Eén-programma Koppen hackt Vlaamse ziekenhuizen (en wordt daarvoor aangeklaagd)

Journalisten van Koppen wilden, bij wijze van proef, uitzoeken hoe makkelijk er in te breken valt in Vlaamse ziekenhuizen. Makkelijk, blijkbaar, maar het UZ Leuven, de KU Leuven en Zorgnet konden er niet om lachen. ‘Wie een hacking organiseert, maakt zich schuldig aan een misdrijf.’

Journalisten van het Eén-programma wilden Koppen achterhalen hoe makkelijk het is de databanken van onze Vlaams ziekenhuizen te hacken.

Makkelijk, zo zal blijken in de Koppen-uitzending van donderdagavond. Een hacker wist binnen het halfuur gegevens – over ziektes, operaties, bloedgroepen en medicatie – van duizenden patiënten te bemachtigen, zo schreven De Morgen en Het Laatste Nieuws donderdagochtend al.

Koppen drong binnen bij ‘een artsenvereniging, een klein ziekenhuis en een groter ziekenhuis’, zo zeggen insiders in de kranten.

Peter De Waele, woordvoerder van de federale politie, zegt in diezelfde kranten weet te hebben van een groter ziekenhuis dat betrokken is. In totaal zouden 26.000 gegevens uit de database van dat ziekenhuis gehaald zijn.

UZ Leuven: ‘Geen patiëntendossiers gehackt, wel ingebroken op server KU Leuven’

Het UZ Leuven bevestigt dat er geprobeerd is in te breken in het intern netwerk, maar voegt eraan toe dat er geen patiëntendossiers gehackt zijn. ‘De firewall die de patiëntendossiers beschermt tegen hackers heeft de aanval verijdeld.’

Wel is er ingebroken op een server van de groep biomedische wetenschappen van de KU Leuven, maar daarbij zou het niet gaan om patiëntendossiers. ‘Deze databank bevatte voornamelijk oudere gegevens in het kader van een wetenschappelijk onderzoek. Hierin stonden gegevens van vrijwilligers die zich opgaven om mee te werken aan de wetenschappelijke studie.’ Die gegevens werden gehost in een netwerksegment dat zich tussen het publiek internet en het afgeschermde interne netwerk bevindt.

Klacht

De KU Leuven laat weten dat het bij de onderzoeksrechter een strafklacht zal neerleggen tegen de poging tot het hacken van haar servers. ‘Het is niet aan journalisten om te proberen gegevens van patiënten te identificeren en te verwerken. Daar bestaan geëigende en veilige procedures voor. Wie een hacking organiseert, maakt zich schuldig aan een misdrijf’, luidt het.

Ziekenhuiskoepel Zorgnet zegt bij monde van stafmedewerker technologie Peter Raeymaekers dat het zich ‘volmondig kan vinden in de klacht van de KU Leuven.’

UZ Leuven en Zorgnet: ‘Onderfincanciering door overheid’

Bij het UZ Leuven en bij Zorgnet klinkt het dat een 100 procent sluitende beveiliging wellicht niet bestaat. Dat hackers snel hun weg vinden naar patiëntendossiers, is voor Raeymaekers wel ‘een teken aan de wand dat er vanwege de overheid te weinig is geïnvesteerd’.

‘Er is een onderfinanciering, wat het moeilijk maakt om gekwalificeerd personeel aan te werven en technologische trends op te volgen. De overheid heeft veel aandacht voor het delen van informatie, maar er is ook aandacht nodig voor de systemen erachter. Er is geen duidelijkheid over de vereisten hierover. Er is nog veel werk op de plank.’

VRT Nieuws-hoofdredacteur: ‘Undercoveraanpak Koppen-journalisten was enige mogelijkheid’

‘Het was niet onze bedoeling om individuele instellingen te viseren’, laat VRT Nieuws-hoofdredacteur Luc Rademaekers weten in een reactie op de heisa. ‘De bedoeling van de Koppen-reportage is om de relevante problematiek van elektronische gegevens aan te kaarten. De undercoveraanpak van Koppen was de enige mogelijkheid om de onveiligheid van privégegevens in elektronische gegevensbanken aan te tonen.’

In de reportage worden volgens Rademaekers ‘geen namen van instellingen of organisaties’ vernoemd, en er wordt ook op geen enkele manier naar verwezen.

VRT Nieuws geeft ten slotte nog mee dat de tijdens het onderzoek verkregen gegevens vernietigd zijn. (Belga/MI)