In Amerika bestaat een instantie die bijhoudt welke medicijnen mensen krijgen voorgeschreven, het Prescription Monitoring Program. Het PMP beschikt over ruim acht miljoen medische dossiers.
En die zijn gekraakt.
Twee weken geleden verscheen een bericht van een hacker op de website van het PMP. Hij deelde mee die dik acht miljoen medische dossiers te hebben gekopieerd en had de dossiers op de site versleuteld, zodat het PMP zelf er niet meer bij kon. En hij wou losgeld: alleen als-ie tien miljoen dollar zou krijgen, was-ie van plan het PMP de sleutel te geven. Kreeg hij het geld niet, dan zou hij de bestanden verkopen aan de meest biedende, of ze desnoods openbaar maken.
Nu lijkt het een wat amateuristische hack (de dief wilde de afspraken over betaling regelen via een hotmail account, wat me een garantie lijkt om gevangen te worden), maar toch is het een bijzondere gebeurtenis: het is de eerste keer dat elektronische patiëntendossiers uit geldzucht worden gehackt en iemand de medische gegevens van miljoenen mensen in gijzeling houdt.
Meestal gaat het op minder spectaculaire wijze mis met elektronische patiëntengegevens. Wie de berichten een beetje volgt, ziet dat er bijna elke week op grote schaal medische gegevens lekken. Ze worden verloren (usb stick kwijt, laptop ergens laten liggen), en hup, daar ligt je medische dossier op straat. Of ze raken onbruikbaar of ontoegankelijk – het is al tientallen malen voorgekomen dat een ziekenhuis besmet raakte met een computervirus, en artsen niet meer bij de medische dossiers van hun patiënten konden.
Medische gegevens blijken buitengewoon slecht beveiligd. In 2005 heb ik zelf een onderzoek uitgevoerd, en binnen de kortste keren waren we binnen bij een ziekenhuis en konden we bij 1,2 miljoen patiëntengegevens. We konden ze niet alleen kopiëren en weggooien, we konden ze ook veranderen. Twee weken lang hebben we rondgestruind in de systemen van dat ziekenhuis – dat zichzelf nota bene op de borst sloeg wegens haar geweldige beveiliging – en niemand die iets in de gaten had.
Ook anderen hebben herhaaldelijk geconstateerd dat de beveiliging van elektronische medische gegevens buitengewoon slecht is. Nu vindt wellicht niet iedereen het een ramp als zulke gegevens over hem of haar naar buiten komen, maar dat anderen erbij kunnen, betekent in veel gevallen ook dat ze zulke gegevens kunnen veranderen: van willekeurige mensen de bloedgroep aanpassen bijvoorbeeld, of de dosering van medicijnen verhogen, of allergieën verwijderen.
Minister Klink weigert de risico’s van het EPD onder ogen te zien. Zelfs dat de toegangspas gekraakt is die artsen en verpleegkundigen moeten gaan gebruiken om toegang tot het EPD, vindt hij niet vreselijk zorgelijk.
Veel mensen denken daar echter anders over: een half miljoen Nederlanders heeft bezwaar aangetekend tegen het EPD. En artsen zelf vertrouwen de boel nog minder. die willen in meerderheid niet in het EPD worden opgenomen. Ze hebben tien keer zo vaak als de rest van de bevolking bezwaar ingediend: ruim dertig procent van hen wil niet dat hun eigen medische gegevens via een landelijk EPD wordt uitgewisseld, en nog eens twintig procent is van plan om bezwaar aan te tekenen.
Hun motief? ‘Omdat ik deelneem aan het opzetten van het EPD in mijn eigen ziekenhuis ken ik precies de zwakke plekken – en daar zijn er veel van,’ zei een van de geënquêteerde artsen.
Als artsen een medicijn afwijzen, moet de minister het niet zelf voorschrijven.
Twintig jaar geleden was ik voedingsassistente in een academisch ziekenhuis. Daar bleek het supersimpel om in het systeem te komen en konden we patientdossiers inzien en aanpassen. Wat dat aangaat vind ik het een slecht argument tegen het EPD. Het geeft hooguit aan dat er flink gewerkt moet worden aan beveiliging en hoe personeel met beveiliging omgaat. dat systemen gehacked kunnen worden is een behoorlijk oud probleem wat nu ook al bestaat zonder het EPD.
Het probleem is dat het nu om en veel grotere schaal gaat. Bij één ziekenhuis binnenkomen betekent dat je plots honderdduizenden dossiers kunt weggraaien. En ook: het gaat nu om buitenstaanders die binnen kunnen kkomen, wat jij bepaald niet was….
Geen heerlijker wereld dan de toekomst, waarin ik me gespecialiseerd heb in het kraken en in het hacken, en bewijs het maar.
‘^_^/’
Nu ik zoveel weet van iedereen, wat zal ik d’r nou ‘eris mee gaan doen?
Ik zou ‘t werkelijk niet weten.
@Karin: een voedingsassistente in een ziekenhuis, bepaald geen insider. Zeker niet als ze zoals wij allemaal via een uitzendburo werken. Het was absoluut niet de bedoeling dat wij welke computer dan ook in konden. Computers die overigens gewoon op de gang stonden, elke gek kon er bij.
Blijf het ook een moeilijk te bevatten argument vinden. Want eigenlijk is gewoon de beveiliging van ziekenhuizen en medische gegevens onnoemelijk slecht in het algemeen, niet zozeer alleen ivm het EPD. Zag onlangs alweer twee karren vol papieren dossiers onbeheerd op de gang staan, niemand in de buurt te bekennen, ik had alles zo mee kunnen nemen. Artsen, verplegend personeel, assistentes lopen gerust weg van hum computer terwijl ze nog ingelogd staan, alle schermen open om het makkelijk te maken. Enkele maanden geleden kreeg een radiostation het voor elkaar om willekeurig wachtwoorden los te krijgen van personeel en men blijkt vaak zelfs uit gemakszucht hele afdeling op eenzelfde simpel wachtwoordje te zetten.
Vrijwel overal heeft men tegenwoordig al een internetverbinding aan het systeem hangen, van huisarts tot ziekenhuis. Dat hacken kan allang. Maar zolang er alleen richting het EPD gekeken wordt, ziet men vele veiligheidslekken zoals de gebruiker zelf erg grof over het hoofd.
Zeer interessant. Maar wat moeten we ermee..? Ik kan bij onnoemelijk veel “geheime” gegevens. Maar wat doe ik ermee..? Daar heeft nog steeds, al die tijd, niemand een antwoord op kunnen geven. Iedereen die het wil, kan zomaar zonder meer bij ontzettend veel en ontzettend geheime gegevens. Maar waarom? En waarvoor? Het is gek dat daar nooit iemand een antwoord op geeft. Het is ook gek dat er niemand gebruik van maakt. En ook is het vreemd dat niemand er misbruik van maakt. Degene die het betreft, dus de gelaedeerde, hoeft dus niet te corrigeren. Dat is allemaal heel vreemd.
Ik heb het uiterst sterke vermoeden, dat iedereen koud water ziet branden.
Ik heb wel eens een gil gegeven.
Degene die het betrof, sprong tienduizend meter de hoogte in.
‘^_^/’
Wil iemand mij zeggen, wat ik met de uiterst geheime gegevens, waar ik zomaar bij kan, moet doen? Hartelijk dank.