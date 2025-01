Een Amerikaanse tandartsketen heeft een ransomware-aanval en het daarop volgende datalek voor patiënten verzwegen. Westend Dental ontkende de aanval en het datalek zelfs en verklaarde dat patiëntgegevens door een 'per ongeluk geformatteerde' harde schijf verloren waren gegaan. De tandartsketen heeft besloten om een rechtszaak over verschillende vermeende overtredingen van de Health Insurance Portability and Accountability Act (HIPAA) voor een bedrag van 350.000 dollar te schikken.

Westend Dental werd eind 2020 getroffen door een aanval met de Medusa Locker-ransomware. De tandartsketen verzweeg dit voor zowel patiënten als privacytoezichthouders. De Office of the Indiana Attorney General (OIG) startte na een klacht van een patiënt een onderzoek naar de tandartsketen. De patiënt had Westend Dental om het eigen dossier gevraagd, maar kreeg te horen dat de gegevens niet beschikbaar waren omdat iemand de systemen had 'gehackt'.

De OIG vroeg om meer informatie en kreeg in juni 2022 te horen dat de servers eind 2020 met 'malware' waren geïnfecteerd. Eind 2022 deed Westend Dental een datalekmelding bij de procureur-generaal waarin het stelde dat er geen ransomware-aanval had plaatsgevonden en de harde schijf van de server per ongeluk was geformatteerd. Tijdens een getuigenis onder ede in 2023 verklaarde een medewerker dat het om een ransomware-aanval ging.

Verder bleek dat de tandartsketen na de ransomware-aanval geen onderzoek had uitgevoerd. Daarnaast werden gebruikersnamen en wachtwoorden voor systemen met gezondheidsgegevens onversleuteld opgeslagen en gebruikte de tandartsketen voor elke server met gezondheidsgegevens hetzelfde wachtwoord en gebruikersnaam. De medewerker die getuigde kon niet verklaren of er destijds monitoring aanwezig was. Hoe de aanvaller binnen wist te dringen is dan ook onbekend gebleven.

De tandartsketen liet een softwareleverancier back-ups maken, maar die was onvolledig en bevatte niet alle gegevens. Patiënten zijn daarnaast nooit over het datalek ingelicht. De procureur-generaal van de staat Indiana startte een rechtszaak tegen de tandartsketen, omdat de keten meerdere bepalingen van de HIPAA-wetgeving zou hebben overtreden. Westend Dental heeft besloten de zaak voor een bedrag van 350.000 dollar te schikken en de beveiliging op te schroeven. De schikking moet nog door de rechter worden goedgekeurd (pdf).