6 november 2008

Criminelen dreigen gegevens van miljoenen Amerikaanse patiënten te publiceren . De dossiers zijn gestolen uit de database van een grote medicijnenmakelaar. Het bedrijf Express Scripts, dat als tussenpersoon optreedt voor zorgverzekeraars voor wat betreft medicijneninkoop en -verstrekking, werd in oktober benaderd door de afpersers, waarbij deze stelden in het bezit te zijn van miljoenen patiëntendossiers, afkomstig van het bedrijf. Het betreft om naam- en adresgegevens, geboortedata, sofinummers en medische gegevens. Express Scripts beheert meer dan 50 miljoen patiëntendossiers. De afpersers willen geld zien om te voorkomen dat de gegevens worden gepubliceerd. Om het dreigement kracht bij te zetten, plaatsten de afpersers de vertrouwelijke gegevens van 75 patiënten in de brief. Express Scripts schakelde daarop de FBI in, waarna een onderzoek is ingesteld. Inmiddels heeft het bedrijf een website gelanceerd met informatie over de diefstal en tips voor het voorkomen van diefstal van identiteit. George Paz, CEO van Express Scripts heeft laten weten dat 'we have been conducting a thorough investigation since we received this threat and we are taking it very seriously. We are cooperating with the F.B.I. and are committed to doing what we can to protect our members’ personal information and to track down the person or persons responsible for this criminal act'.

Feit is echter dat het bedrijf op dit moment nog geen enkel idee heeft hoe dit heeft kunnen gebeuren en op wat voor manier de informatie gestolen is. Woordvoerder Steve Littlejohn: 'All we know about the nature of the data taken is that the letter enabled us to tell where in our system it was taken from', zo zei hij. 'We’re not ruling anything out'. En hij vervolgt: 'Because of the investigation, the company is not willing to give details about the nature of the threat letter, such as whether it was sent as an e-mail message or through the United States postal system. The extortion threat is for money, but I won't disclose the amount. … 'We're still not certain how much data had actually been stolen and we have not ruled out the possibility of an insider theft'. De diefstal van de gegevens toont aan dat het mogelijk is om de gegevens van miljoenen patiënten te ontvreemden, maar ook dat daar een criminele markt voor is. Beth Givens, directeur van Privacy Rights Clearinghouse in San Diego, zei dat 'users of the Express Scripts programs could be exposed to two types of identity theft — financial, where credits cards and other accounts are opened in their names; and medical, where their information could be used to get medical services or pharmaceutical drugs. To protect themselves against such scenarios, consumers can place a fraud alert on their credit reports', zo zei ze. 'The alerts are free by calling one of the three main credit monitoring agencies. For added protection, consumers can pay for a security freeze on their credit reports'. In Nederland wordt op dit moment gewerkt aan de invoering van een Elektronisch Patiënten Dossier (EPD). De invoering van dit systeem zorgt voor veel ophef, omdat onder andere huisartsen hun vraagtekens zetten bij de waarborging van de privacy van patiënten. Het forensisch IT-bedrijf Fox-IT uit Delft geeft aan grote twijfels te hebben bij de beveiliging van het systeem en vreest het dat het relatief eenvoudig gaat worden gegevens te stelen. Volgens het bedrijf kunnen de gegevens straks door onbevoegden relatief eenvoudig worden geraadpleegd en gewijzigd via onbeveiligde computers van huisartsen, fysiotherapeuten, apothekers en andere zorgverleners. Alleen zorgverleners met een toegangscode en pas krijgen volgens het ministerie inzage. Gegevens worden versleuteld verzonden. Achteraf kan worden gezien wie de informatie heeft opgevraagd. Beveiligingsexperts van Fox-IT uiten hun twijfels. 'Het is straks technisch mogelijk om via een lek in de computer van bijvoorbeeld een huisarts gegevens op te vragen', zo zegt beveiligingsspecialist Mark Koek. 'Door het grote aantal zorgverleners dat toegang heeft is er altijd wel een eindpunt dat 'lek' is'. Hoewel het technisch mogelijk is, is het wel de vraag wie er met de gegevens aan de haal zullen gaan. 'Verzekeraars zullen het wel uit hun hoofd laten om de gegevens te misbruiken. Maar als ik bekende Nederlander was, zou ik mijn dossier afschermen', zo zegt Koek. Een van de grootste risico's is volgens de expert dat gegevens kunnen worden gewijzigd door derden. 'Dan staat er vlak voor een operatie in je dossier dat je linker- in plaats van rechterbeen moet worden geamputeerd. Of ben je opeens psychiatrisch patiënt met alle gevolgen van dien'. Het ministerie zegt dat alle mogelijke veiligheidsmaatregelen zijn genomen. Wat niet wil zeggen dat het dan ook veilig is….