Persoonlijke gegevens van meer dan een miljoen patiënten zijn buitgemaakt bij een Amerikaanse ziekenhuisketen. De schuldige bleek een ex-medewerker van IT-leverancier Nuance te zijn.
Geisinger, een grote speler in de Amerikaanse gezondheidszorg, deelde op 24 juni een mededeling over het cyberincident via de website. Het schrijft dat de persoonlijke gegevens van meer dan een miljoen patiënten in november buit zijn gemaakt door een externe actor.
Het gaat om namen, adressen, telefoonnummers, maar ook medische data en gegevens over de ziekenhuisopname van de patiënt. Gegevens over verzekeringen of financiële informatie blijven buiten schot.
De ziekenhuisketen wijst met beschuldigende vinger naar zijn IT-dienstverlener Nuance Communications. Nuance biedt onder slimme spraakoplossingen voor medisch personeel. Een ex-medewerker van het bedrijf zou de dader van de hack zijn geweest en werd inmiddels ook aangehouden.
Boter op het hoofd
Nuance heeft zelf ook een dikke klomp boter op het hoofd. Het contract met de dader was enkele dagen voor de inbraak beëindigd, maar het account en de inloggegevens waren nog niet gewist. De ex-medewerker wist zo nog aan de haal te gaan met sensitieve gegevens, concludeerde het bedrijf na een intern onderzoek.
Het is ook niet de eerste keer dat dit Nuance overkomt. In 2018 was het bedrijf betrokken bij een datalek bij het departement van gezondheidszorg van San Francisco, de schuldige bleek ook toen een voormalig medewerker van het bedrijf te zijn. Nuance blijkt jaren later nog steeds nonchalant om te springen met potentiële insider threats.
Het incident is ook geen goede publiciteit voor Microsoft, dat Nuance drie jaar geleden voor vele miljarden dollars inlijfde. Microsoft ligt zelf onder vuur voor hoe het met recente beveiligingsincidenten is omgesprongen. Ook al heeft Microsoft hier geen directe rol in, worden de ouders altijd mee op het matje geroepen voor wat de kinderen uithalen.