'Hack Henk Krol vergroot bewustzijn zorgsector'
Dat zegt directeur Astrid van der Put in gesprek met NU.nl.
In april 2012 wist 50PLUS-Kamerlid Henk Krol binnen te dringen in het systeem Cyberlab dat gebruikt wordt voor het registreren van allerhande diagnoses. De directrice van Diagnostiek voor U erkent dat de beveiliging tekort schoot, maar wijst op de brede positieve gevolgen.
Wat Van der Put heeft gestoord is het beeld dat er meer mogelijk was dan gegevens inkijken. "Er werd in de media gesteld dat het ook mogelijk was gegevens aan te passen", vertelt ze. "Die informatie klopt absoluut niet. Het zou ook heel erg zijn als dat wel zou kunnen."
Aandacht
De inbraak was mogelijk omdat de inloggegevens van een arts in verkeerde handen terecht waren gekomen. "Dat systeem wordt ook door andere instellingen gebruikt. Opeens realiseerden veel partijen dat zij ook kwetsbaar waren", stelt Van der Put. "Je wilt niet weten hoeveel bestuurders van zorginstellingen naar mij toekwamen met vragen of opmerkingen."
Zij zien dat veel zorginstellingen na het nieuws meer aandacht voor beveiliging hebben gekregen. "Dat speelt vooral op bestuurlijk niveau", stelt ze. Diagnostiek voor U heeft sinds het incident veel meer aandacht voor beveiliging en heeft de toegang tot het systeem verbeterd. Zo moet een arts naast een betere gebruikersnaam en wachtwoord ook een code die per sms wordt toegestuurd invoeren.
Bovendien moeten gebruikers van het systeem nu een handtekening zetten voor ze toegang krijgen en is de beveiliging van e-mail verbeterd.
Leveranciers
Uit andere testen van Diagnostiek voor U en leverancier Cyberlab werden nog meer zwakheden ontdekt. Het laboratorium had bij de andere producten niet altijd de indruk dat de problemen even hoog op de agenda kwamen.
"Wat je merkt is dat wij grote stappen hebben gezet, maar leveranciers niet altijd zover zijn als jij bent", vertelt Roy Gevers, IT Manager bij Diagnostiek voor U tegenover NU.nl. "Wel merk je dat ze snappen waarom het zo bij ons op de radar staat. Toch zou ik graag zien dat leveranciers een soort securitykeurmerk hebben waar ze aan moeten voldoen. Dat zou wel helder zijn."
