Zorgverzekeraar in VS is zes hard discs met 950.000 medische dossiers kwijt

detective-309445_640

Op de website van The Register, een internationaal online-magazine over techniek (voornamelijk ICT), staat heden een zeer schokkend bericht. Zes harde schijven met medische dossiers van bijna een miljoen mensen zijn zoek bij zorgverzekeraar Centene in de Verenigde Staten. Men was een data-project aan het uitvoeren met laboratoriumgegevens om de resultaten van de zorg te verbeteren( volgens het zorgverzekeraar). Het gaat om gegevens van 2009 tot 2015. De gegevens bestaan uit naam, adres, geboortedatum, sociaal verzekeringsnummer, verzekeringsnummer EN medische data. Centene geeft aan dat de zes (mobiele) harde schijven zoek bleken bij inventarisatie, waarschijnlijk in het kader van een audit. Dat wekt de suggestie dat er niet meer mee gewerkt werd, maar de gegevens komen mede uit 2015, dus zal analyse van de data nog niet afgesloten zijn.

PR

Het is altijd zeer leerzaam te kijken hoe de CEO van een bedrijf met een dergelijk probleem zijn persverklaring heeft opgesteld. In de eerste plaats suggereert het bedrijf dat de ontbrekende harde schijven mogelijk nog ergens in het bedrijf rondhangen door te wijzen op een intensieve interne zoektocht. Men is ze kwijt, dus ze kunnen even goed buiten het bedrijf in criminele handen zijn. In de tweede plaats wordt gezegd dat men niet gelooft dat er ongepast gebruik gemaakt is van de data. Het is een veronderstelling die nergens mee te bewijzen is. Verder stelt men dat de gegevens geen financiële informatie of betaal-info bevat. Dat is niet bepaald relevant want alleen al op basis van de verloren data kan er identiteitsfraude en betaalfraude gepleegd worden. Daarnaast geeft men aan alle instanties op de hoogte te stellen van het probleem en krijgen de verzekerden een aanbod voor een korting op te verlenen zorg. Tenslotte en zeker niet in de laatste plaats staat nergens of deze data versleuteld(gecodeerd) op de harde schijven stond. Het ontbreken van informatie daarover doet het ergste vermoeden, namelijk geen versleuteling. Het persbericht bevat dus de nodige mitigerende taal.

Nieuwe goud

Al enige tijd verschijnen steeds meer berichten dat medische informatie het nieuwe goud is in handen van criminelen. Zes van de tien datalekken in de VS berusten op criminele activiteiten. Beschreven wordt dat medische data tien keer waardevoller zijn voor criminelen dan creditcards. De gegevens worden onnder andere gebruikt om medische apparatuur of medicijnen frauduleus aan te schaffen en door te verkopen. Ook kunnen met een patiënt-ID-nummer valse claims bij de zorgverzekeraar worden ingediend. Daarnaast blijken criminele hackers ook hackers overigens ook interesse te hebben in de computers van röntgen- en laboratoriumcomputers om op die manier patiëntgegevens illegaal te verkrijgen.

Digitalisering

In een analyse van datalekken in de medische sector in de VS blijkt dat wetgeving die bedoeld was om digitalisering in de zorg verplicht testellen juist averechts heeft gewerkt. Door die verplichting werden veel oude systemen, zogenaamde legacy-systems, gekoppeld aan modernere systemen. Juist die legacy-systemen hadden een onvoldoende beveiliging waardoor grotere systemen gecompromitteerd werden en datadiefstal mogelijk werd. Het geforceerd inzetten op papierloos werken in ziekenhuizen kent dus de nodige problemen. Dat is een les die ook voor Nederland geldt.

Moraal

Wat uit dit alles te leren valt is, dat zodra medische data op compacte media geschreven staan, zoals USB-sticks, mobiele harde schijven of laptops etc., deze gegevens door het formaat van de drager snel zoek kunnen raken of meegenomen kunnen worden. Zodra men toch gebruikt maakt van dit soort opslagmedia dienen de daarop staande data volledig versleuteld te zijn zodat inzage niet makkelijk mogelijk is. Ook geforceerde digitalisering zonder goede aandacht voor de koppelbaarheid van systemen is een slechte zaak. In Nederland kunnen even goed deze problemen zich voordoen.

Nog even dit. The Register bracht in eerste instantie het bericht: “Medical data went AWOL”. Amerikanen zijn gek op afkortingen met drie of vier letters, acronymen genaamd.

AWOL betekent: : “Absent Without Official Leave”

W.J. Jongejan

1 antwoord

Trackbacks & Pingbacks

  1. […] Dutch article: Zorg-ICT Zorgen, january 27 2016 – Zorgverzekeraar in VS is zes hard discs met 950.000 medische dossiers kwijt […]

Reacties zijn gesloten.