Er is iets gebeurd bij de leverancier van het programma CarenZorgt. Iemand die geen toegang mocht hebben tot de informatie is het gelukt om toch zaken te downloaden. Er is inmiddels aangifte gedaan en degene die het waarschijnlijk heeft gedaan is al opgepakt. De politie is nog bezig met het onderzoek en wil achterhalen hoe het heeft kunnen gebeuren, welke informatie is gedownload en wat er mee gedaan is.
Wat is CarenZorgt?
Met hun eigen CarenZorgt account kunnen bewoners/deelnemers en familieleden zorgdossiers inzien. Medewerkers van S&L Zorg komen ook bij die informatie, maar komen daar via het programma ONS. De programma’s zijn van onze leverancier Nedap. Bijna een half miljoen mensen en 9.000 zorgaanbieders gebruiken de systemen van Nedap. Mensen kunnen via hun eigen CarenZorgt account ook gegevens van meerdere zorgaanbieders inzien.
Wat is er gebeurd?
Op maandag 17 oktober 2022 is Nedap op de hoogte gebracht van een kwetsbaarheid in het systeem van CarenZorgt. Deze kwetsbaarheid is hierna direct opgelost. Uit verder onderzoek is gebleken, dat er toch misbruik is gemaakt van deze kwetsbaarheid en dat documenten zonder dat het mocht zijn gedownload uit CarenZorgt.
Er is inmiddels aangifte gedaan en degene die het waarschijnlijk heeft gedaan is al opgepakt. De politie is nog bezig met het onderzoek en wil achterhalen hoe het heeft kunnen gebeuren, welke informatie is gedownload en wat er mee gedaan is. Nedap staat in contact met de politie over de voortgang van het onderzoek.
Zit er ook informatie van bewoners of deelnemers van S&L Zorg bij?
Ja, we hebben vernomen dat er ook informatie van 91 van onze huidige en voormalige bewoners/deelnemers bij zit. Wettelijk vertegenwoordigers van de bewoners en deelnemers die het betreft zijn hiervan met een brief op de hoogte gesteld.
In tweede instantie toch bekend welke bestanden zijn gedownload
In eerste instantie werd aangegeven dat niet vast te stellen was welke documenten er zijn gedownload. Later toen het onderzoek verder was, bleek het toch gelukt. Op 15 november 2022 hebben we vanuit S&L Zorg een tweede brief op de post gedaan richting wettelijk vertegenwoordigers van betrokkenen. In de tweede brief staan de bestandsnamen genoemd van de bestanden die gedownload zijn. We verwachten dat de brief 16 of 17 november bezorgd zal worden.
Wat kunnen betrokkenen met deze informatie?
Op basis van de titel van de bestandsnaam kan iemand zien welke informatie is gedownload. Bij sommige mensen zal het meevallen en geruststellen, omdat de documenten geen privacy gevoelige informatie bevatten. Bij sommige mensen zal het juist tegenvallen. Als betrokkenen op basis van de bestandsnaam meer informatie willen, kunnen ze de zorgcoördinator vragen om mee te kijken of inzage te geven in het document.
Door wie zijn deze documenten ingezien en wat doet de politie?
De documenten zijn gedownload. Er zijn op dit moment geen aanwijzingen dat de documenten verspreid zijn. Er is een verdachte aangehouden en gegevensdragers zijn in beslag genomen. Er zijn op dit moment nog steeds geen aanwijzingen dat de documenten verspreid zijn. De politie heeft aangegeven dat zij niet verwachten op korte termijn meer duidelijkheid te kunnen geven en dat het onderzoek nog enige tijd door zal lopen.
Waar moeten mensen betrokken bij dit incident nu op letten?
Deze inbreuk kan voor betrokkenen gevolgen hebben. Je kunt bijvoorbeeld door onbekenden benaderd worden met informatie over jezelf, denk bijvoorbeeld aan phishing. Bij phishing benaderen criminelen je, bijvoorbeeld via e-mail. Zij vragen je bijvoorbeeld om op een link te klikken en op deze manier proberen ze gegevens of geld te stelen. Meer informatie over phishing kun je vinden op de website van de Rijksoverheid.
Wat doet S&L Zorg met deze situatie?
We zijn allereerst behoorlijk geschrokken. Deze leverancier voldoet aan alle wettelijke eisen en doet zelfs meer op het vlak van privacy en beveiliging en toch is het fout gegaan. We zijn nu gestart met iedereen informeren. Hierna willen we helderheid hebben over wat er precies is gebeurd en welke gegevens naar buiten zijn gekomen. Daarna kijken we vooruit, naar hoe we dit soort incidenten zo goed mogelijk kunnen voorkomen in de toekomst.
Via onderstaande links kun je nog meer verdiepende informatie lezen over het incident:
Nieuwsbrief Nedap aan zorgaanbieders over incident
Extra nieuwsbrief van 22 december 2022 over incident
Heb je vragen over dit bericht aan S&L Zorg, dan kun je een mail sturen naar communicatie@slzorg.nl.
Laatste update 2 januari 2023