CAREN, digitale gezondheidsomgeving, gehackt. En hoe!
Op 25 oktober 2022 maakten nieuwsmedia bekend dat een 19-jarige het zorgplatform CAREN(www.carenzorgt.nl) gehackt had. Het betreft een zorgplatform van de firma NEDAP waarop patiënten, familieleden, mantelzorgers en zorgverleners kunnen communiceren over de zorg. De hacker maakte gebruik van een kwetsbaarheid in de inlogprocedure. Dat valt op te maken uit een bericht van de directie van NEDAP. Volgens de politie heeft de hacker enkele tienduizenden dossiers buitgemaakt. NEDAP stelt zelf niet na te kunnen gaan hoeveel dossiers onrechtmatig verkregen zijn. NEDAP afficheert CAREN als een digitale gezondheidsomgeving(DGO). Tegelijkertijd is op het internet te zien dat NEDAP met CAREN een persoonlijke gezondheidsomgeving(PGO) ontwikkeld heeft met toegang op basis van MedMij-protocollen. Die regelen de toegang en daarmee de beschikbaarheid voor de patiënt van zorgdata met een hoge beveiligingsgraad. Het blijkt dat CAREN als zorgplatform(DGO) gehackt is en niet als PGO.
Eén naam, twee toepassingen
Het is nogal verwarrend dat de web-app CAREN eigenlijk twee eHealth-toepassingen representeert op basis van de toegangsvoorziening. Namelijk een portaal, waar je zorgdata op kunt inzien en uitwisselen met mantelzorgers en andere zorgverleners, en een PGO waarmee je als patiënt zorgdata naar jezelf toehaalt. Ingewikkeld is dus dat CAREN blijkbaar een hybride product is met twee toegangswegen. CAREN, het portaal is gehackt, maar CAREN als persoonlijke gezondheidsomgeving(PGO) is niet gehackt. Dat ik dat laatste in een eerdere versie van dit artikel stelde is dus niet zo. Om het helemaal ingewikkeld te maken noemt NEDAP zoals ik hierboven schreef de portaalversie een digitale gezondheidsomgeving(DGO). In publicaties op het internet(A ,B ) zie je dat er verwarrende berichtgeving is over het al dan niet PGO zijn van CAREN.
Hoe verwoordt NEDAP dit?
De commercieel directeur van NEDAP, Peter van Soolingen verwoordt het in een artikel in Medisch Contact op 28 oktober 2022 als volgt:
“CAREN is voorzien van een MedMij-label. MedMij is de organisatie die een standaard heeft ontwikkeld om veilig gegevens uit te wisselen tussen PGO-gebruikers en verschillende soorten zorgaanbieders tegelijk. Volgens Van Soolingen vond de hack plaats in het eigen systeem van CAREN, en is de MedMij-koppeling voor CAREN nog niet actief. Op dit moment werkt CAREN volgens hem momenteel alleen met een rechtstreekse koppeling tussen een CAREN-account en één of meer zorgaanbieders uit één segment (dus ggz, ouderenzorg óf gehandicaptenzorg), dus zonder MedMij-infrastructuur.”
Verwarrend
Wat het voor mijn verwarrend maakt is dat tot vrijdagochtend 28 oktober 2022 op de website van MedMij CAREN vermeld stond als PGO met een MedMij label. Daarmee de indruk wekkend dat het als PGO reeds actief was. Dat is die dag verwijderd op de MedMij-website, maar dat het er stond is terug te zien met de Waybackmachine van het Internet. CAREN staat op de MedMij website ook vermeld in de categorie van PGO’s die een MedMij label hebben maar die (nog) geen zorggegevens uitwisselen. Uit de woorden van Peter van Soolingen is ook op te maken dat CAREN als PGO nog niet actief is. Dus kan CAREN als PGO nog niet gehackt zijn. Ik heb inmiddels begrepen dat het technisch mogelijk is één webbased app twee verschijningsvormen te geven op basis van hun communicatiemogelijkheid. Dat kan dan door het back-end van het internet-product verschillend in te richten.
Gestolen dossiers
De vraag is wat voor soort dossiers het zijn die gestolen zijn. Het kunnen dossiers betreffen van huisartsen, wijkverpleging maar ook GGZ-dossiers. Dat komt omdat, volgens het Algemeen Dagblad, NEDAP ook een netwerk levert voor zorgaanbieders zoals ggz-instellingen in onder andere Rotterdam en omgeving, waarin het medisch dossier van patiënten wordt bijgehouden. Die twee modaliteiten zijn gehackt volgens het Algemeen Dagblad. .
Betreft tienduizenden dossiers
Volgens de politie zijn er tienduizenden zorgdossiers gestolen. Bij deze hack vraag je je af hoe het mogelijk is dat er via een gehackt CAREN-account zoveel dossiers gekopieerd kunnen zijn. Je zou verwachten dat het binnendringen in een account vers één is, maar dat daarna het kopiëren van zoveel zorgdossiers niet zomaar vers twee zou behoren te zijn. Immers je zou dan via dat account binnen moeten dringen bij enkele tientallen/honderdtallen zorgverleners. En dat gaat op diverse niveaus wel heel erg opvallen.
Platformdatabase met gekopieerde databases?
Veel waarschijnlijker lijkt me de mogelijkheid dat het CAREN-platform werkt met gekopieerde databases van zorgverleners. Die dan weer zeer frequent gesynchroniseerd worden met de databases bij de zorgverleners. Het is niet zomaar een verzinsel dat ik hierop kom. Ruim anderhalf jaar terug sprak ik met een huisarts in Amsterdam die sprak over een mooi initiatief om de communicatie van zorgverleners, patiënten, mantelzorgers en wijkverpleging te faciliteren. Er zat wel een “dingetje” aan vast, zei die huisarts. Dat “dingetje” betrof de constructie waarbij de database van de huisarts gekopieerd zou moeten worden naar dat zorgplatform waarna door regelmatige synchronisatie de huisarts op de hoogte zou blijven van alles wat er rondom de patiënt gebeurde. Hierop antwoordde ik dat je zoiets, hoe mooi het ook lijkt, gewoonweg niet moet willen vanwege de kwetsbaarheid. Je blijft als huisarts namelijk verantwoordelijk voor de door jou verzamelde zorgdata.
Kwetsbaar ontwerp
Bij het CAREN-zorgplatform van NEDAP kan men zich dan ook terecht afvragen of naast de zwakte in de beveiliging van het inloggen er niet sprake is van een essentiële zwakte in het ontwerp van het zorgplatform. Een ontwerpkeuze die het mogelijk maakt dat, als een hacker eenmaal binnen gedrongen is, deze in het systeem grote hoeveelheden bijzondere persoonsgegevens buit kan maken.
Lering
Heel belangrijk is dat men lering trekt uit het feit dat nu op tafel ligt. Namelijk dat het gewoon mogelijk blijkt dat via een gehakte inlogprocedure er zoveel zorgdossiers tegelijk gestolen kunnen worden. Even was ik bang dat het CAREN-zorgplatform slechts met een inlognaam en wachtwoord werkte. Dat kwam door de opmerkingen in het persbericht van NEDAP over de hack. Daarin wijst de directie erop om vooral een heel sterk, uniek, wachtwoord te kiezen en dat vaak te wijzigen. Dat wekte de indruk dat er geen sprake zou zijn van een twee-factor-authenticatie. Gelukkig las ik in een publicatie van Altrecht dat CAREN werkt met een twee-factor-authenticatie.
W.J. Jongejan, 30 oktober 2022
Afbeelding van Lshkar via Pixabay
Dit artikel is een aangepaste versie van het artikel van 27 oktober 2022. Daarin had ik ten onrechte vermeld dat CAREN als PGO was gehackt.
Recente reacties