Persoonlijke gegevens van patiënten waren tot voor kort kinderlijk eenvoudig van de websites van apotheken te halen. De beveiliging deugde van geen kant, constateerde het College Bescherming Persoonsgegevens (CBP) na onderzoek. (bron)
Er worden behoorlijk wat spotlights op beveiliging gezet (en dat is maar goed ook, gezien de stand van zaken) en ook de apothekers ontkomen daar niet aan. Over het Elektronisch Patiënten Dossier is veel gezegd en geschreven de afgelopen jaren en die lijkt nu van de baan (ja lijkt, want er zijn nog steeds initiatieven en als we niet goed opletten dan bestaat het straks toch ineens).
Nu blijkt misschien wel dat het EPD niet eens zo’n slecht idee was, hiermee zouden we tenminste nog grip kunnen krijgen op de beveiliging van de aangesloten apothekers (ja ja, mits we natuurlijk niet overal op zouden bezuinigen, want dan wordt het al snel een OV-chip verhaal). Apothekers lijken er in ieder geval flink op los te hebben gehobbyd met hun websites.
De patiënt gegevens waren gemakkelijk in te zien en de inlognamen en wachtwoorden waren gemakkelijk te onderscheppen. En het is natuurlijk al erg genoeg dat zo privacy gevoelige gegevens op straat terecht komen, maar hoe is het dan gesteld met het bestellen van medicijnen? Zouden de hackers ook in staat zijn geweest om medicijnen onder andermans naam te bestellen? Medicijnen die normaliter alleen op recept verkrijgbaar zijn maar die in het zwarte circuit ook gretig aftrek vinden?
En als we de gegevens van de patiënten al kunnen onderscheppen. Kunnen we dan ook niet toevallig de gegevens van de artsen onderscheppen? Zo kun je een aardige zakcent bijverdienen. Je onderschept de inlog-gegevens van een huisarts en schrijft voor zijn of haar patiënten recepten uit. Deze worden door de apotheek netjes klaargezet en meegegeven aan de eerste die ze komt halen.
Veel van deze medicijnen zullen vergoed worden door de verzekeraars en daar betalen wij dan dus allemaal aan mee. En wat als een hacker het recept voor een zwaar zieke patiënt weet te wijzigen? Mag jij de gevolgen daarvan zelf invullen…ik moet er niet aan denken.
Ik zeg overigens niet dat het zo gegaan is, want daar heb ik simpelweg de bewijzen niet voor. Maar uitsluiten kan ik het ook niet. Misschien goed om toch een keer te checken wat jouw verzekeraar allemaal heeft moeten vergoeden vorig jaar? En hoeveel daarvan is inderdaad aan jou besteed?