Medische gegevens nu veilig opgeslagen
Een fysiotherapiepraktijk met meerdere locaties ontdekte dat hun online afsprakensysteem ernstige beveiligingslekken bevatte die patientgegevens in gevaar brachten.
Bedrijf C
Gezondheidszorg
40 medewerkers
Scan Resultaten
NEN 7510
Nu compliant
Medische gegevens op straat
Bedrijf C is een groeiende fysiotherapiepraktijk met vijf locaties verspreid over de regio. Met 40 behandelaars en meer dan 8.000 actieve patienten per jaar verwerken zij dagelijks grote hoeveelheden medische gegevens: behandelplannen, diagnoses, en voortgangsrapportages.
Om het afspraakproces te vergemakkelijken werd drie jaar geleden een online afsprakensysteem geintroduceerd. Patienten konden via dit portaal afspraken maken, behandelverslagen inzien en communiceren met hun therapeut.
Tijdens een routinecontrole door hun beroepsvereniging werd gevraagd naar NEN 7510 compliance - de Nederlandse norm voor informatiebeveiliging in de zorg. Dit was het moment dat de praktijkeigenaar realiseerde dat zij hier nooit aandacht aan hadden besteed.
Waarom dit extra kritiek is:
Medische gegevens zijn "bijzondere persoonsgegevens" onder de AVG. Een datalek met medische informatie kan leiden tot boetes tot €20 miljoen of 4% van de jaaromzet, en erger nog: reputatieschade die een praktijk kan ruineren.
Wat we ontdekten
De scan onthulde 9 beveiligingsproblemen, waarvan 4 als kritiek werden geclassificeerd vanwege de gevoeligheid van medische data.
Patientendatabase publiek toegankelijk
De MySQL database was toegankelijk vanaf het internet met standaard credentials (root/root). Alle patientgegevens, medische historie en behandelplannen waren direct uitleesbaar.
Blootgestelde gegevens:
- • 8.000+ patientdossiers
- • BSN nummers en geboortedatums
- • Medische diagnoses en behandelplannen
- • Huisarts- en verzekeringsinformatie
Behandelverslagen openbaar vindbaar
PDF behandelverslagen werden opgeslagen met voorspelbare bestandsnamen (patient_12345_verslag_1.pdf). Zonder authenticatie waren deze direct downloadbaar en zelfs geindexeerd door Google.
Via Google konden we 147 behandelverslagen vinden met volledige medische informatie, inclusief namen en BSN nummers.
Onversleutelde berichtenuitwisseling
Berichten tussen patient en therapeut werden verzonden over een onbeveiligde verbinding (HTTP). Met een simpele man-in-the-middle aanval kon alle communicatie worden onderschept.
Geen authenticatie op API
De API die het afsprakensysteem aanstuurt had geen authenticatie. Elke willekeurige bezoeker kon patientgegevens opvragen, wijzigen of verwijderen via directe API calls.
Overige bevindingen (5)
Verouderde WordPress
WordPress 4.9 met 23 bekende CVE's.
Admin panel zonder 2FA
Beheerders hadden geen tweefactorauthenticatie.
Backup bestanden online
Volledige database backups publiek downloadbaar.
Van nachtmerrie naar NEN 7510 compliant
Gezien de extreme ernst van de bevindingen - met name de openbare database - werd direct een crisisplan opgestart. Binnen 4 uur na het rapport waren de meest kritieke lekken gedicht.
De praktijk schakelde een gespecialiseerd zorgsecurity bedrijf in voor de volledige implementatie van NEN 7510 maatregelen. Wij bleven betrokken als externe auditor.
Na drie maanden intensief werk voldoet de praktijk nu volledig aan NEN 7510 en heeft zij een Information Security Management System (ISMS) geimplementeerd.
NEN 7510 Implementatie
- Risicoanalyse en beveiligingsbeleid opgesteld
- Toegangsbeheer met role-based permissions
- End-to-end encryptie voor alle gegevens
- Incident response en meldingsprocedure
- Security awareness training voor alle medewerkers
Wat had er kunnen gebeuren?
Tot €20 miljoen boete
AVG boete voor datalek met medische gegevens
Verlies BIG-registratie
Therapeuten kunnen hun registratie verliezen bij grove nalatigheid
8.000+ gedupeerde patienten
Medische gegevens op straat met mogelijke discriminatie of chantage
Resultaat na 3 maanden
"Toen ik het rapport las, kon ik niet slapen. Medische gegevens van duizenden patienten stonden letterlijk open en bloot op internet. Whitehat Security heeft ons niet alleen gewaarschuwd, maar ook geholpen om de situatie razendsnel onder controle te krijgen. We zijn ze eeuwig dankbaar."
Anoniem
Praktijkeigenaar, Bedrijf C
Bekijk meer use cases
Ontdek hoe we andere bedrijven hebben geholpen