Bij de ransomware-aanval op Chipsoft zijn mogelijk toch patiëntgegevens van ziekenhuizen buitgemaakt. Eerder werd gesteld dat ziekenhuisdata veilig was. Die conclusie blijkt nu te vroeg getrokken. Patiëntportalen zijn nog altijd offline en forensisch onderzoek loopt.

Volgens bronnen van de NOS valt het niet langer uit te sluiten dat data toch gestolen zijn.Het gaat specifiek om ziekenhuizen die het HIX365-platform van Chipsoft gebruiken. Via dat platform bieden ziekenhuizen patiënten toegang tot hun dossiers via een speciale website. Verkeer van en naar het patiëntendossier loopt daarbij via servers van Chipsoft. De vrees is dat aanvallers dat verkeer hebben kunnen meelezen. Onder meer het Franciscus Gasthuis in Rotterdam en het Albert Schweitzer Ziekenhuis in Dordrecht maken gebruik van HIX365, samen met ruim tien andere ziekenhuizen.

Meldingen bij Autoriteit Persoonsgegevens

De betrokken ziekenhuizen zouden advies hebben gekregen een datalek te melden bij de Autoriteit Persoonsgegevens. Inmiddels heeft de privacywaakhond van meerdere instellingen een melding ontvangen. Welke instellingen dat zijn, wil de AP tegenover de NOS niet zeggen. Andere ziekenhuizen hoeven voorlopig nog geen melding te doen, al wordt de exacte impact voor hen nog onderzocht.

Eerder werd duidelijk dat huisartsenpraktijken en apotheken zwaarder zijn getroffen dan de ziekenhuizen. Aanvallers kregen toegang tot servers met data van huisartsen. Of zij daadwerkelijk gegevens hebben buitgemaakt, is nog onbekend.

Externe experts en lopend onderzoek

Eind vorige week werden maatregelen aangescherpt. Chipsoft haalde het HIX365-platform offline nadat externe securityexperts werden ingehuurd. Tegelijk kregen ziekenhuizen de opdracht om Chipsoft-beheeraccounts te verwijderen of van nieuwe wachtwoorden te voorzien. Alle cryptografische sleutels werden vervangen.

Dat de externe experts dit nodig achtten, suggereert dat aanvallers mogelijk meer data hebben verkregen dan aanvankelijk gedacht. De onderzoekers die nu forensisch onderzoek uitvoeren, zijn volgens betrokkenen relatief laat ingeschakeld. Chipsoft ontkent dat: “Ze zijn direct ingeschakeld”, aldus een woordvoerder

De patiëntportalen zijn op dit moment nog steeds offline. Patiënten kunnen daardoor hun dossier niet bekijken en inchecken in het ziekenhuis is niet mogelijk. ChipSoft beloofde zondag een informatiepagina met veelgestelde vragen, maar die is nu nog steeds niet beschikbaar.