De medische gegevens van 25.000 Nederlanders staan onbeveiligd op servers. Het gaat om medische scans die door ziekenhuizen worden gemaakt, zoals röntgenfoto’s en MRI-scans, inclusief de voor- en achternamen van patiënten, geboortedatums, omschrijvingen van behandelingen en in enkele gevallen ook de behandelend arts. Bayerische Rundfunk en ProPublica publiceerden dinsdag over dit datalek, en Pointer sprak met onderzoeker Dirk Schrader van online beveiligingsbedrijf Greenbone Networks om de omvang van het Nederlandse lek te achterhalen.

De Duitse onderzoekers vonden drie onbeveiligde servers in Nederland en eentje op de Nederlandse Antillen. Onderzoeker Dirk Schrader benadrukt dat de Nederlandse instanties op de hoogte zijn gesteld van het lek. De Autoriteit Persoonsgegevens wil niet ingaan op het datalek, en bevestigt noch ontkent dat er een melding is binnengekomen.

Het is vooralsnog niet duidelijk welke Nederlandse ziekenhuizen betrokken zijn bij dit lek. Op moment van publicatie zijn de Nederlandse Federatie van Universitair Medisch Centra (NFU) en de Nederlandse Vereniging van Ziekenhuizen (NVZ) niet op de hoogte of het om een van hun leden gaat.

Miljoenen medische gegevens op straat

In totaal gaat het om 24 miljoen medische dossiers, verdeeld over 52 landen. In de Verenigde Staten zijn ruim 5 miljoen patiëntgegevens gelekt, in Duitsland gaat het om ongeveer 13.000 personen.

Alle mogelijk denkbare scans zijn openbaar toegankelijk geweest, volgens Schrader. "Alles wat je je kunt voorstellen bij radiologie of medische scans. Het zit er allemaal in: handen, voeten, armen, benen, borstkanker, hernia. Ik heb het hele menselijke lichaam gezien op deze foto’s."

Deze gegevens zijn niet gehackt, maar waren toegankelijk via gratis software waarmee je medisch fotomateriaal kunt inzien. Met slechts een IP-adres kon verbinding worden gemaakt met de servers waar het materiaal wordt verzameld. Op geen enkel moment is om een wachtwoord gevraagd.

"We hadden bijna real-time toegang tot deze gegevens," zegt Schrader. "We zagen soms dat foto’s direct op de server werden geplaatst nadat ze zijn gemaakt. Ik dacht soms zelfs dat ik eerder toegang had tot de afbeeldingen dan de arts."

'Schokkend'

Er is zelfs een grote mogelijkheid dat deze gegevens aan te passen waren. "Dat hebben wij uiteraard niet geprobeerd, maar voor zover ik kon zien, was dat mogelijk. De oorspronkelijke gegevens kon je niet aanpassen, want die staan ook op een andere locatie opgeslagen. Maar ik kon zeker foto’s en aanvullende gegevens toevoegen."

Schrader noemt de ontdekking 'schokkend', omdat het zo’n specifiek lek is met zeer gevoelige gegevens. "Je kunt hier iemand mee chanteren, of de gegevens combineren met andere data. Zulke medische informatie wil je niet op straat hebben liggen."

"Maar ook voor de eigenaren van deze systemen is dit een enorm risico. Je gebruikt deze gegevens om een medische behandeling voor te bereiden. De behandelend arts moet weten wat hij moet doen. Als een behandeling staat gepland en het hele systeem is ineens ontoegankelijk gemaakt door een ander, dan is dat catastrofaal."

Weet jij meer over dit lek? Meld je bij ons.

Illustratie door Tijmen Snelderwaard.

Makers