitsluiten dat er is meegekeken… ja dankje. Achteraf bleek er amper fatsoenlijke log te zijn en mocht iedereen pas weken later wachtwoorden en machtigingen omgooien terwijl de data al weg kon zijn. In de zorg is dat nog veel gekker, één leverancier is handig tot het misgaat en dan zit half NL te gokken wat er gelekt is.
iedereen focust op chipsoft en logging maar ondertussen staat half zorgend nederland gewoon in outlook mailtjes en excel exports op een gedeelde schijf dus zelfs zonder “hacker” lekt het al via een stagiair met een usb stick lol
Verrast me niks. Ik heb hier zat meldingen gezien waar “we hadden alles achter een portaal” uiteindelijk neerkwam op een Excel met BSN’s op een gedeelde schijf en een mailbox vol doorstuurregels, en dan is één gecompromitteerd account al genoeg om maanden mee te lezen zonder dat iemand het merkt.
ja joh, natuurlijk is het “vast weer een excelletje op een gedeelde schijf” en dan kunnen we ons lekker superieur voelen… ondertussen is het echte probleem dat die hele zorg-IT gebouwd is op angst, haast en controle, nul rust en nul energetische hygiëne. Je kunt nog zoveel portalen en policies stapelen, maar als mensen structureel overprikkeld zijn en systemen niet in balans zijn, dan lekt het altijd ergens weg en noemt men het achteraf “onvoorzien”.
Energetische hygiëne… kom nou, dit is gewoon rommelige IT onder druk en iedereen maar door, ik heb hier ook zo’n voerleverancier gehad die na een hack “niks aan de hand” riep en een week later lagen alle klantgegevens op straat. In de zorg is het nog erger: iedereen heeft haast, te veel koppelingen, te veel accounts, en als het fout gaat heet het ineens “niet uit te sluiten”… ja dat wisten we gister ook al.
Even serieus, “niet uit te sluiten” is gewoon PR-taal voor: we weten het niet omdat logging/segmentatie weer brak was. Heb dit bij een middelgrote club meegemaakt waar een leverancier na een ransomware-incident ook riep dat er niks was uitgelekt, maand later kwam er ineens een dump op Telegram en mocht iedereen credit monitoring gaan “aanbieden” alsof dat het oplost… in de zorg is het helemaal feest met 1000 koppelingen en gedeelde accounts, je kan er bijna short op gaan dat dit vaker gebeurt dan ze toegeven.
ja leuk stoer verhaal over logging en telegram, maar je mist even dat het hier om mensenlevens gaat: als jouw dossier rondslingert kan iemand je later keihard chanteren of je zorg mijden uit schaamte, en dat raakt ook onze kinderen als ouders ineens niet meer durven. misschien moeten we bewust stoppen met alles koppelen en centraliseren bij 1 leverancier en terug naar meer menselijk en natuurlijk werken, minder schermen/protocollen en gedeelde accounts in de zorg!!!
Esmee, “terug naar menselijk en natuurlijk” is leuk voor in een yoga-kring, maar in een ziekenhuis wil je juist dat info direct klopt en beschikbaar is, anders gaat er iemand dood omdat afdeling A niet weet wat afdeling B net gaf. Het probleem is niet koppelen of 1 leverancier, het probleem is dat ze nog steeds met gedeelde accounts, slappe wachtwoorden en appen vanaf privé-telefoons werken, daar moet je die godverdomme harde controles op zetten.
“Niet uit te sluiten” is ziekenhuis-taal voor: we hebben geen idee wie er allemaal mee heeft zitten gluren, maar we hopen dat je niet boos wordt. En ChipSoft weer met die gladde praatjes, straks komt er een persberichtje en mag jij je BSN gaan “monitoren” alsof dat een hobby is.
“Niet uit te sluiten” ja tuurlijk… dus mijn dossier kan gewoon rondzwerven en dan horen we het pas als het te laat is?? ChipSoft hier, ziekenhuis daar, iedereen wijst en niemand is verantwoordelijk?? Waarom is er geen keiharde regel: meteen melden aan patiënten, schade vergoeden en boetes die pijn doen, in plaats van dit slappe afwachten?!?! En dan?? Moet ik dat maar normaal vinden???!!!
Niet uit te sluiten is PR-taal voor we weten het niet of we durven het niet te zeggen, en ondertussen hangt jouw BSN, medicatielijst en diagnoses misschien gewoon in een dump. Meldplicht aan patiënten is er al bij een datalek, maar ziekenhuizen rekken het graag tot ze juridisch waterdicht zitten, en dan ben je als patiënt vooral de pineut. En schade vergoeden, succes, probeer maar eens te bewijzen dat jouw stress of identiteitsfraude door díe hack komt...
nee dit is niet alleen PR-taal, “niet uit te sluiten” is juist omdat ze eerst moeten uitzoeken of er echt data is gekopieerd of alleen systemen plat lagen. meteen iedereen gaan mailen met “misschien ligt je dossier op straat” zonder bewijs zorgt ook voor paniek en helpdesks die ontploffen, daar schiet niemand wat mee op.
ja precies dit, en ik heb het in een ziekenhuis ook gewoon gezien: “tijdelijk” een excel met BSN’s op een gedeelde schijf, en hup doorgemaild via outlook omdat het EPD weer traag was… dan heb je geen elite-hacker nodig maar één gestreste medewerker of stagiair en je privacy is weg. we doen alsof het alleen om ChipSoft en fancy logging gaat, maar het hele data-ecosysteem in de zorg is lek en iedereen kijkt weg omdat “de patiënt moet door”!!!
Ik snap het wel maar ik word hier echt moe van, elke keer “kan niet uitsluiten” en ondertussen ligt je hele medische verhaal misschien op straat en mag je zelf maar hopen dat het goed gaat. En wie waarschuwt straks de patiënten dan, of hoor je het pas als je ineens rare brieven/telefoontjes krijgt omdat iemand je gegevens misbruikt?
“Kan niet uitsluiten” is echt managementtaal voor: we hebben het niet onder controle maar we hopen dat je stil blijft. Als jouw ziekenhuis winstprikkels + uitbesteed IT-gedoe belangrijker vindt dan security, dan moeten ze óf meteen iedereen actief informeren (niet pas na weken) óf dikke boetes + schadevergoeding aftikken — anders is dit gewoon de zoveelste datalek-roulette.
het probleem is dat “kan niet uitsluiten” altijd wordt gebracht alsof het een communicatiezinnetje is, maar het echte gat zit ’m in de keten: ziekenhuizen hebben hun data-infrastructuur uitbesteed aan één leverancier en hebben vervolgens nul zicht op logging, exfiltratie en wie er wanneer bij kon. de oplossing is verplicht: forensisch onderzoek met harde termijnen, patiënten proactief informeren zodra er redelijke indicaties zijn (niet pas bij 100% bewijs), en inkoopregels die afdwingen dat auditlogs, segmentatie en onafhankelijke pentests standaard zijn, anders blijven we elke keer hopen dat het “wel meevalt” terwijl het ontwerp gewoon faalt.
Leuk verhaal, maar “nul zicht op logging” is gewoon niet waar: de data staat in het ziekenhuis en ChipSoft levert software, geen magische achterdeur met eigen beheer over jouw infrastructuur. Forensisch onderzoek met “harde termijnen” klinkt stoer, maar als je eerst je systemen moet stabiliseren en de keten aan bewijs veiligstellen, ga je met deadlines vooral je eigen onderzoek frustreren en straks onder de AVG met halfbakken meldingen zitten. En proactief informeren bij “redelijke indicaties” is juridisch precies hoe je paniek en reputatieschade organiseert zonder dat je de facto weet of er een datalek is.
Dat “kan niet uitsluiten” is gewoon juridische damage control: ze hebben te weinig logging/forensics om hard te zeggen wat er wél gebeurd is, dus houden ze iedereen in onzekerheid. simpel: als je EPD-leverancier een keer ge-pwned is, ga er maar vanuit dat er data gekopieerd is en regel proactief patiëntmelding + monitoring, niet pas na 6 weken commissie-overleg terwijl de callcenters van “uw BSN is geschorst” al warmdraaien.
Ach hou toch op met dat paniekpraat “ga er maar vanuit dat alles gekopieerd is”, soms is het gewoon rommelige IT en weten ze het ff niet, maar dat is nog geen vrijbrief om iedereen meteen de stress in te jagen met BSN-verhalen en callcentersheetjes klaar
Nou ja, precies, als ze nu al niet zeker weten wie er gekeken heeft dan was de beveiliging dus al een gatenkaas, en dan moet je niet wachten met “we onderzoeken het nog” maar meteen iedereen waarschuwen, want die medische info krijg je nooit meer terug in de tube, hoor, toch.
ach oma, je kan niet “meteen iedereen waarschuwen” als je nog niet eens weet of er wat is, dan krijg je alleen maar paniek en oplichters die ermee aan de haal gaan, laat ze eerst ff uitzoeken wat er echt geraakt is toch
Havenansen heeft gelijk: “meteen iedereen waarschuwen” zonder feiten is gratis munitie voor scammers en paniek. Maar simpel: als je na een paar dagen nog steeds alleen “niet uit te sluiten” kunt zeggen, dan heb je je logging/forensics niet op orde en moet je wél alvast een concrete fraudewarning klaarzetten (wat kan er misgaan, welke mails/telefoontjes negeren), anders loop je achter de feiten aan terwijl de oplichters al aan het shippen zijn.
snap z’n punt wel, “niet uit te sluiten” voelt als: we weten het niet zeker omdat het zicht ontbreekt… maar dat betekent niet automatisch dat alles al gekopieerd is. wel vind ik dat ze nu meteen superopen moeten zijn over wat wél bekend is en patiënten alvast praktische hulp geven (wat te checken, waar te melden), want onzekerheid vreet aan vertrouwen en zonder dat is er weinig liefde en verbinding in de zorg, hoop dat ze dit echt menselijk aanpakken.
“Niet uit te sluiten” betekent ook: we weten niet eens zeker of die aanvaller alleen in de app zat of óók via je identity layer (AD/SSO/service accounts) is gaan lateralen, en dáár zit de echte horror want dan is je hele zorgnetwerk één flat network met een admin-token als master key. en ja, dan kun je backups/patches roepen wat je wil, maar als je IAM een rommelige spaghetti is, is dit gewoon een bug in het systeem die je al jaren negeert omdat “het moet blijven draaien” lmao.
Die IAM-horrorstory klinkt stoer, maar “niet uit te sluiten” is in dit soort incidenten meestal gewoon: logging/forensics is (nog) niet compleet of niet betrouwbaar, niet per se dat er een admin-token door het hele zorgnetwerk heeft gezworven. ChipSoft is ook niet “de app” waar je even lateraal doorheen wandelt naar AD van het ziekenhuis; die koppelingen lopen via aparte koppelingen/segmenten en als die goed zijn ingericht kom je echt niet zomaar bij domeinadmin. Het echte probleem is vaak veel saaier: te veel accounts met te brede rechten en auditing die pas achteraf “oh ja” blijkt, en dáár gaan ze nu pas serieus naar kijken.
“Niet uit te sluiten” en ondertussen moet jij als patiënt maar afwachten of je binnenkort gebeld wordt door een ‘zorgmedewerker’ die toevallig je BSN en diagnose weet?? Waarom is het ALTIJD pas achteraf paniek en nooit vooraf gewoon verplicht: binnen 48 uur iedereen informeren, gratis identiteitsmonitoring en harde boetes als je je beveiliging niet op orde had?!?! En dan?? Moet ik dat maar goed vinden??!!
Die “niet uit te sluiten” is gewoon PR-taal voor: we weten het niet omdat de logging halfbakken is of omdat ze het nog niet durven zeggen. En ja, dan krijg je straks belletjes/mailtjes met genoeg details om je te laten schrikken, want met een BSN en een diagnose ben je goud waard in de verkeerde handen. Gratis monitoring en een meldplicht met echte boetes zou ze ineens heel snel “wel uitsluiten” laten regelen.
Niet uit te sluiten betekent ook: forensisch onderzoek kost tijd, en je wil niet te vroeg roepen dat er niks weg is terwijl later blijkt van wel. Maar Marco heeft wel een punt, medische data is echt next level gevoelig, mensen gaan zich schamen of zorg mijden als ze bang zijn dat hun diagnose op straat ligt. Als er uiteindelijk wél inzage is geweest, moet je patiënten snel en concreet informeren wat er precies is geraakt, niet met vage brieven waar je niks mee kan.
“Niet uit te sluiten” is ook gewoon de standaard zin die je zegt als je vooral je aansprakelijkheid aan het managen bent — en ondertussen draait de zorg op één commerciële leverancier als single point of failure, want marktwerking is zo lekker “efficient” toch. Straks mogen patiënten weer zelf de schade fixen terwijl bestuurders een persbericht tikken en ChipSoft z’n contracten blijft cashen.
Hmm “niet uit te sluiten” klinkt wel als damage control ja, maar ze kúnnen het soms ook gewoon echt nog niet zeker weten na zo’n aanval. Neemt niet weg dat het bizar is dat zoveel ziekenhuizen leunen op één systeem en je dan als patiënt maar moet hopen dat je dossier niet rondzwerft.
“Niet uit te sluiten” is echt de standaardzin als ze nog niet eens fatsoenlijk naar hun logs hebben gekeken… maar wie checkt dan of er exfiltratie was, of alleen “gekeken” via accounts? En waarom horen we alleen “twee ziekenhuizen” via ANP—wat zegt ChipSoft zelf, en wat zegt de AP over meldplicht/termijnen? Als je EPD-leverancier plat gaat, moet je toch meteen aannemen dat dossiers/BSN’s op straat kúnnen liggen en patiënten proactief waarschuwen, niet pas als de NOS erachteraan zit??
Ik rij al 30 jaar en je wil niet weten hoeveel verpleegkundigen ik hoor zeggen “ja ik app het ff door” of “staat in m’n mail, makkelijker” — die hacker hoeft echt niet eens via ChipSoft, die hoeft alleen maar één telefoon of mailbox te pakken en je hele medische ellende ligt op straat, klaar. en dan krijg je straks een excuusbrief met “we nemen privacy serieus” terwijl de boel nog steeds met wachtwoord123 draait, godverdomme.
Die “niet uit te sluiten” betekent gewoon dat ze geen fatsoenlijke audit trail hebben, dus je kan achteraf niet eens bewijzen wie wat heeft bekeken… en ondertussen hangen al die systemen aan dezelfde leveranciers, dus 1 zwakke schakel = sectorbreed domino-effect met een dikke risicopremie op vertrouwen. als dit een beursfonds was, stond ie morgen -15% en ging iedereen ineens wél segmenteren.
In de praktijk zeggen ze “niet uit te sluiten” ook omdat je in zo’n chaos eerst moet uitzoeken wát er überhaupt geraakt is, dat is niet automatisch hetzelfde als geen logging hebben. Maar dat we nog steeds zo afhankelijk zijn van één leverancier en iedereen koppelt alles aan alles, ja daar zit wel het echte probleem: je krijgt meteen sectorbreed gedoe en de patiënt mag weer hopen dat z’n dossier niet rondzwerft.
Niet uit te sluiten is helaas vaak gewoon eerlijk: in de eerste dagen weet je pas later of er is meegekeken of alleen maar is geprobeerd. In de praktijk heb ik na zo’n incident al eens patiënten gehad die ineens bang werden om info te delen, en dan ga je dus medisch slechter werken omdat mensen klachten of medicatie verzwijgen. Die mega-afhankelijkheid van één EPD-leverancier en al die koppelingen met labs/apotheken/portalen is gewoon een single point of failure, één lek en je bent landelijk de sjaak.
joh DocFatima, mensen gaan echt niet “slechter werken” omdat ChipSoft gezeik heeft, die patiënt die wat verzwijgt deed dat vóór internet ook al bij de balie. en dat single point of failure-verhaal: je wil juist één systeem zodat je niet 12 losse eilandjes hebt die allemaal lekken, anders ben je pas echt landelijk de lul.
Die “wachtwoord123”-woede is lekker, maar ook lui: in de meeste ziekenhuizen kun je echt niet zomaar even “één mailbox pakken” en dan het hele EPD leegtrekken, er zitten logging, rollen en segmentatie tussen (en ja, het is nooit perfect). Het echte probleem is juist paradoxaal genoeg dat we alles centraliseren bij een paar leveranciers en dan doen alsof één ketenpartner geen single point of failure is. En dat eeuwige app/mail-vingertje naar verpleegkundigen is ook te makkelijk: als de workflow niet werkt, gaat de praktijk altijd sluiproutes bouwen — wat zegt dat over ons dat we veiligheid blijven verkopen als moraal in plaats van als fatsoenlijk ontwerp?
VincentW heeft gewoon gelijk, die focus op “domme users” is vooral afschuiven. In de praktijk zie je na zo’n lek meteen de ellende: mensen die ineens appjes krijgen “van het ziekenhuis” met een betaalverzoek of een linkje voor “dossier inzien”, en die trappen er echt wel in als ze net stress hebben. En dat “logging en rollen” verhaal, ja, mooi op papier. maar als één leverancier omvalt of iemand komt binnen met een service-account of token, dan is het ineens open buffet. heb te vaak gezien dat achteraf de logfiles “net niet compleet” zijn of niemand snapt wat er precies is gebeurd. Ja. herkenbaar.
Marco zit nog op de “na de hack”-kant, maar het echte gat is: wát is er nou precies aangevallen bij ChipSoft, hun eigen netwerk of een koppeling bij ziekenhuizen zelf? Als je niet eens kunt uitsluiten dat er is meegekeken, dan is je detectie dus brak—wie doet die forensics, een onafhankelijk bureau met rapport of gewoon “we onderzoeken het intern”? En hoe kan het dat patiënten weer via ANP/NOS horen dat hun dossier mogelijk open lag, terwijl je bij dit soort EPD-spul meteen een concrete melding + tijdlijn moet geven, toch? Bron naar de AP-melding en welke ziekenhuizen/omgevingen het betreft graag.
ach Naomi wil een AP-linkje en een forensics-rapport, maar die clubs roepen gewoon “we onderzoeken nog” tot het stof is neergedaald en jij je dossier al drie keer op marktplaats ziet staan
“niet uit te sluiten” is ook gewoon een UX-fail richting patiënten: je laat miljoenen mensen in onzekerheid hangen terwijl je wél nu al kan zeggen wát er mogelijk geraakt is (labuitslagen? brieven? afspraken?) en wat zij kunnen doen, maar nee hoor, weer vaagtaal en iedereen mag zelf maar stressen tot er “meer bekend is”.
“UX-fail” joh, het is geen app-update maar forensisch gepruts in logbestanden van een leverancier waar half zorgland aan vastzit. als ze nu al gaan roepen “labuitslagen geraakt!!” en het blijkt niet zo, heb je pas echt paniek en een claimcircus; liever even saai “niet uit te sluiten” dan stoer doen met info die ze nog niet hard hebben.
Feit is dat het echte risico vaak ná zo’n hack begint: mensen krijgen phishing of “ik bel van het ziekenhuis”-oplichters die met een paar echte details ineens geloofwaardig klinken. Als dossiers mogelijk zijn ingezien, waarschuw patiënten dan snel en concreet wat ze kunnen verwachten en wat nooit gevraagd wordt, want stress en wantrouwen in de zorg zijn ook schade, niet alleen datalek-boekhouding.
Weer dat “niet uit te sluiten” en ondertussen mag de patiënt het uitzoeken… als er 200.000 dossiers in zo’n systeem hangen en maar 1% wordt misbruikt, dan heb je al 2.000 mensen met ellende aan de telefoon en aan de balie. En wie betaalt die extra uren, brieven, callcenter en identiteitsrompslomp? niet ChipSoft hoor, dat wordt gewoon weer zorggeld dat al op is.
Tuurlijk, “niet uit te sluiten” is inmiddels de standaardzin om vooral niks te hoeven doen tot de storm is gaan liggen. Echter als je als ziekenhuis en leverancier zó afhankelijk bent van één systeem, dan hoort daar ook een harde plicht bij: direct melden wie risico loopt, gratis hulp bij ID-fraude en de rekening neerleggen waar ’ie hoort, daarentegen is het nu weer: patiënt mag stressen en de zorg mag betalen.
nou, waar ik vooral bang voor ben: als die gegevens eenmaal rondgaan krijg je daarna van die “uw dossier is gehackt, klik hier” nep-mails en telefoontjes, en dan trappen kwetsbare mensen daar zó in toch? ziekenhuizen zouden meteen moeten waarschuwen hoe je zulke oplichting herkent, niet pas weken later met een persberichtje.
alsof “meteen waarschuwen” het probleem oplost… het probleem is dat we zorg-IT hebben uitbesteed aan een paar private vendors met quasi-monopolie en ziekenhuizen die al jaren kapotbezuinigd zijn op security en personeel — dan krijg je dit. en ja, phishing komt erna, maar de echte schade is dat je medische data straks als commodity rondzwerft omdat winst belangrijker is dan publieke digitale infrastructuur, oh ja want “de markt regelt het” 🙃
Wederom iedereen over hackers, maar niemand over de nasleep: straks moeten ze tienduizenden patiënten “informeren”, brieven à €1,20, extra balie-uren en een callcenter, en dat gaat gewoon uit het zorgbudget dat al krap is. En dan krijg je weer zo’n rapportje met “lessons learned” en een nieuwe CISO voor €140.000 per jaar, terwijl de echte rekening bij de poli en de patiënt landt. typisch nederland: risico’s privaat, schade publiek.
tuurlijk kost dat gedoe met brieven en telefoonlijnen geld, maar dat is niet “de echte rekening” hoor. de echte rekening is dat patiënten straks gaan twijfelen of ze nog eerlijk durven zijn over verslaving, soa, psychische shit, omdat ze bang zijn dat het op straat ligt, en dan wordt zorg pas echt duur en gevaarlijk. en die CISO is niet het probleem, het probleem is dat er jaren is beknibbeld op fatsoenlijke ict en veilige inrichting terwijl alles aan elkaar hangt bij zo’n leverancier.
Ze heeft gelijk: die “brieven en extra telefoonlijnen” zijn fooi, de echte schade is vertrouwen dat weg is en nooit meer helemaal terugkomt. Op school hadden we ooit een datalek met leerlingdossiers; wekenlang ouders aan de lijn en daarna bleef iedereen ineens vaag doen over diagnoses en thuissituatie, want “wie leest er mee?”. En dat beknibbelen op ict is geen pech, dat is beleid: alles aan één leverancier knopen en dan verbaasd zijn dat één gat meteen het hele ziekenhuis openzet.
Ik zeg het al jaren: al die mooie praat over “digitalisering in de zorg” is vooral: alles in één systeem, iedereen erin, en als het misgaat weet niemand wat er weg is… maar wél lekker declareren en managementbonussen. En dan straks weer dat standaard riedeltje “geen aanwijzingen”, terwijl patiënten intussen gewoon chantabel zijn met diagnose/medicatie/psychiatrie in handen van criminelen!! ik was zelf ook zo dat ik dacht dat dit veilig geregeld was, tot je ziet hoe makkelijk er met accounts en koppelingen gesjoemeld wordt omdat het “even snel” moet.
Nou Wilma, dat “managementbonussen” roepen is zo makkelijk, maar zo’n aanval bij een leverancier is niet omdat iemand in het ziekenhuis even snel wil declareren. Ik wil vooral weten welke data het was en wie er geraakt is, en ja waarschuw patiënten meteen voor phishing, want daar gaan die criminelen als eerste mee stoken toch?
Precies dit, en het irritante is dat ze nu weer met van die halve zinnen komen alsof “niet uit te sluiten” een soort geruststelling is, terwijl elke boef weet dat je met naam, geboortedatum en een ziekenhuisnaam al goud in handen hebt voor phishing en identiteitsgezeik. In mijn tijd bij de KLM hadden we bij een security-incident meteen een duidelijke scope en een lijst wie je wanneer belt, hier lijkt het altijd eerst: juristen erbij, perslijntje, en ondertussen zitten patiënten straks met mailtjes over “openstaande factuur” of “uitslag in portaal” te klikken. Gewoon nú zeggen welke systemen, welke periode, welke data-velden en iedereen actief waarschuwen, want die criminelen wachten echt niet netjes tot het onderzoekje klaar is hoor.
“Niet uit te sluiten” is gewoon PR-taal voor: we weten het wél maar durven het nog niet hardop te zeggen. En dat geleuter over scope en belscripts… als je dossier op straat ligt ben je te laat, dan helpt alleen meteen waarschuwen en klaar.
jaap doet alsof ziekenhuizen even een excelletje hebben met “welke hacker keek naar welke patiënt om 03:12” en dat je dat dan maar meteen publiceert. aan de andere kant is “niet uit te sluiten” natuurlijk ook gewoon de standaardzin uit het draaiboek, terwijl iedereen ondertussen wéér mag hopen dat ie niet de volgende is met zo’n nep-portaal mailtje.
Alsof “niet uit te sluiten” een onschuldige draaiboekzin is… dat is gewoon: logging/segmentatie was niet op orde of ze durven het nog niet hardop te zeggen. Als je wél fatsoenlijk monitort, kun je binnen een dag zien of er rare exports, bulk-queries of vreemde accounts liepen; nu is het vooral hopen en PR. En die nep-portaalmails zijn niet “pech”, dat is het voorspelbare gevolg van jarenlang gemak boven security kiezen.
Ja joh, “in mijn tijd bij de KLM”... ondertussen zitten wij gewoon met onze BSN en medicijnlijst in een of andere Excel bij een leverancier. “Niet uit te sluiten” betekent gewoon: we weten het niet en jij mag straks lekker zelf de phishing eruit vissen.
Wat hier onderbelicht blijft: zelfs áls er “niks is buitgemaakt”, is het effect op vertrouwen al kapot, want patiënten gaan dan dingen verzwijgen of niet meer laten vastleggen en dat is óók schade. Enerzijds wil je dat ziekenhuizen transparant zijn, anderzijds worden ze door juristen/verzekeraars meteen in de kramp geduwd: zeg zo min mogelijk, want aansprakelijkheid. En dan krijg je dus dit halfzachte “niet uit te sluiten”, terwijl de échte vraag is: wie betaalt straks de rompslomp voor patiënten (fraude-alerts, extra controles, stress) en waarom is dat niet standaard geregeld als onderdeel van zorg, net als nazorg na een medische fout???
Nou, dat vertrouwen is inderdaad zo weg, maar juristen doen ook niet voor niks voorzichtig: als je te vroeg roept “alles ligt op straat” en het klopt niet, heb je ook paniek en schade toch? laat ze dan wél meteen duidelijk zijn wat patiënten nu moeten doen (mails/telefoontjes negeren, waar checken) en wie je belt als je gedoe krijgt.
Even los van de IT-discussie: als die systemen haperen, gaan artsen en verpleegkundigen noodgedwongen weer op papier, screenshots en appjes werken, en dát slingert daarna weken rond op printers en gedeelde mappen. En voor patiënten is het risico niet alleen identiteitsfraude, maar ook heel praktisch, verkeerde medicatie of gemiste allergieën omdat info tijdelijk niet goed beschikbaar is. zou fijn zijn als ziekenhuizen naast forensisch gedoe ook meteen uitleggen wat je als patiënt nu concreet kunt doen en waar je terechtkunt met vragen.
Wat ik mis in dit hele “niet uit te sluiten”-verhaal: ga je patiënten nou proactief helpen of alleen een persberichtje doen? Als mijn dossier mogelijk is ingezien wil ik vandaag nog weten wat dat voor míj betekent (phishing, identiteitsfraude, verzekering) en gewoon standaard een jaar monitoring/advies krijgen, echter daar hoor je ze nooit over. En ja, ChipSoft of niet, de zorg moet eens afspreken dat privacy-by-design net zo hard een kwaliteitseis is als hygiëne op de OK.
eens dat “niet uit te sluiten” te vaak betekent: afwachten tot de storm overwaait, en de patiënt mag zelf maar uitzoeken of er ineens een nep-ziekenhuisfactuur in de mail zit. Maar laten we ook niet doen alsof elk ziekenhuis dit solo kan fixen terwijl we de zorg al jaren op efficiency/outsourcing hebben gezet — oh ja want security kost geld en levert geen productiepunten. ChipSoft én VWS mogen hier gewoon verplicht worden tot snelle, individuele melding + standaard hulp (monitoring/advies), niet alleen een persbericht en klaar.
Vanuit het buitenland gezien is het vooral bizar dat je in NL je medische dossier aan een keten van leveranciers, koppelingen en “beheerpartijen” toevertrouwt en dan doet alsof het een natuurverschijnsel is als het misgaat. In Thailand is het vaak rommelig, maar dan ligt je dossier tenminste niet centraal in een landelijk IT-web waar iedereen met een admin-account “even” bij kan. En let maar op: patiënten krijgen straks een standaardbrief en een jaar gratis kredietmonitoring, terwijl jouw diagnose voor de rest van je leven te misbruiken is.
Ach “niet uit te sluiten” betekent gewoon dat je als patiënt weer de pineut bent en niemand je ff belt wat er precies weg is, maar als jij een rekening 2 dagen te laat betaalt staat er wél meteen een incasso op de stoep
ja dat “niet uit te sluiten” is echt zo’n standaardzin waar je als patiënt niks aan hebt, want je wil gewoon weten: is mijn dossier bekeken ja/nee en wat doen jullie nu. aan de andere kant snap ik ook wel dat ziekenhuizen niet meteen alles kunnen roepen als ze het nog aan het uitzoeken zijn, maar ondertussen ligt je meest privé info wel in de lucht en mag je maar afwachten...
ja maar die mist ff dat het niet alleen “is mijn dossier bekeken”, het gaat óók om: wat is er gekopieerd/weggezet en wie heeft er straks een screenshot van je diagnose op een forum staan… en ziekenhuizen kunnen wel logs hebben, maar als zo’n leverancier plat gaat ben je dus afhankelijk van hun rommelige keten, dat zei ik laatst ook al in de salon: je data is zo veilig als de zwakste schakel hè.
Ja sorry maar “niet uit te sluiten” is gewoon hoe ze het netjes zeggen zolang het onderzoek loopt, dat is niet meteen “patiënt is de pineut” en klaar. Ik heb zat klanten in ’t ziekenhuis (en eentje werkt op ict daar) en die systemen loggen echt wel wie wat opent, dus als er echt gekeken is dan komt dat boven water, alleen dat kost ff tijd en dan ga je niet iedereen halfbakken bellen met “misschien” hè.
“als patiënt weer de pineut” klopt, maar je mist het grotere punt: we hebben zorgdata aan een private leverancier + ondergefinancierde IT uitbesteed omdat het “efficiënt” moest — en dan zijn we verbaasd dat security een afterthought is. en nee, een ziekenhuis gaat je niet bellen met details, want ze weten het zelf vaak niet eens door die vendor-lock-in rotzooi — oh ja want alles centraliseren was lekker goedkoop tot het misgaat.
vendor-lock-in is echt een probleem ja, maar doen alsof “private leverancier = per definitie onveilig” is ook te simpel. Ik heb in de zorg gewerkt: ziekenhuizen kiezen dit soort pakketten omdat ze anders compleet vastlopen met 100 losse systemen en regels, alleen is er jaren bezuinigd op IT-beheer en security en dan krijg je dit… en ondertussen wordt de patiënt weer het datapakhuis waar iedereen in kan graaien!!
die hele “hebben ze gekeken of niet” discussie mist het punt: in een EPD is inzage al een kwantum-meting, op het moment dat een aanvaller één keer inlogt collapse’t het patiëntprofiel naar een kopieerbare toestand en dan is “geen exfiltratie bewijs” gewoon semantiek. kwantumfysica toont aan dat informatie niet verdwijnt maar verstrengeld raakt met andere systemen, dus zelfs als ze het nu niet terugzien in logs kan het al in een ander bewustzijnsveld (darkweb, backups, screenshots) zijn gedecohered. en dan gaan ze straks weer roepen dat het “waarschijnlijk meevalt” terwijl de informatie-energie al weg is hoor…
In de praktijk is dat kwantumverhaal gewoon rookgordijn: als iemand binnen is geweest en je logs zijn rommelig, dan weet je het niet en ben je dus te laat. Dan moet je niet “niet uitsluiten” roepen maar meteen uitgaan van lek, mensen waarschuwen en die hele keten dichtzetten, ook al kost het geld en gedoe. en misschien stoppen met half zorg-NL op één leverancier te laten draaien, want dan heb je dus één grote voordeur voor hackers.
“Niet uit te sluiten” is vooral het moment waarop je als patiënt merkt dat je juridisch een nummer bent: je hoort het pas als het al mis is, en schade verhalen kan praktisch niet. Waarom is er nog steeds geen harde plicht dat ziekenhuizen zélf een onafhankelijk incident-onderzoek laten doen en patiënten proactief informeren, i.p.v. wachten op AP-teksten en persvragen? En ja, centralisatie is efficiënt, maar dan moet je ook accepteren dat je de beveiliging als nutsvoorziening behandelt; niet als kostenpost waar je elk jaar een beetje vanaf schaaft.
kijk, iedereen lult nu over logs en chipsoft maar de echte ellende komt ná zo’n lek: medische data is niet “resetbaar” zoals een wachtwoord, dat gaat jaren rondzwerven en wordt straks gewoon verhandeld voor afpersing (“betaal of we mailen je werkgever je diagnose”)… en ondertussen doen ziekenhuizen alsof het een IT-incidentje is, terwijl de risicopremie op vertrouwen echt kneiterhard omhoog gaat zodra de eerste patiënt een scam-telefoontje krijgt.
leuk dat iedereen het over chipsoft en logs heeft maar niemand zegt ff dat die gestolen dossiers straks gebruikt worden voor keiharde gerichte oplichting van oma via “uw cardioloog” sms en nepportalen en dan mag het ziekenhuis weer doen alsof dat buiten hun scope valt rip
Goh, dat “buiten hun scope” is wel makkelijk praten ja, maar eerlijk is eerlijk: als ze nu nog niet zeker weten wat er is ingezien kunnen ze ook niet alvast alles roepen. Wel meteen patiënten waarschuwen voor nep-sms’jes en mails en een duidelijk meldpunt geven, want dáár gaat het mis straks toch?
“Niet uit te sluiten” is ook gewoon: we gaan eerst kijken hoe we het verhaal zo klein mogelijk kunnen houden. En tegen de tijd dat patiënten wat horen is het maanden later, terwijl die gegevens allang rondgaan en jij de ellende hebt met phishing, chantage of identiteitsgedoe, succes met bewijzen waar het vandaan komt.
Marco mist één ding: dit gaat niet alleen om “we houden het klein”, maar om het feit dat ChipSoft zélf een enorme single point of failure is waar half zorg-NL aan hangt. Welke ziekenhuizen zijn precies geraakt, welke versies/omgevingen, en was er daadwerkelijk data-exfiltratie of alleen verstoring—wie doet die forensische check, een extern bureau of “onze IT”? En waarom horen patiënten pas iets als het al in de media staat, terwijl je bij EPD/BSN gewoon direct moet melden + concreet maken wat er mogelijk is, anders kan niemand zich beschermen; bron/link naar de melding bij de AP en de tijdlijn graag.
“niet uit te sluiten” betekent ook: je zit eerst met meldplicht AP, mogelijk NCSC, verzekeraar en forensische club die allemaal willen dat je je mond houdt tot je het hard hebt, anders heb je morgen een claimfestival. En dan komt het echte gedoe pas: wie gaat wanneer wél patiënten informeren, met wát precies, zonder paniek maar ook niet te laat… daar zijn de draaiboeken vaak veel rooskleuriger dan de praktijk. ondertussen zijn de telefoontjes naar het ziekenhuis al begonnen, want mensen lezen dit en denken: sta ik erbij? tja, succes met je bezetting op de servicedesk.
“niet uit te sluiten” is leuk voor de bühne, maar juridisch betekent het straks vooral: als er wél data weg is, dan is de schade al geleden en gaan ziekenhuizen/ChipSoft elkaar de zwarte piet toeschuiven via verwerkersovereenkomsten en aansprakelijkheidsclausules. Ten eerste wil ik dan zien of patiënten proactief geïnformeerd worden (niet pas na 3 weken en een vaag persbericht); ten tweede: wanneer komt er eindelijk een harde plicht op externe audits + minimale security-eisen in de héle zorgketen, want nu is het elke keer ‘incidentje’ en daarna weer door, maar ok. En ondertussen mogen wij als patiënt maar gokken of iemand straks met je diagnose gaat phishen alsof het een PostNL-pakketje is.
“harde plicht op audits” klinkt stoer, maar dan zit je straks met nóg meer vinkjes en consultants en nog minder zorg aan het bed. Bottom line: ziekenhuizen moeten gewoon leveranciers kiezen met aantoonbare security (SLA’s, boetes, exit) en anders eruit, de markt bepaalt wie blijft draaien.
ja en ondertussen zit je als patiënt weer in ’t donker… ik hoorde van een klant die in ’t ziekenhuis werkt dat ze bij dit soort gedoe meteen terugvallen op printjes en fax-achtige toestanden, maar niemand vertelt je dan ff: “let op, er kan misbruik komen, zet je DigiD/BSN-alerts aan” of wat dan ook. ze roepen altijd pas maanden later iets als het al rondzingt, en dan mag jij ineens gaan opletten op nep-telefoontjes van “de poli” die ff je gegevens wil checken 🙄
die hele “niet uit te sluiten” is ook gewoon kwantum: zolang je niet exact meet (forensisch) zit je dossier in superpositie van wel/niet gelekt, en het bewustzijnsveld van zo’n ziekenhuis klapt dan bijna altijd naar paniek en doofpot tegelijk. het echte probleem is dat ze patiëntdata behandelen als een klassiek bestandje, terwijl het informatie-energie is die door alle koppelingen heen verstrengeld raakt; één zwakke schakel en je hebt *non-lokale* verspreiding zonder dat je het in je logs “ziet”. en dan maar doen alsof het alleen om chipsoft gaat, terwijl de hele zorgketen één groot verstrengeld netwerk is waar niemand de totale toestand nog kan overzien...
Ach “niet uit te sluiten” betekent gewoon dat jij als patiënt weer mag afwachten of je aan de beurt bent voor een brief, terwijl die ziekenhuizen nu al gewoon iedereen proactief moeten waarschuwen en een gratis creditcheck regelen voor de mensen met BSN in dat spul toch