top of page
logo.png
rood vlak

Beslissing 166/2024: Lessen over cybersecurity en GDPR in de gezondheidszorg

  • Foto van schrijver: Olivier Sustronck
    Olivier Sustronck
  • 14 mrt
  • 4 minuten om te lezen

Een Belgisch ziekenhuis, hét baken van zorg en vertrouwen, werd plotsklaps het slachtoffer van een ransomware-aanval. De gevolgen waren ingrijpend: medische dossiers ontoegankelijk, spoedeisende hulp gesloten, en een organisatie in crisis. Wat begon als noodsituatie in een ziekenhuis, levert nu belangrijke inzichten inzake cybersecurity en gegevensbescherming. In deze blogpost nemen we je mee in de belangrijkste lessen die we kunnen trekken uit deze cyberaanval en de daaropvolgende beslissing van de Gegevensbeschermingsautoriteit (GBA).

Achtergrond van de zaak

Op 17 december 2024 publiceerde de Gegevensbeschermingsautoriteit haar beslissing ten gronde nr. 166/2024, naar aanleiding van een datalek bij een Belgisch ziekenhuis dat in 2021 slachtoffer werd van een grootschalige ransomware-aanval.

Deze aanval legde niet alleen kritieke IT-systemen plat – inclusief patiëntendossiers en e-mailverkeer – maar had ook verstrekkende gevolgen voor de zorgverlening. De spoedeisende hulp moest tijdelijk sluiten, terwijl de aanval ook het vertrouwen in de digitale beveiliging van medische gegevens aantastte. Wat extra pijnlijk was: hetzelfde ziekenhuis had in 2019 al een soortgelijke inbreuk meegemaakt.

De GBA startte een diepgaand onderzoek, waarbij zowel de technische als organisatorische beveiligingsmaatregelen onder de loep werden genomen. Wat volgde, was een confronterende lijst met tekortkomingen.


Kernbevindingen en juridische overtredingen

De beslissing 166/2024 legt bloot waar het ziekenhuis de mist inging op vlak van cybersecurity en gegevensbescherming. En de bevindingen zijn niet alleen relevant voor de zorgsector – iedere organisatie kan hier waardevolle lessen uit trekken.


dokter werkt op computer

Ontbreken van een Data Protection Impact Assessment (DPIA)

Ondanks de verwerking van gevoelige gezondheidsgegevens van meer dan 300.000 patiënten, had het ziekenhuis geen ‘Data Protection Impact Assessment’ (DPIA) uitgevoerd. Dit is nochtans verplicht volgens artikel 35 van de GDPR. Door geen gedegen risicoanalyse te maken, had het ziekenhuis onvoldoende zicht op kwetsbaarheden – en daarmee ook op de dreiging van ransomware-aanvallen.


Chaotisch beveiligingsbeleid: losse documenten, grote gevaren

De GBA stelde schendingen vast van de artikelen 5.1.f en 32 van de GDPR. Er ontbrak een effectieve en formele informatiebeveiligingsstrategie. In plaats van één samenhangend beleidsdocument, werd er gewerkt met een verzameling losse documenten zonder onderlinge afstemming. Dit gebrek aan structuur zorgde ervoor dat er geen sluitende strategie was om cyberdreigingen het hoofd te bieden. De aanval was een pijnlijk bewijs dat een eenduidig en actueel cybersecuritybeleid onmisbaar is.


Verouderde update- en patchmanagementprocedures: de poort voor criminelen

Een van de grootste blunders? Het ziekenhuis had geen strikte procedures voor software-updates. De aanval gebeurde via een kwetsbaarheid in de Microsoft Exchange-server, die hackers eenvoudig konden misbruiken omdat essentiële beveiligingspatches ontbraken.

Patchmanagement – oftewel het systematisch bijwerken van software om beveiligingslekken te dichten – is een fundamentele verdedigingslinie tegen cyberaanvallen. Dit nalaten creëerde een directe toegangspoort voor cybercriminelen.


Onvoldoende logging en monitoring: verloren sporen

Een degelijk loggingsysteem is cruciaal om cyberaanvallen te analyseren en ervan te leren. Helaas bleek dat het ziekenhuis onvoldoende logging en monitoring had, waardoor digitale sporen verloren gingen. Zonder een goed beveiligde en gestructureerde logging konden de onderzoekers de aanval niet volledig reconstrueren. Hierdoor werd het nagenoeg onmogelijk om te achterhalen hoe de aanval precies was verlopen – een gemiste kans om toekomstige aanvallen te voorkomen.


ziekenwagen rijdt met sirene op

Zwakke wachtwoorden: een open deur

Veel systemen binnen het ziekenhuis waren beveiligd met wachtwoorden van slechts 6 tot 8 tekens – een fluitje van een cent voor hackers die brute force-aanvallen uitvoeren. Een goed wachtwoordbeleid had hier een wereld van verschil kunnen maken. De GBA benadrukte dan ook het belang van langere, complexe wachtwoorden en multi-factor authenticatie.


Gebrekkige interne meldingsprocedures

Wanneer een cyberaanval plaatsvindt, is snelle en efficiënte communicatie essentieel. Maar in dit geval waren de interne meldingsprocedures gebrekkig: onvolledige notities, onduidelijke besluitvorming en trage actie. Deze procedurele tekortkomingen maakten het moeilijk om tijdig in te grijpen, waardoor de impact van de aanval groter werd dan nodig was.


Wat kunnen organisaties hiervan leren?

De beslissing 166/2024 biedt waardevolle lessen niet alleen voor ziekenhuizen, maar voor élke organisatie die persoonsgegevens verwerkt.

✅ Voer altijd een DPIA uit: Een grondige analyse van de risico’s bij nieuwe verwerkingen of systemen is essentieel om inbreuken op de privacy te voorkomen. Identificeer en beoordeel risico’s tijdig, zodat kwetsbaarheden proactief aangepakt kunnen worden.

✅ Stel een robuust informatiebeveiligingsbeleid op: Zorg voor een formeel en actueel beleid dat niet alleen technische maatregelen bevat, maar ook procedures voor training, logging en regelmatige audits.

✅ Bereid je voor op incidenten: Het tijdig opzetten van een effectief incidentresponsplan kan de impact van een datalek aanzienlijk beperken.

✅ Documenteer alles zorgvuldig: Zowel interne procedures als genomen maatregelen moeten goed gedocumenteerd zijn. Dit is niet alleen van belang voor de eigen beveiliging, maar ook voor een eventuele controle door toezichthouders.

✅ Investeer in continue verbetering: Cyberdreigingen evolueren razendsnel. Een sterke beveiligingsstrategie is geen eenmalige actie, maar een voortdurend proces van optimalisatie. Blijf op de hoogte van de laatste ontwikkelingen en pas je beveiligingsmaatregelen continu aan.


Conclusie

Deze zaak toont op pijnlijke wijze aan hoe kwetsbaar organisaties kunnen zijn als cybersecurity en gegevensbescherming niet hoog op de agenda staan. Maar de goede kant van het verhaal? Door tijdig de juiste maatregelen te nemen, kunnen ernstige incidenten worden voorkomen.

De les is duidelijk: cybersecurity is geen eenmalige checklist, maar een doorlopend proces dat vraagt om aandacht, expertise en actie.


💡 Wil je weten hoe jouw organisatie beter beschermd kan zijn tegen cyberdreigingen? Bij Mr. Franklin helpen we je graag! Neem vrijblijvend contact met ons op voor advies en ondersteuning. 🚀

 

bottom of page