Ernst Kuipers na lek bij Clinical Diagnostics: 'Hackers schenden niet alleen privacy, ze kunnen een heel ziekenhuis platleggen'

In dit artikel:

Oud-minister van VWS Ernst Kuipers (D66), die vanuit Singapore werkt als bestuurder van een grote technisch-medische universiteit, volgt met zorg de hack bij Clinical Diagnostics in Rijswijk. Hij legt uit dat grootschalige screeningsprogramma’s zoals het colorectal screeningprogramma — waarbij om de twee jaar 2,2 miljoen mensen tussen 55 en 75 worden uitgenodigd — aantrekkelijke doelwitten vormen voor criminelen; vergelijkbare onderzoeksdata van een half miljoen vrouwen uit het baarmoederhalskankeronderzoek zijn in juli al gelekt. Bij de Rijswijk-hack gingen onder meer burgerservicenummers, privé‑adressen en onderzoeksuitslagen verloren, wat de discussie oproept over het gescheiden bewaren van identificatiegegevens en medische data. Kuipers wijst erop dat ergens toch een koppeling tussen die gegevens nodig is voor zorg en onderzoek, en dat juist die koppelpunt(en) de grootste risico’s vormen.

Kuipers pleit voor structurele, actieve beveiliging: als voorbeeld noemt hij een systeem van de University of San Diego dat Amerikaanse ziekenhuizen continu op afstand scant op kwetsbaarheden en vroegtijdig contact zoekt met instellingen als er aanwijzingen zijn voor een aanval. Volgens hem is dit soort vroegdetectie essentieel. Hij benadrukt verder dat de zorg al lang vrijwel geheel gedigitaliseerd is — van elektronische patiëntendossiers en laboratoriumuitslagen tot beademingsapparatuur, infuuspompen en CT-scanners — waardoor een geslaagde cyberaanval niet alleen privacy schaadt maar ook de zorgverlening plat kan leggen. Als voorbeeld refereert hij aan een hack bij een Londens pathologiecentrum waardoor duizenden operaties werden uitgesteld en extra bloeddonaties nodig waren.

Kuipers vindt dat ziekenhuizen, laboratoria en apotheken als cruciale infrastructuur moeten worden beschermd binnen de bredere beveiligings- en investeringsagenda (hij noemt de recent verhoogde NAVO-norm als aanleiding om te investeren). Ziekenhuizen kunnen doelwit zijn in oorlogssituaties en cyberaanvallen beïnvloeden militaire en civiele slagkracht en moraal. Daarom is een centraal coördinerend steunpunt nodig dat kleinere zorginstellingen ondersteunt en bij crisissituaties kan uitrukken — een taak die de overheid volgens hem logischerwijs (mede) zou moeten betalen. Hij wijst ook op de kwetsbaarheid door concentratie: veel medicijnen komen uit India en voor EPD-systemen en ziekenhuissoftware zijn maar enkele leveranciers actief, wat diversiteit en weerbaarheid bemoeilijkt. Conclusie van Kuipers: risico’s moeten continu worden geminimaliseerd, maar geheel uitsluiten is onrealistisch.