Incident persoonsgegevens

28 februari 2017

Dit weekend werd een webpagina van het AMC gehackt. Hierdoor kreeg de “hacker” toegang tot de inschrijfgegevens van degenen die via deze pagina een afspraak hebben gemaakt. Het gaat hierbij specifiek om het afsprakenformulier van de polikliniek Mondziekten, Kaak- en Aangezichtschirurgie. De hacker heeft aangegeven de gegevens niet te hebben ingezien. Er zijn geen andere pagina's of formulieren kwetsbaar of geraakt. Alle patiënten die dit formulier hebben gebruikt zijn via email op de hoogte gesteld van het probleem.

Dit had nooit mogen gebeuren. Dit vindt het AMC zeer vervelend en we hebben de patiënten hier onze oprechte excuses voor aangeboden. De betreffende pagina is na de melding direct geblokkeerd (offline gehaald). Er is een onderzoek ingesteld naar de oorzaak van het probleem, en het AMC heeft melding gemaakt van dit incident bij de Autoriteit Persoonsgegevens.

De hacker heeft vrijwel onmiddellijk contact met ons gezocht. Hij is eigenaar van een website over hacken, en heeft een bedrijf dat zich specialiseert in de digitale beveiliging. Het is hem niet te doen om de gegevens zelf, maar om de kwetsbaarheid van websites aan te tonen. Hij heeft aangegeven dat hij de gegevens op de inschrijfpagina niet heeft ingezien of gekopieerd, maar dat wel had gekúnd. Hoewel de gegevens dus niet door derden zijn ingezien, trekken wij ons dit zeer aan.

De betreffende pagina is een zogeheten externe pagina. Dat houdt in dat het geen onderdeel is van de amc-website maar wel direct gelinkt is via onze website. Alle externe webpagina’s zijn getest op hun kwetsbaarheid. We hebben geen enkele aanwijzing dat er meer kwetsbare pagina's zijn.

Bij het inschrijven via het online formulier zijn de volgende persoonlijke gegevens ingevuld: naam en initialen, patiëntnummer, BSN, geboortedatum, contactgegevens, inclusief email-adres en (mobiele) telefoonnummer, verzekeraar en verzekeringsnummer, adresgegevens van huisarts en tandarts, en een omschrijving van de klacht. Voor de goede orde, het gaat dus niet om het medisch dossier van patiënten. De hacker heeft daar geen toegang toe gehad.