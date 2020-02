Het Medisch Centrum Leeuwarden (MCL) heeft verzuimd om tijdig kwetsbaarheden in de IT-systemen aan te pakken, terwijl leverancier Citrix hiertoe medio december wel de benodigde software had geleverd. Dat blijkt uit de antwoorden op Kamervragen van minister Bruins van Medische Zorg.

“MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd”, aldus Bruins in zijn schriftelijke beantwoording aan de Kamer. “Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen om uit te zoeken wat precies de redenen waren om niet al in december in te grijpen.”

Inbraak

Het MCL werd op 15 januari slachtoffer van een poging tot digitale inbraak. Uit voorzorg werd alle dataverkeer met de buitenwereld, waarvoor MCL is aangewezen op servers van Citrix, afgesloten. Door deze maatregel konden ook patiënten tijdelijk niet meer bij hun elektronische dossier. Bovendien raakte de elektronische communicatie met andere ziekenhuizen verstoord.

Na een kleine week kon MCL het signaal geven dat alle systemen weer veilig waren. Ook stelde het MCL vast dat de hackers bij hun aanval niet wisten door te dringen tot de interne systemen van het MCL of patiëntgegevens.

Adviezen

Of ook andere ziekenhuizen verzuimd hebben de workarounds tijdig uit te voeren kan Bruins niet zeggen. Naar aanleiding van de problemen met Citrix heeft het expertisecentrum voor cybersecurity in de zorg Z-CERT alle deelnemers aangeraden om de veiligheidsadviezen van het Nationaal Cyber Security Centrum (NCSC) op te volgen.

Daarnaast heeft Citrix patches beschikbaar gesteld om de kwetsbaarheid te herstellen. Het NCSC adviseert om deze patches te vertrouwen en te installeren, tenzij uit eigen risicoanalyse blijkt dat de systemen waarschijnlijk gecompromitteerd zijn. Het NCSC adviseert ook om na de installatie van de patches alert te blijven op misbruik van de kwetsbaarheden.

Op aangeven van Kamerlid Ellemeet (GroenLinks) onderzoekt Bruins daarnaast of deelname aan Z-Cert verplicht kan worden. De minister komt hier na het zomerreces op terug.