Er is genoeg reden om sceptisch te zijn over de cybersecurity van ziekenhuizen. Zorginstellingen digitaliseren net als de rest van de maatschappij mee, en lopen daarbij evengoed regelmatig tegen problemen aan. Denk aan hoge kosten en slechte beveiliging. We gaan in dit artikel in op enkele risicofactoren.

Het uitwisselen van medische data wordt steeds makkelijker, maar ook belangrijker. De overheid pleit al jaren voor een landelijk elektronisch patiëntendossier (EPD), maar daar verzetten tegenstanders zich met hand en tand tegen. De uit de hand lopende ict-kosten spelen het landelijk EPD parten, maar er zijn ook zorgen om de privacy. Organisaties als Bits of Freedom bijvoorbeeld zijn bezorgd over het afnemen van privacy als gevolg van toenemend gebruik van technologische en internettoepassingen.

Het landelijk EPD mag dan inmiddels van tafel zijn, maar in plaats daarvan zijn er allerlei lokale EPD’s opgekomen. Ziekenhuizen of grote zorginstellingen bouwen bijvoorbeeld hun eigen systeem (of laten dat doen), en regionale instellingen werken samen om dat te regelen. Vervolgens kan informatie uit die systemen worden uitgewisseld via het zogenaamde ‘Landelijk Schakel Punt’ (LSP).

Er is dus geen centrale database met alle gegevens van alle patiënten in Nederland. Een extra voordeel is dat alleen gegevens in een bepaalde regio mogen worden uitgewisseld - een Brabantse patiënt kan zijn gegevens dus niet delen met een Fries ziekenhuis. Patiënten moeten tevens expliciete toestemming voor het uitwisselen van gegevens geven.

Grote ict-projecten van de overheid zijn notoir duur en vertraagd. Bovendien levert de grootte vaak privacy- en beveiligingsproblemen op. Wat dat betreft is het misschien een goede zaak dat er geen landelijk EPD is gekomen. Van de andere kant is het een groot probleem dat al die losse systemen nu hun eigen standaarden hebben en daarom vaak moeilijk (of helemaal niet) compatibel zijn met elkaar.

Medische apparatuur met internet verbonden

Uit onderzoek van securitybedrijf McAfee bleek dat heel veel ziekenhuizen PACS (Picture Archiving and Communication Systems) gebruiken om afbeeldingen zoals CT-scans, röntgenfoto’s of ultrasounds op te slaan. Idealiter wordt die informatie alleen lokaal opgeslagen of via een air gap of goede firewall afgeschermd van het reguliere netwerk, maar de praktijk is helaas vaak anders. Een snelle zoektocht op IoT-zoekmachine Shodan laat namelijk zien dat er meer dan 1.100 van zulke apparaten via internet benaderbaar zijn. McAfee ontdekte ook dat die apparaten vaak notities bevatten zoals ‘IE 6 support only’, of gebruikmaakten van oude Java-code. Niet heel erg up-to-date dus!

Toen de onderzoekers van het bedrijf verder keken bleken ze nog veel meer informatie te kunnen achterhalen. Zoveel zelfs dat het één van hen lukte om een model van een knie en een bekken te maken op een 3D-printer, door middel van alle informatie die zij wisten te vinden.

©PXimport

Het échte gevaar zit nog steeds in de systemen die ziekenhuizen gebruiken. Laten we immers WannaCry niet vergeten, een agressieve vorm van ransomware die in 2017 honderden ziekenhuizen over de hele wereld platlegde. Een half jaar na de aanval bracht de Britse National Audit Office een evaluatierapport uit. Dat bevatte harde conclusies. Ziekenhuizen waren slecht voorbereid op een cyberaanval en hadden heel simpele preventiemaatregelen kunnen nemen.

De communicatie verliep bovendien slecht, uitgerekend doordat de ransomware systemen had geblokkeerd, waardoor e-mailcommunicatie veel moeizamer ging. Uit het rapport bleek bovendien ook dat veel zorginstellingen hun systemen naderhand nog steeds niet gepatcht hadden.

Hopeloos verouderd

Eén van de problemen die inmiddels al wel duidelijk zijn is dat Nederlandse ziekenhuizen nog schrikbarend vaak gebruik maken van Windows XP. Het besturingssysteem krijgt al sinds april 2014 geen beveiligingsupdates meer, maar uit een steekproef van de NOS bleek dat 14 van de 25 ondervraagde ziekenhuizen in ieder geval op een paar afdelingen nog gebruik maakten van Windows XP.

Het is mogelijk je daar als bedrijf alsnog tegen te wapenen door Microsoft te betalen voor updates - de overheid doet dat voor sommige instanties nog steeds. Bij ziekenhuizen worden die kosten echter niet gemaakt. Het probleem is tweeledig. Aan de ene kant is het een kostbare zaak om een heel ziekenhuis, met vaak duizenden medewerkers en zeker zoveel computers, te upgraden naar een nieuw besturingssysteem. Niet alleen kosten de nieuwe Windows-licenties geld, maar bij de manuren die je kwijt bent met zo’n project lopen de kosten al snel op.

Maar het grotere probleem zit in de specifieke medische apparatuur die ziekenhuizen gebruiken. Apparaten zoals MRI-scanners zijn bijvoorbeeld vaak alleen compatibel met Windows XP. Nieuwe software wordt er niet gemaakt, en bestaande software wordt zelden geüpdatet om compatibel te zijn met nieuwere besturingssystemen. Zoals bij veel instellingen geldt dan ook in dit geval: “If it ain’t broke, don’t fix it.”

Meer uitdagingen

Medisch opgeleid personeel is over het algemeen minder bezig met digitale veiligheid. Ze hebben minder ervaring met het herkennen van phishing-mails, en minder tijd om ingewikkelde processen als tweestapsverificatie te implementeren en te gebruiken. Ziekenhuizen en medische instellingen groeien bovendien hard of fuseren vaker. Dat maakt het op organisatorisch niveau erg lastig om stabiele securityprocessen op te zetten en om een consistent updatebeleid te implementeren voor alle bedrijfssystemen.

Bovenstaande risico's maken ziekenhuizen tot een heel interessant doelwit voor hackers. Veel persoonlijke gegevens bij elkaar in combinatie met een doorgaans matige beveiliging én een hoge bereidheid te betalen voor ransomware zijn een goudmijn voor kwaadwillenden. Eenvoudige oplossingen zijn niet zomaar voor handen, en daarom blijft dit voorlopig een hoofdpijndossier.

Criminelen hebben een website opgetuigd waar slachtoffers van de Odido-hack zich kunnen melden voor een schadevergoeding door middel van een massaclaim. Hiervoor moeten potentiele deelnemers enkele tientjes overmaken.

Het was te verwachten dat criminele organisaties zouden inspelen op de Odido-hack, door potentiële slachtoffers te benaderen via e-mail of sms met de mededeling dat ze in aanmerking komen voor bijvoorbeeld compensatie.

De website odidoschadevergoeding.nl zegt slachtoffers van de Odido-hack te willen helpen met een claim tegen de internetprovider. Hiervoor moeten er eerst veel persoonlijke gegevens worden ingevoerd, waaronder voor- en achternaam, e-mailadres, woongegevens en telefoonnummer.

Opvallend is ook dat de website het Odido-klantnummer wil weten, alsmede welk type abonnement het slachtoffer van de hack bij de provider had afgenomen.

Tienduizenden euro's

Zijn al je gegevens ingevuld, dan beweert odidoschadevergoeding.nl dat je wel zo'n 10.000 euro aan schade kunt verhalen. Volgens de Consumentenbond zou het echter nog veel te vroeg zijn voor een dergelijke schadeclaim omdat het onderzoek ernaar nog niet is afgrond. Daarnaast zijn de beloofde bedragen erg hoog.

Bovendien moet je - om mee te kunnen doen met de claim - een bedrag van 49,99 euro betalen. Je krijgt zelfs 'korting' als je de claim via WhatsApp deelt met je vrienden en familie.

Gegevens

Op de website odidoschadevergoeding.nl wordt een adres in Eindhoven genoemd als zijnde contactgegevens, maar dit blijkt een restaurant te zijn. Het is dus niet duidelijk wie er achter deze website zit. Het domein is geregistreerd op 16 februari 2026, daags nadat de hack naar buiten kwam. De eigenaar lijkt Kollox.nl te zijn, dat bedrijf is volgens de Kamer van Koophandel een eenmanszaak gespecialiseerd in juridische- en ict dienstverlening.

The Pokémon Company heeft een Pokémon Presents aangekondigd voor op 27 februari - ofwel Pokémon Day - waarin nieuwe aankondigingen voor de franchise gedaan zullen worden.

Dat kondigde het bedrijf aan op X. De presentatie vindt dus plaats op donderdag 27 februari, om 15:00 uur Nederlandse tijd middels een livestream, die op het YouTube-kanaal van The Pokémon Company te bekijken is. Ten tijde van de presentatie werken wij dit bericht ook aan, zodat de stream hieronder te zien is. 

Hoe lang de presentatie gaat duren is niet vermeld, maar uitgaande van eerdere presentaties kan het tussen de vijftien en dertig minuten duren. Deze Pokémon Presents is wel bedoeld om de dertigste verjaardag van de franchise te vieren, dus wellicht is deze editie wel voller dan normaal.

The Pokémon Company heeft in ieder geval al één aankondiging de deur uit gedaan: namelijk dat Pokémon FireRed en LeafGreen op Pokémon Day beschikbaar worden op de Nintendo Switch. De games zijn nu al te pre-orderen op de Nintendo eShop voor 19,99 euro per stuk. 

Verwachtingen voor de Pokémon Presents

Bovenstaande aankondiging is iets waar fans al jaren om smeken, dus dat laat ons afvragen wat het bedrijf nog meer in petto heeft. 

De hoop is in ieder geval dat de Pokémon-games van de tiende generatie uit de doeken worden gedaan, gezien de huidige releasevolgorde van Pokémon-titels. Eerst komt er een Legends-titel uit, en het jaar daarna een nieuwe ‘mainline’ Pokémon-game. Na Pokémon Legends: Z-A in 2025 zou dit najaar dus een nieuwe hoofdtitel aan de beurt zijn. 

©The Pokémon Company

Eerder in 2025 doken er ook geruchten op dat The Pokémon Company werkt aan een soort gigantische MMO, die de regio’s van de eerste vier Pokémon-generaties naadloos met elkaar verbindt en spelers vrij laat om daar te verkennen. Als dit project echt bestaat kan die wellicht ook voorbij komen tijdens de Pokémon Presents.

Verder valt te verwachten dat er een aantal updates komen over de Trading Card Game en diens virtuele Pocket-variant, met wellicht ook nieuws over aankomende animatieprojecten als nieuwe anime en Pokémon Concierge.