De Belgische Gegevensbeschermingsautoriteit (GBA) heeft een boete van 200.000 euro opgelegd aan een ziekenhuis naar aanleiding van tekortkomingen in het beveiligingsbeleid. De sanctie volgt op een ransomware-aanval waarbij data van zowat 300.000 personen werden gecompromitteerd, waaronder medische gegevens en elektronische communicatie.
De aanval vond plaats in 2021 en werd uitgevoerd via een kwetsbaarheid in de e-mailserver van het ziekenhuis. De aanvallers slaagden erin malware te installeren. Vervolgens werd een toegang met administratorrechten gecreëerd, waardoor de criminelen cruciale systemen konden vergrendelen met BitLocker. Het ziekenhuis verloor tijdelijk toegang tot zijn it-systemen en zag zich geconfronteerd met een losgeld-eis.
Tijdens de aanval werden 5 gigabyte aan gegevens gestolen, en kwam de operatie van het ziekenhuis ernstig in het gedrang. De spoedafdeling moest drie dagen sluiten en patiënten werden naar andere instellingen doorgestuurd.
Gebrekkig beveiligingsbeleid
Uit het onderzoek van de GBA blijkt dat het ziekenhuis inzake cyberbeveiliging zwaar tekort is geschoten. Zo was wachtwoordbeleid zwak en ontbrak het aan een formeel procedure voor software-updates en de verplichte gegevensbeschermingseffectbeoordeling (GEB).
Ook het niet opzetten van een systematisch trainings- en bewustmakingsprogramma voor medewerkers en het ontbreken van auditprocessen en logbeheer werden aangewreven. De GBA stelde ook vast dat het ziekenhuis eerder al slachtoffer was van een ransomware-aanval, maar onvoldoende lessen uit dat incident had getrokken.
Ernst
De GBA benadrukt dat de boete van 200.000 euro proportioneel is aan de ernst van de overtredingen en moet organisaties in de gezondheidssector aansporen om hun beveiligingsbeleid op orde te brengen.
Naast de boete heeft de GBA het ziekenhuis verplicht om binnen negentig dagen zo’n grondige GEB uit te voeren, zoals vereist door de GDPR-wetgeving. Ook moet er een duidelijke en uitgebreide beleidsstructuur voor it-beveiliging worden ontwikkeld. Het ziekenhuis moet ook sterkere wachtwoordvereisten en een opleidingsprogramma voor medewerkers invoeren.
Over welk ziekenhuis het gaat, deelt GBA niet mee. Maar zowel qua timing als gebeurtenissen lijkt het verhaal erg op het datalek bij het CHwapi-ziekenhuis te Doornik.
