Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

Röntgenfoto's zichtbaar via internet: 'Medische data moet je goed beveiligen'

Samenleving

Kristel van Teeffelen

Een radioloog bekijkt digitale röntgenfoto's. © anp

Onderzoeker Christiaan Beek kreeg via internet toegang tot röntgenfoto's van vele patiënten.

Hij was met zijn zwangere vrouw in het ziekenhuis voor een echo. Daar zag Christiaan Beek, een Nederlandse beveiligingsonderzoeker bij het van oorsprong Amerikaanse cybersecuritybedrijf McAfee, iets vreemds op het beeldscherm van het echoapparaat. 'Data opslaan in foto' stond er. Een gemiddelde patiënt zal het waarschijnlijk niet eens opvallen, bij een specialist als Beek gaan dan de handen jeuken. Vandaag publiceert hij zijn gedetailleerde onderzoek op zijn blog bij McAfee.

Lees verder na de advertentie
Een gemiddelde patiënt zal het waarschijnlijk niet eens opvallen, bij een specialist als Beek gaan dan de handen jeuken

"Ik zou verwachten dat de data met bijvoorbeeld naam en andere gegevens van de patiënt in een gewoon bestand worden opgeslagen, niet in de foto zelf", zegt Beek. "Ik wilde daarom weleens weten wat voor systemen door ziekenhuizen worden gebruikt om die foto's te verwerken."

Wat kwam u tegen?

"Nogal wat systemen bleken gewoon verbonden te zijn met internet. Ik ben er toen een paar gaan benaderen en zag meteen dat het aan alle kanten rammelde. Zo kreeg ik foutmeldingen dat ik alleen kon inloggen met Windows XP. Dat is zwaar verouderde software, die niet meer veilig is.

"Ik heb ook gekeken naar gratis systemen voor medische foto's die online worden aangeboden. Die worden wereldwijd vooral door kleinere medische instellingen gebruikt omdat de andere pakketten duur zijn. Het bleek zo lek als een mandje. Ik kon bij röntgenfoto's en MRI-scans van knieën, ellebogen, een deel van een gezicht. Ik kon bij de gegevens van de patiënt van wie de foto was en ik kon data aanpassen. De knie de elleboog noemen bijvoorbeeld. Uiteindelijk heb ik een röntgenfoto omgezet in een bestand voor de 3D-printer. Nu staat er een 3D-model van iemands bekken op mijn bureau."

Lees verder onder de foto

Christiaan Beek, securityonderzoeker © TRBEELD

Dat is vooral een stunt lijkt me?

"Dat is het inderdaad. Maar het toont wel aan wat er allemaal te vinden is via internet als je als sector de beveiliging niet op orde hebt. Vanuit de professie begrijp ik dat best. Het werk gaat 24/7 door, het koppelen van systemen aan internet lijkt wel zo makkelijk, helemaal als je bestanden bijvoorbeeld tussen verschillende ziekenhuizen wilt uitwisselen. Maar het gaat hier wel om medische data. Die moet je gewoon goed beveiligen. Ik heb niet de indruk dat de sector daar genoeg op is voorbereid. Dit is ook een oproep aan fabrikanten van medische systemen. Die moeten nadenken over beveiliging voordat zij producten op de markt zetten. Helemaal als ze die aan internet hangen."

Wat is het gevaar?

"Bij McAfee hebben we het afgelopen jaar een sterke toename van aanvallen op de gezondheidszorg gezien. Het aantal beveiligingsincidenten in die sector is met 200 procent gestegen. We zien ook dat patiëntgegevens door cybercriminelen op de zwarte markt worden aangeboden. Ze zijn duurder dan bijvoorbeeld creditcardgegevens die ook te koop zijn. Er is dus een markt voor dit soort data. Je kunt allerlei redenen bedenken waarom criminelen die gegevens interessant vinden. In de VS is het al voorgekomen dat ziekenhuizen werden afgeperst nadat het iemand was gelukt patiëntgegevens te stelen."

Mag u dit zomaar doen eigenlijk?

"Ik ben niet over de grens gegaan. Jeukten mijn handen om te kijken wat ik allemaal zou vinden als ik echt zou inbreken op een systeem van een ziekenhuis? Zeker, maar ik kan dat niet doen. Ook heb ik, zoals we altijd doen, de beveiligingslekken gemeld bij de fabrikant. En voor het bekken op mijn bureau heb ik een demofoto gebruikt."

Uiteindelijk heb ik een röntgenfoto omgezet in een bestand voor de 3D-printer. Nu staat er een 3D-model van iemands bekken op mijn bureau

Onderzoeker Christiaan Beek

Situatie in Nederland

Christiaan Beek kwam in dit onderzoek geen foto's van Nederlandse patiënten tegen. Dat betekent volgens hem niet dat er in Nederlandse ziekenhuizen niets mis gaat. Zo werden de gratis fotoverwerkingsprogramma's ook in Nederland gebruikt. Bovendien is bekend dat de gezondheidssector in Nederland met regelmaat te maken krijgt met zogenoemde datalekken: gegevens die toegankelijk zijn voor mensen die er niet bij horen te kunnen.

Uit de laatst beschikbare cijfers van begin 2017 blijkt dat er zo'n 200 datalekken per maand vanuit de zorg worden gemeld bij de Autoriteit Persoonsgegevens. Daarmee is de sector de grootste melder. Overigens kan het bij één melding gaan om zowel grote als kleine hoeveelheden gegevens.

Deel dit artikel

Een gemiddelde patiënt zal het waarschijnlijk niet eens opvallen, bij een specialist als Beek gaan dan de handen jeuken

Uiteindelijk heb ik een röntgenfoto omgezet in een bestand voor de 3D-printer. Nu staat er een 3D-model van iemands bekken op mijn bureau

Onderzoeker Christiaan Beek