Medische gegevens grotere goudmijn voor cybercriminelen dan creditcards

Gepubliceerd op 9 november 2019 om 09:14
Medische gegevens grotere goudmijn voor cybercriminelen dan creditcards

Het stelen van medische gegevens via hacken van zorginstellingen en universiteiten is lucratievere handel.

Medische dossiers aanzienlijk duurder dan gestolen credit card.

Eenmaal gehackte patiëntgegevens niet te blokkeren. Het stelen van medische gegevens via hacken van zorginstellingen en universiteiten is voor cybercriminelen een lucratievere handel dan diefstal van creditkaartgegevens. Dat blijkt uit onderzoek van cybersecurity-specialist SecureLink in de VS. 'Het is een kwestie van tijd voordat ook Nederlandse zorginstellingen doelwit worden van deze praktijken,' zegt Jort Kollerie van SecureLink.
Dat deze criminaliteit is verschoven van creditkaarten naar medische dossiers komt omdat medische data veel meer informatie bevatten dan financiële gegevens. Denk aan burgerservicenummers, burgerlijke staat, geslacht, verzekeringsgegevens en adressen waarmee identiteitsfraude of fraude bij zorgverzekeraars gepleegd kan worden. Bovendien zijn eenmaal gehackte patiëntgegevens niet te blokkeren zoals creditkaarten. Naast persoonskenmerken zijn ook aandoeningen en medische ingrepen verhandelbaar. Criminelen gebruiken die gegevens om slachtoffers af te persen.

Zorg is makkelijk doelwit

Voor dossiers gaat het om bedragen tussen de honderden en duizenden dollars. Ook met het verhandelen van losse data kunnen al enkele tot tientallen dollars worden verdiend. Creditkaartinformatie wordt voor nog geen twee dollar verhandeld. Volgens cyberspecalist Kollerie van SecureLink zal deze praktijk overslaan op andere continenten, zoals eerder ook gebeurde met cyberaanvallen op de financiële sector. Ook Nederlandse ziekenhuizen en andere zorginstellingen zullen doelwit worden. Kollerie: 'De zorg is een makkelijk doelwit. De sector kent een open cultuur en zit midden in een digitale transformatie die de financiële sector al met veel pijn en moeite achter de rug heeft.' Niet alleen criminelen houden zich bezig met diefstal van medische dossiers. Zo hebben cyberexperts sterke vermoedens dat bij de hack van 1,5 miljoen patiëntendossiers bij de grootste zorggroep in Singapore SingHealth, het de hackers te doen was om maar één medisch dossier; die van minister-president Lee Hsien Loong. De manier waarop de hack gepleegd werd, zou er op wijzen dat er een natiestaat achter zou zitten.

Meeste datalekken van ziekenhuizen

In ons land is de zorg al enige tijd koploper datalekken, ook dit jaar weer zo blijkt uit de rapportage datalekmeldingen van de Autoriteit Persoonsgegevens. In de eerste helft van 2019 ontving de deze toezichthouder bijna 12.000 meldingen van datalekken. Het gaat om ongeveer 2.000 meldingen per maand. Als deze trend zich voortzet, verwacht de Autoriteit Persoonsgegevens voor heel 2019 een stijging van 14 procent ten opzichte van 2018. Het grootste aantal datalekmeldingen binnen de zorgsector komt van ziekenhuizen (23%) en apotheken (22%). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen, zoals gezondheids- en welzijnsorganisaties (24%), maatschappelijke dienstverlening (15%) en tandartsen (6%), melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen. Bij meer dan de helft van de incidenten betrof het gegevens van een persoon. 

Meldplicht datalekken

De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan.

Datalek melden

Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldloket datalekken.

In het privacystatement formulier meldplicht datalekken staat hoe de AP omgaat met de persoonsgegevens van degene die een datalek meldt.

Overige acties bij datalekken

Bij een datalek is het dus belangrijk om na te gaan of u verplicht bent om het datalek te melden. Maar dat is niet het enige. Meer weten over wat u moet doen? Zie het stappenplan 'Kom in actie bij een datalek' 

Overzichten meldingen datalekken

De AP publiceert elk half jaar een totaaloverzicht van alle gemelde datalekken. Daarnaast gaat de AP in een aantal sectorspecifieke overzichten dieper in op de datalekken uit bepaalde sectoren. Zie: Overzichten datalekken.

BRON: Bnr, fd, autoriteitpersoonsgegevens

SCHRIJVER: BiG’r

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.