Tal van Nederlandse zorginstellingen hebben een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een aanvaller wist in te breken op het digitale zorgplatform Carenzorgt. Ruim negenduizend zorgaanbieders en bijna een half miljoen mensen maken van de digitale gezondheidsomgeving gebruik.

Vorige week meldde de politie dat een 19-jarige man uit Krimpen aan den IJssel was aangehouden voor de inbraak, waarbij tienduizenden documenten zijn buitgemaakt die medische of persoonsgegevens kunnen bevatten. Naar aanleiding van de inbraak hebben allerlei zorginstellingen hun cliënten gewaarschuwd en een datalek bij de Autoriteit Persoonsgegevens gemeld. Het gaat onder andere om Icare, PCSOH, KwadrantGroep, Libertas Leiden, GB Autisme, Reinier van Arkel en Ypse, Het Laar, Altrecht, Careaz, LEVANTOgroep, GGZ Drenthe, zorginstelling Tragel, Vughterstede, zorgorganisatie Zorgstroom, Carinova, zorginstelling De Zijlen, Tangenborgh, ORO, Savant Zorg.

"Alle cliënten die Caren gebruiken worden via een bericht in Caren en een brief op de hoogte gebracht van dit incident. In de brief raden we cliënten aan om hun wachtwoord te wijzigen en alert te zijn op phishing-mails. Vanwege het politieonderzoek kon Nedap niet eerder Savant Zorg informeren", aldus de zorginstelling. "Bij Savant Zorg vinden we de bescherming van persoonlijke gegevens heel belangrijk. We werken daarom altijd samen met betrouwbare organisaties. Nedap is een betrouwbare organisatie. We vinden het daarom voor iedereen heel erg dat dit gebeurd is."

Volgens Nedap maakte de aanvaller misbruik van een kwetsbaarheid in het systeem om de bestanden te downloaden. Er zijn vooralsnog geen aanwijzingen dat de documenten verspreid zijn. Om wat voor beveiligingslek het precies gaat is niet bekendgemaakt.