Gehannes rond logging NEDAP-zorgplatform-hack 

gehannesOp 30 oktober en 5 november 2022 schreef ik een bijdrage over de hack van het zorgplatform CARENZORGT van de firma NEDAP. Daarbij gaf de politie aan dat de hacker op 17 oktober 2022 enkele tienduizenden dossiers buitmaakte. Na de bekendmaking in de media kwam NEDAP met een bericht waarin men aangaf dat ze technisch gezien en uit privacyoverwegingen niet konden vaststellen welke documenten er mogelijk ingezien waren. Dat leek erop te wijzen dat er blijkbaar geen uitgebreide logging bestond van activiteiten met en rond de zorgdata in de CARENZORGT-database. Op 7 november 2022 geeft NEDAP er blijk van dat men WEL weet over welke cliënten het gaat met daarbij informatie over de bestandsnamen, opmerkingsvelden en de labels van de getroffen documenten. Blijkbaar heeft er toch logging bestaan. Iets wat men aanvankelijk ontkende. Het ontbreken van logging bij een dergelijk zorgplatform zou ook heel vreemd zijn.

Logging

Logging is een geautomatiseerde registratie van gegevens, die bedoeld is om bij te houden welke gebeurtenissen/ handelingen binnen een systeem hebben plaatsgevonden. Door middel van logging in de zorg kan achteraf worden gecontroleerd of er een (goede) reden was voor een medewerker om bijv. een bepaald patiëntendossier in te zien of gegevens in het dossier te wijzigen

Mededeling NEDAP 25 oktober

De tekst van de mededeling van NEDAP over de omvang van de hack op de support-pagina zijn na de aanvankelijke bekendmaking op 25 oktober tussentijds gewijzigd. De eerste versie is met de Waybackmachine van het internet terug te zien. Daar staat:

“Welke documenten zijn er van mij of mijn naasten ingezien? 

NEDAP kan technisch gezien en uit privacy-overweging niet vaststellen welke documenten er mogelijk zijn ingezien. NEDAP weet alleen welke gebruikersaccounts van Caren  er getroffen zijn en hoeveel documenten er zijn gedownload. De informatie zal door NEDAP worden gedeeld met de zorgorganisatie(s) van de betrokken cliënten.”

Mededeling NEDAP op 7 november

De tekst op de supportpagina is zonder kennisgeving van wat er gewijzigd is op 7 november nu als volgt:

“Welke documenten zijn er van mij of mijn naasten ingezien? 

Geverifieerde privacycontactpersonen van de zorgorganisatie kunnen bij NEDAP een lijst met getroffen cliënten en informatie over de bestandsnamen, opmerkingenvelden en labels van de documenten opvragen. Daartoe moeten zij specifieke instructie geven. NEDAP deelt deze informatie met de zorgorganisatie(s) van de betrokken cliënten. Cliënten kunnen de informatie opvragen bij hun zorgorganisatie.

Logging verplicht

Vanaf 1 juli 2020 kan een patiënt een zorginstelling verzoeken om een overzicht, waarin is opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en/of heeft ingezien. Dit staat beschreven in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). De zorginstelling is verplicht om gehoor te geven aan dit verzoek. Hoe zorginstellingen invulling moeten geven aan deze verplichting, volgt uit de NEN 7513. Deze NEN 7513 geeft zorgaanbieders EN leveranciers van informatiesystemen aanwijzingen over de manier waarop logging moet worden geregeld. Zorgaanbieders die vallen onder de Wabvpz, zijn verplicht zich te houden aan de NEN 7513. Leveranciers van zorgplatforms zijn een verlengstuk van bestaande zorgICT-systemen en horen ook onder die verplichting te vallen.

Verplichting

Naar mijn overtuiging gaat het tijd worden om aan zorgICT-systemen die normen op te leggen die de State-of-the-Art beschrijven. De overheid zou kunnen gaan overwegen die eisen te verplichten, nu de het wetsontwerp Wet elektronische gegevensuitwisseling in de zorg(Wegiz) richting Eerste Kamer is gegaan. Zonder eisen aan de zendende en ontvangende partij kan niet veilig en volledig uitgewisseld worden.

Opvallend

Het was voor mij al snel duidelijk dat er ondanks de aanvankelijke ontkenning van NEDAP toch bij hen bekend zou moeten zijn hoeveel patiënten/cliënten bij de hack betrokken waren en hoeveel c.q.  welke documenten de hacker buitmaakte. Op de website Security.nl stond namelijk op 2 november 2022 een opsomming van 19 instellingen die aangaven dat dossiers van hun cliënten gehackt waren. Enkele ervan, waaronder Tragel(voor mensen met een beperking) , konden ook het aantal van gecompromitteerde dossiers aangeven. Bij Tragel ging het om rond de 160 dossiers. Die informatie moet men van NEDAP gekregen hebben.

Gehannes

Het bevreemdt als een bedrijf dat met een eigen zorgplatform opereert eerst bij een hack net doet of er geen logging bestaat waarin de activiteiten van de hacker zichtbaar moeten zijn. De eerste bekendmaking(op 25 oktober) was 8 dagen na de hack. Men had dus ruim de tijd om de logging in te zien en de gegevens ervan te delen. Om vervolgens na nog wat dagen een andere tekst op de support-pagina te zetten waaruit blijkt dat die logging wel bestaat. Mogelijk was het een paniekreactie. Anderzijds heeft men mogelijk tijd willen kopen om geleidelijk de impact van de hack bij contractanten duidelijk te maken en nadien stilletjes de tekst op de supportpagina aan te passen.

Het ware verstandiger geweest als men meteen volledig openheid van zaken gaf.

Want nu geldt weer het gezegde: “Al is de verhulling nog zo snel, de Waybackmachine achterhaalt haar wel.  ”

 

W.J. Jongejan, 8 november 2022

 Afbeelding van Gerd Altmann via Pixabay