tankstellen markt 1-2/2014 Publikationsname / Publikationsnummer / E-Tag TT.MM.JJJJ (optional)
De netwerkbeveiliging van het Groene Hart Ziekenhuis (GHZ) is nog niet op orde. Dat concludeert het College bescherming persoonsgegevens (CBP) in zijn rapport over het netwerk. Het GHZ voldoet niet aan de eis dat grote netwerken beveiligd moeten zijn door een technische scheiding en handelt daarmee in strijd met de Wet bescherming persoonsgegevens.
Het CBP controleert de komende tijd of het ziekenhuis de overtredingen heeft beëindigd en neemt zo nodig maatregelen.
Aanleiding voor het CBP-onderzoek is een calamiteit in 2012. Toen kraakte een hacker een oude server met NAW-data van bijna een half miljoen patiënten. Het CPB concludeert in zijn onderzoek dat het netwerk van het Groene Hart kwetsbaar is om twee redenen.
End of life
Allereerst verwerkt het GHZ medische gegevens van patiënten in een netwerk waarop ook medische apparatuur is aangesloten met besturingssoftware die end of life is, bijvoorbeeld Windows 2000 en Windows XP. De beveiliging van deze software wordt niet meer geüpdatet. Bovendien is het netwerk niet verdeeld in technisch gescheiden onderdelen. Hierdoor kan een hacker of virus zich makkelijker verspreiden naar andere onderdelen van het ziekenhuisnetwerk. “Het gebruik van end of life software en het gebruik van een niet gesegmenteerd netwerk leidt zowel op zichzelf als in combinatie met elkaar tot ernstige beveiligingsrisico’s”, aldus het CBP in zijn rapport.
Vertraging
Inmiddels heeft het GHZ allerlei maatregelen getroffen. Zo wordt het netwerkverkeer continu gemonitord, is de kwetsbare apparatuur zoveel mogelijk uitgefaseerd of in een apart, extra beveiligd, segment van het netwerk geplaatst. Dit laatste zou eind oktober afgerond zijn, maar dat is niet gelukt. En daar valt het CPB over.
Het Groene Hart zegt in een reactie: “Het invoeren van het totale pakket aan maatregelen is een complex, kostbaar en langdurig proces. Om de patiëntveiligheid niet in gevaar te brengen, vindt invoering gefaseerd plaats. De belangrijkste maatregelen zijn inmiddels doorgevoerd; de huidige risico’s geminimaliseerd. Op dit moment moet nog een klein aantal werkstations naar het juiste netwerksegment worden overgebracht. Eind 2014 zal het gehele netwerk van het GHZ gesegmenteerd zijn en voldoet het GHZ aan alle eisen van het CBP.”
Meer ziekenhuizen
Het Groene Hart is niet het enige ziekenhuis dat end of life software gebruikt op apparaten die aan het netwerk verbonden zijn. De Nederlandse Vereniging van Ziekenhuizen (NVZ) laat weten dat dit in een aantal andere ziekenhuizen ook het geval is. Een woordvoerder: “Dat wil overigens niet zeggen dat in al die ziekenhuizen hetzelfde kan gebeuren als bij het Groene Hart. Ziekenhuizen zijn al lang bezig met het verbeteren van de veiligheid. We hebben in ieder geval het onderhoudscontract met Microsoft verlengd tot volgend voorjaar, op die manier hebben we de risico’s geminimaliseerd. ICT-experts wisselen steeds informatie uit om de beveiliging te verbeteren, en oude software wordt vervangen.”
Prioriteiten
De NVZ ontkent dat ICT laag op de prioriteitenlijst van ziekenhuizen staat. “Juist niet. In deze tijden van e-health en elektronische patiëntendossiers, staat ICT hoog op de agenda. Het is ook niet zo dat ziekenhuizen pas nu begonnen zijn met het minimaliseren van de risico’s. Daar zijn ze al een hele tijd mee bezig.”
Oud-directeur Dirk Jan Verbeek zei deze zomer in een afscheidsinterview over de netwerkkwestie: “De hacker heeft het ziekenhuis in ieder geval een duurzame relatie met het College bescherming persoonsgegevens bezorgd. We zijn op dit ogenblik nog altijd het best gevolgde ziekenhuis van Nederland. Wij waren de gebraden haan. Het CBP vraagt tot op vandaag van alles uit tot op microniveau.”
