Vergroot contrast

Groene Hart Ziekenhuis werkt aan betere beveiliging na onderzoek CBP

Het Groene Hart Ziekenhuis heeft naar aanleiding van een onderzoek van het College bescherming persoonsgegevens (CBP) maatregelen getroffen om patiëntgegevens beter te beveiligen.

Het CBP constateerde tijdens het onderzoek dat het netwerk kwetsbaar was voor toegang door onbevoegden. Dit kwam omdat op het netwerk van het ziekenhuis medische apparatuur is aangesloten die draait op end of life besturingssoftware, zoals Windows 2000 en Windows XP. Deze software kan niet langer worden bijgewerkt op beveiligingstekortkomingen.

Ook was het netwerk niet verdeeld in technisch gescheiden onderdelen, waardoor bijvoorbeeld een hacker of een virus zich makkelijker had kunnen verspreiden tot andere onderdelen van het ziekenhuisnetwerk.

Het Groene Hart Ziekenhuis heeft maatregelen getroffen, onder meer door de kwetsbare apparatuur zoveel mogelijk uit te faseren of in een apart, extra beveiligd, segment van het netwerk te plaatsen. Voor een aantal apparaten is dit nog niet gebeurd. Het CBP zal de komende tijd controleren of het ziekenhuis de overtredingen heeft beëindigd en kan zo nodig handhavende maatregelen inzetten.

Kwetsbaar voor inbreuken

De Nederlandse Vereniging van Ziekenhuizen (NVZ) heeft tijdens het onderzoek laten weten dat er meer ziekenhuizen zijn die gebruik maken van end of life software op apparaten die aan het netwerk verbonden zijn.

Bij dergelijke software worden bekende beveiligingsrisico’s niet meer hersteld. Ook kunnen er onbekende beveiligingsrisico’s aanwezig zijn, omdat de software niet meer wordt gecontroleerd. Hierdoor wordt het risico vergroot dat medische persoonsgegevens op het netwerk worden gestolen, vernietigd of gewijzigd.

De NVZ heeft inmiddels aangegeven dat zij met haar leden maatregelen heeft genomen om de kwetsbaarheid van systemen te minimaliseren.

Maatregelen

Om de beveiligingsrisico’s tegen te gaan is het van belang dat ziekenhuizen die apparatuur met end of life besturingssoftware gebruiken deze zo snel mogelijk updaten of vervangen. Zolang dit niet mogelijk is, dienen de ziekenhuizen aanvullende maatregelen te treffen om de beveiligingsrisico’s zoveel mogelijk te beperken. Zij moeten bijvoorbeeld de kwetsbare apparatuur in een extra beveiligd segment van het netwerk plaatsen.

Ook moeten beveiligingsrisico’s voortdurend in kaart worden gebracht en maatregelen worden getroffen om geconstateerde kwetsbaarheden zo snel mogelijk te verhelpen. Het Groene Hart Ziekenhuis doet dit nu onder meer door het netwerkverkeer continu te monitoren.