Recentelijk is Nedap Healthcare in het nieuws geweest vanwege een beveiligingsincident.
We sturen deze e-mail, omdat we het belangrijk vinden om onze klanten goed te informeren over dit incident en op de hoogte te houden van de laatste stand van zaken.
We begrijpen dat de situatie impact heeft op jullie als organisatie en op jullie cliënten. Dit betreuren we ontzettend. Daarom nemen we jullie mee in wat er de afgelopen dagen heeft plaatsgevonden.
Wat is er precies gebeurd?
Er zat een kwetsbaarheid in de koppeling tussen de Ons Suite en Caren. Hier zijn wij op maandag 17 oktober om 11.08 uur van op de hoogte gebracht. We hebben de kwetsbaarheid diezelfde dag om 13.32 uur opgelost. Vervolgens zijn we een onderzoek gestart naar de mogelijke impact van het incident. Daaruit is gebleken dat het weekend ervoor misbruik is gemaakt van deze kwetsbaarheid. Daarbij zijn bepaalde documenten die, via de koppeling met Caren, door zorgaanbieders vanuit Ons Suite beschikbaar zijn gemaakt, ongeautoriseerd gedownload. Er is aangifte gedaan, waarna de politie een onderzoek is gestart. Kort daarna is een verdachte aangehouden en apparatuur (waaronder gegevensdragers) in beslag genomen.
Het politieonderzoek
Relevante informatie uit ons interne onderzoek is gedeeld met het onderzoeksteam van de politie. Vervolgens is een 19-jarige verdachte aangehouden. De woning van de verdachte is doorzocht en verschillende gegevensdragers van de verdachte zijn in beslag genomen. Momenteel zijn er nog steeds geen aanwijzingen om aan te nemen dat de gedownloade documenten verder zijn verspreid.
De communicatie met betrekking tot deze gebeurtenissen is met de politie afgestemd. In het belang van het politieonderzoek zijn wij niet eerder dan dinsdag 25 oktober naar buiten getreden over dit incident. Op deze dag is een persbericht gepubliceerd en zijn mailings verstuurd aan de bij ons bekende contactpersonen van al onze klanten van wie documenten ongeautoriseerd zijn gedownload. Op woensdag 26 oktober hebben we ook de overige klanten zo geïnformeerd.
Hoe borgen we de bescherming van gegevens?
De privacy van mensen vinden wij enorm belangrijk. Wij geloven dat mensen de vrijheid moeten hebben om zelf te bepalen met wie zij gegevens delen. We besteden veel aandacht aan privacy bij de ontwikkeling van onze producten. Zo vinden wij het bijvoorbeeld essentieel dat zorgaanbieders in staat gesteld worden de kring van personen die toegang hebben tot bepaalde (medische)gegevens zo veel mogelijk te beperken. Ook investeren wij substantieel in de bouw en adoptie van privacy-by-design en gedecentraliseerde data uitwisseling in de zorg.
Privacy en beveiliging van gegevens hebben doorlopend onze aandacht. Naast interne procedures vinden jaarlijks externe audits plaats door gecertificeerde instanties en worden kwetsbaarheden in de systemen onder andere met behulp van ethische hackers preventief opgespoord. Bij interne tests, audits door gecertificeerde instanties, pentesten door externe partijen en ethische hackers is de kwetsbaarheid die geleid heeft tot dit incident niet aan het licht gekomen.
Onze (interne- en externe) beschermingsmaatregelen hebben de impact van de aanval significant verkleind, maar niet volledig kunnen voorkomen. Wel hebben wij kunnen vaststellen dat deze kwetsbaarheid niet eerder is misbruikt.
Hoe kunnen we dit in de toekomst voorkomen?
De digitale wereld van cybersecurity is enorm dynamisch en altijd in ontwikkeling. Nedap is continu op zoek naar verdere verbeteringen op dit vlak en investeert hier jaarlijks significant in. Ondanks deze maatregelen is het helaas nooit met 100% zekerheid uit te sluiten dat incidenten zich voordoen.
Dit jaar hebben we onze inspanningen omtrent privacy en security gebundeld in een nieuwe Data Protection-groep. Deze groep bestaat uit drie teams waarin we de komende jaren volop blijven investeren: Cybersecurity, Identity & Access Management en Privacy & Compliance.
Naar aanleiding van dit incident heeft ons Cybersecurity Team maatregelen getroffen om detectie van externe aanvallen met behulp van logging-analyse verder te verscherpen. We blijven evalueren en zullen continu verbeteringen in onze interne processen en externe beschermingsmaatregelen aan blijven brengen die de beveiliging naar een nog hoger niveau tillen.
Verwerker of (verwerkings)verantwoordelijke onder de AVG?
We hebben een aantal vragen binnen gekregen over de rolverdeling tussen Nedap en onze klanten onder de Algemene Verordening Gegevensbescherming (AVG). In het geval van dit incident is het een complexere situatie dan gewoonlijk. De reden hiervoor is dat het incident heeft plaatsgevonden op een koppeling tussen twee applicaties (namelijk Caren en de Ons Suite) en dat zorgaanbieders (verwerkings)verantwoordelijke zijn met betrekking tot gegevens opgeslagen in de Ons Suite en Nedap met betrekking tot gegevens opgeslagen in Caren.
Caren bevat gegevens waar Nedap de (verwerkings)verantwoordelijke voor is, zoals door gebruikers in Caren opgeslagen agenda-afspraken en berichten. Ook de naar Caren gesynchroniseerde dossier-rapportages vallen in deze categorie. Deze gegevens blijven in Caren, ook na het verbreken van de koppeling met de zorgaanbieder.
Daarnaast zijn via Caren ook gegevens direct uit de Ons Suite live opvraagbaar. Dit betreffen onder andere documenten, profielvragenlijsten en zorgplannen. Deze gegevens zijn opgeslagen in de Ons Suite. Met betrekking tot deze gegevens is de zorgaanbieder de (verwerkings)verantwoordelijke en Nedap de verwerker.
Om documenten via Caren in te zien moet de koppeling tussen Caren en de Ons Suite worden geactiveerd en is normaal gesproken per gebruiker een actieve link met de zorgaanbieder vereist. Een dergelijke link wordt door zorgaanbieders op aanvraag aan gebruikers verstrekt door middel van een code die (vaak via de post) aan gebruikers wordt verstuurd. Op het moment dat deze link wordt verbroken of de koppeling wordt gedeactiveerd zijn de documenten niet langer beschikbaar.
De zorgaanbieders treden met betrekking tot via de koppeling toegankelijk gemaakte gegevens op als (verwerkings)verantwoordelijke.
Bepalend voor de rolverdeling onder de AVG is de feitelijke situatie (wie de “regisseur” van de gegevens is of met andere woorden wie bepaalt het “hoe” en “waarom” van de verwerking). Hierbij moet je denken aan bepalen welke persoonsgegevens worden verwerkt, voor welke doeleinden deze worden gebruikt, aan wie ze beschikbaar worden gemaakt en hoe lang de gegevens bewaard worden.
In geval van de Ons Suite hebben de zorgaanbieders en niet Nedap controle over de gegevens die in de Ons Suite zijn opgeslagen. Dit geldt ook voor documenten die via de koppeling in Caren toegankelijk worden gemaakt. Voor Caren ligt dit anders. Zorgaanbieders hebben geen toegang tot de door gebruikers in Caren opgeslagen gegevens. Nedap treedt hier op als (verwerkings)verantwoordelijke.
De juridische onderbouwing voor deze uitleg op vertrouwelijke basis, is op aanvraag beschikbaar via het e-mailadres onderaan deze mail.
Afhandeling van dit beveiligingsincident
We realiseren ons dat we kunnen helpen bij het mitigeren van de eventuele gevolgen van dit incident door duidelijkheid te bieden over de status van het lopende onderzoek met betrekking tot dit incident. We staan dan ook nog steeds in contact met de politie. Zij hebben aangegeven dat zij niet verwachten op korte termijn meer duidelijkheid te kunnen geven en dat het onderzoek nog enige tijd door zal lopen. Zij houden vast aan de communicatie die eerder is gedaan en die met ons is afgestemd. Dit houdt in dat er momenteel (nog steeds) geen aanwijzingen zijn dat de gedownloade documenten verder zijn verspreid.
Tegelijkertijd staan we in contact met alle betrokken zorgaanbieders en kunnen wij inmiddels per zorgaanbieder bevestigen welke cliënten betrokken zijn bij dit incident. Sinds dinsdag 1 november kunnen wij ook voor elke getroffen cliënt van zorgaanbieders een overzicht aanleveren van de gedownloade documenten.
We betreuren dat tijdens de initiële communicatie wij niet alle betrokken zorgaanbieders hebben kunnen bereiken. Door een variëteit aan redenen kwam de mailing soms niet aan of aan bij oude contactpersonen, ondanks verscheidene pogingen. We zullen dit meenemen in de evaluatie.
Ook hebben we in nader dieper onderzoek ter voorbereiding voor de lijsten met gedownloade bestanden geleerd dat in een beperkt aantal gevallen de getallen die initieel waren gedeeld niet volledig waren. Deels omdat soms downloadpogingen waren mislukt, waardoor cliënten toch niet betrokken waren, en deels omdat in de initiële getallen alleen werd gekeken naar actieve links tussen Caren gebruikers en de zorgaanbieder. De kwetsbaarheid bleek echter effect te hebben op actieve en inactieve, verbroken, links. De reden voor het verbreken van een link kan divers zijn maar zal altijd door de zorginstelling of door de cliënt zijn geïnitieerd. De zorgaanbieders in kwestie zijn hierover reeds geïnformeerd.
Evaluatie
We zullen dit incident en onze reactie hierop evalueren, zodat we hiervan kunnen leren en onze processen verder kunnen optimaliseren. Jullie feedback is belangrijk en erg welkom. We nemen dit mee in ons evaluatieproces.
We hopen dat jullie met deze e-mail voldoende op de hoogte zijn gebracht van de huidige stand van zaken rondom dit incident. Indien nieuwe informatie beschikbaar is die aanleiding geeft tot een update, zullen we jullie hierover informeren.
Met vriendelijke groet,
Nedap Healthcare