Diefstal patiëntendata. Nu bij grote firma op farmaceutisch gebied

diefstalDiefstal van zorgdata bij zorginstellingen kennen we inmiddels. Op 24 mei 2024 verscheen echter op het online tech-magazine Techcrunch het bericht dat hackers bij een grote farmaceutische firma in de V.S. in februari 2024 zeer grote aantal patiëntendata buit hadden gemaakt door een hack. Op 27 februari 2024 had het bedrijf Cencora dat aan de US Securety And Exchange Committee dat gemeld. Cencora is een Amerikaanse groothandel in geneesmiddelen en een contractonderzoeksorganisatie die werd gevormd door de fusie van Bergen Brunswig en AmeriSource in 2001. De farmaceutische gigant zei dat het in eerste instantie de gegevens van patiënten had verkregen via partnerschappen met medicijnfabrikanten waarmee het samenwerkt “in verband met zijn “patiënt-ondersteuningsprogramma’s.” Dat omvat patiëntendata van de farmaceuten AbbVie, Acadia, Bayer, Novartis, Regeneron en nog andere bedrijven. Men kan nu zien dat eigenlijke alle plekken in de zorgketen waar zorgdata opgeslagen staan kwetsbaar zijn voor cyberaanvallen.

Omvang

Cencora heeft de aard van de cyberaanval nog niet beschreven. Deze begon op 21 februari 2024 en werd pas openbaar gemaakt toen het bedrijf een week later, op 27 februari, dat aan US SEC meldde.

Deze Amerikaanse farmaceutische gigant zegt dat het getroffen personen op de hoogte stelt dat hackers hun persoonlijke, zeer gevoelige, medische informatie stalen tijdens een cyberaanval.

Volgens de melding van het datalek bij de Amerikaanse staatsautoriteiten, en die TechCrunch heeft gezien, heeft Cencora tot nu toe ongeveer een half miljoen personen op de hoogte gebracht sinds ze van het datalek hoorde. Het aantal personen dat door het datalek bij Cencora wordt getroffen, kan nog veel verder oplopen. Cencora zegt op haar website dat het tot nu toe van minstens 18 miljoen patiënten zorgdata onder haar beheer heeft.

Aard van datalek

In brieven aan getroffen personen die deze week zijn verzonden, zei Cencora dat de gegevens uit de gehackte ICT-systemen de namen van patiënten, hun postadres en geboortedatum omvatten, evenals informatie over hun diagnoses en medicijnen. Hoewel Cencora niet expliciet vermeldt dat de hackers er met financiële gegevens, zoals creditcard-data, vandoor gingen, meldt ze toch op haar website:

Er is geen bewijs dat deze informatie openbaar is of zal worden gemaakt. Of, dat informatie is of zal worden misbruikt voor frauduleuze doeleinden als gevolg van dit incident. Maar we communiceren dit zodat betrokken personen de beschreven stappen kunnen ondernemen. Hoewel we geen reden hebben om aan te nemen dat uw gegevens als gevolg van dit incident voor frauduleuze doeleinden zijn gebruikt, bieden we u, om uw identiteit te helpen beschermen, gedurende 24 maanden kosteloos toegang tot de kredietbewakings- en hersteldiensten van Experian IdentityWorksSM.”

Mogelijk internationale consequenties

Zoals hierboven gemeld functioneert Cencora niet alleen als medicijngroothandel maar doet ze ook contractonderzoek voor grote farmaceutische bedrijven. Daaronder bevinden zich meerdere bedrijven die in Europa prominent actief zijn. AbbVie, Novartis en Bayer vallen daaronder. Het is maar helemaal de vraag of de hackers alleen zorgdata uit de V.S. hebben gestolen. Evengoed acht ik het mogelijk dat ook data van Europeanen gestolen zijn.

Nooit volkomen veilig

Met deze datadiefstal bij een farmaceutisch bedrijf wordt één en andermaal duidelijk dat in ICT-systemen opgeslagen zorgdata die op enige manier connectie hebben met het internet niet veilig zijn voor hackers. Cyberaanvallen op systemen van zorgaanbieders, bij zorginstellingen, bij zorgverzekeraars kennen we inmiddels. Deze datadiefstal laat zien dat ook firma’s op het gebied van geneesmiddelen niet veilig zijn. Elke centrale dataopslag kan in principe ooit onderhevig zijn aan een hack.

W.J. Jongejan, 4 juni 2024

Afbeelding van Henning via Pixabay