AZ Monica-lek trof ook 3 andere ziekenhuizen; 71.000 patiëntgegevens zichtbaar

Cyberveiligheidsexperts claimen door de cyberaanval bij AZ Monica de gegevens van 71.000 patiënten van drie andere Belgische ziekenhuizen te hebben bemachtigd. De data lijkt nog niet beschikbaar op het darkweb of andere platformen.

Geert Baudewijns, ceo van het cybersecuritybedrijf Secutec, zegt tegen het Vlaamse VRT NWS dat drie andere ziekenhuizen gebruikmaken van dezelfde leverancier als AZ Monica. Dat ziekenhuis besloot eerder deze week zijn netwerk uit te schakelen en alle operaties uit te stellen. De organisatie sprak zelf van een IT-storing, maar volgens een bron van VTM Nieuws zou het om een cyberaanval gaan.

Baudewijns zegt dat hij door dezelfde kwetsbaarheid ook de wachtwoorden van drie andere Vlaamse ziekenhuizen heeft kunnen bemachtigen. Hoe dat precies is gebeurd, is niet bekend. VRT NWS suggereert dat Baudewijns de wachtwoorden mogelijk via een passwordstealer heeft verkregen, maar dat is niet zeker. "We hebben testen gedaan en daaruit bleek dat hackers daar effectief gebruik van konden maken om aan de gegevens te komen van 71.000 patiënten", vertelt Baudewijns. Hackers lijken het lek volgens Baudewijns nog niet te hebben misbruikt: "Volgens mij is dat nog niet gebeurd. Al heb ik daar geen zekerheid over. We hebben de data niet gevonden op het darknet of andere platformen."

Baudewijns kon door de kwetsbaarheid de adresgegevens, rijksregisternummers en namen van 71.000 patiënten zien. Het lek is inmiddels gedicht, zegt hij.

Update, 17.54 uur – Informatie toegevoegd over het mogelijke gebruik van een passwordstealer.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 14-01-2026 17:33
41 • submitter: Admiral Freebee

14-01-2026 • 17:33

Submitter: Admiral Freebee

Lees meer

Microsoft dicht drie zerodays waarvan één actief werd misbruikt

Microsoft dicht drie zerodays waarvan één actief werd misbruikt Nieuws van 14 januari 2026

Antwerps ziekenhuis stopt operaties vanwege IT-storing, 'gaat om cyberaanval'

Antwerps ziekenhuis stopt operaties vanwege IT-storing, 'gaat om cyberaanval' Nieuws van 13 januari 2026

ESA meldt datalek; hacker claimt diefstal 200GB data en broncode

ESA meldt datalek; hacker claimt diefstal 200GB data en broncode Nieuws van 31 december 2025

Kabinet NL voert regels in voor bedrijven die werken met gevoelige overheidsinfo

Kabinet NL voert regels in voor bedrijven die werken met gevoelige overheidsinfo Nieuws van 28 november 2025

Meer producten en artikelen

Privacy België Ict-sector Security

IT-banen

Meer vacatures

Reacties (41)

41

41

19

3

0

21

Wijzig sortering

Martinspire 14 januari 2026 18:23

Is dit weer zo'n lek waar theoretisch zoveel records te vinden waren maar je moet weten wat je doet (wat voor data erin zit) om ze er werkelijk uit te halen?

Verder blijf ik het opvallend vinden dat bepaalde gegevens altijd bij elkaar worden opgeslagen. Dan maak je het hackers ook wel makkelijk om de boel te lekken. Om nog niet te spreken over waardeloze bescherming van je data. Hoezo kun je zoveel gegevens uberhaupt opvragen (zowel het aantal calls om dat te doen als de data per call). Bij productie moet je toch niet zomaar alles kunnen inzien als welke gebruiker dan ook?

[Reactie gewijzigd door Martinspire op 14 januari 2026 18:23]

België
Privacy
Security

@Martinspire • 14 januari 2026 18:38

Je rijksregisternummer is in de medische wereld datgene wat jouw als patient identificeert. Krijg je een voorschrift voor bij de apotheek iets af te halen, dan wordt dat voorschrift gekoppeld aan je RRN en kan elke apotheker in het land dat inkijken. Heb je een EPD dan is dat opvraagbaar aan de hand van je RRN. En waarom je RRN? Omdat je een nummer nodig hebt dat jouw als persoon uniek identificeert en overal in Belgie werkt. Een nummer dat je altijd bij je hebt want staat op je identiteitskaart. En een nummer dat nooit veranderd.

En ja, dus ook je contactgegevens moeten daaraan gekoppeld zijn. Hoe kan men je anders contacteren om je te herinneren aan je afspraak of om de factuur te sturen van die kosten die niet terugbetaald worden door de verzekering of ziekenfonds waarbij die laatste 2 jouw ook weer identificeren aan de hand van je RRN.

En hoezo moet je niet alles kunnen inzien. Als een patient belt voor een afspraak of om informatie, dan moet je dat toch kunnen opvragen als medewerker die gemachtigd is om dat op te vragen. Dan moet je toch aan die basis informatie van die patient kunnen. En neen, de meeste mensen kennen hun RRN niet van buiten, maar wel hun geboortedatum, wat net een groot deel van je RRN vormt.

Het is ook niet duidelijk of er 71k patienten hun gegevens gestolen zijn. Toegang hebben tot is nog iets anders dan effectief exfiltreren. We weten ook niet aan welke snelheid die exfiltratie ging. Als je niet opgemerkt wordt, en je hebt tijd, waarom alles in 1 keer doen en net het risico lopen dat je tegen monitoringslimieten aanloopt?

Martinspire @Blokker_1999 • 14 januari 2026 22:53

Maar je hoeft toch niet in elke database en elke tabel van elke zorginstelling overal je persoonlijk identificeerbaar nummer toe te voegen? Een random ID koppelen aan dit nummer en dit overal gebruiken is toch veel beter voor privacy? Alleen waar je een specifiek dossier opvraagt, zou je de werkelijke waarde kunnen tonen, maar zelfs dan is het belang vrij laag om dit overal te tonen en gebruiken. En waar je daadwerkelijk contact met een patient hebt, kun je tijdelijk die informatie ophalen om het daarna weer weg te doen. Er is geen enkele reden om overal met privacygevoelige informatie te werken en dit in meerdere tabellen te herhalen. Gewoon 0. Pas op het einde van de keten hoef je de gegevens aan elkaar te koppelen en te tonen zodat je nooit grote overzichten hebt met veel risico op privacy inbreuken.

PowerToTheUsers @Martinspire • 15 januari 2026 13:46

Dat RRN zal ook niet in elke database in elke tabel gebruikt worden, meestal is er nog een Patient-ID, een opname-ID, en eventueel specifieke onderzoek-ID's of consultatie-ID, maar die worden ergens wel aan de juiste persoon gelinkt, dus ergens aan het juiste RRN of equivalent gekoppeld.

Dus 71.000 "patiënten" kunnen ook de gegevens van 71.000 patiënt-ID's zijn, waarbij het niet om 71k unieke personen gaat.

qsecofr @Blokker_1999 • 15 januari 2026 11:16

Re: rijksregisternummer, technisch gezien is het net iets complexer. In deze context is het de INSZ nummer, wat in veel gevallen ook je rijksregisternummer is, maar niet altijd. Werknemers die niet in het rijksregister zijn opgenomen (waaronder sommige grensarbeiders bv) krijgen een BIS nummer.

Dit INSZ nummer is trouwens maar een entry point, intern moet dat vertaald worden naar bv je aansluitingsnummer bij het ziekenfonds (die laatste werken met prefixen zoals de oude stijl aan rekeningnummers), dan zijn er vaak ook EXIDs (tokenised identifiers dat door een aantal organisaties gedeeld worden) en een heleboel interne identificatienummers.

Als je gewoon een databasedump hebt van een healthcare org zonder verdere documentatie kost het je behoorlijk wat research om die mapping van RRN naar effectieve data te gaan maken, het is vaak een flow met meerdere hops in databasestructuren dat archaisch zijn en al 30 jaar van de vorige release van de serversoftware op de volgende zijn over gezet. Het is bv niet ongebruikelijk om restricties tegen te komen van tien karakters voor een veldnaam.

gaskabouter @Martinspire • 14 januari 2026 19:09

Tsja. Dat heet een dossier. Toch wel fijn als alle patiënten daarin staan. Kern van de zaak is toch dat ik altijd toegang moet hebben tot alle gegevens van een patiënt lijkt me?

Anders kan ik mijn werk niet doen en wordt het wel erg onveilig

Martinspire @gaskabouter • 14 januari 2026 22:55

Maar je hebt toch niet overal je hele dossier nodig en altijd alle gegevens daarvan? En je hoeft toch ook niet uit de database altijd al die gegevens te queryen? En je hoeft in databases toch ook niet toegang te hebben tot de volledige tabellen met identificeerbare gegevens? En de API hoeft toch ook niet wagewijd open te staan om die data er lukraak uit te halen? Dat is gewoon broddelwerk en daar mag best een flinke boete tegenover staan.

gaskabouter @Martinspire • 15 januari 2026 06:49

Natuurlijk wel. Onvolledige data is een risico voor de patiënt. Wat zou jij ervan vinden als ik diagnose stel met de opmerking dat ik maar het halve dossier heb gezien: "trust me, I'm a doctor."?

Het dossier staat gewoon altijd helemaal tot mijn beschikking. Is zelfs een eis. De IGJ maakt gehakt van je als de dossiervorming niet compleet is of alle data niet op het juiste moment beschikbaar is.

Ik weet niet precies wat je bedoelt met eruit halen. Je kunt het raadplegen, niet downloaden of zo

https://meld.nl/melding/medisch-recht-advocaat/foutieve-of-incomplete-dossiers/

Artsen zien dagelijks gevaar voor patiëntveiligheid door ICT-problemen - https://nos.nl/l/2560282

[Reactie gewijzigd door gaskabouter op 15 januari 2026 06:53]

Martinspire @gaskabouter • 15 januari 2026 09:12

Zodra je reden hebt om een dossier te openen, moet je inderdaad alle informatie hebben, maar je hoeft niet in elke stap van de zorgketen altijd alle informatie te hebben en je hoeft ook niet altijd toegang te hebben tot hele lijsten aan privacy gevoelige data. Dat een arts mijn dossier in kan zien, snap ik helemaal. Maar hij hoeft er maar 1 per keer te zien en niet 71.000 in 10 seconden bijvoorbeeld. Daarnaast hoeft management, accounting en andere plekken lang niet alle informatie van mensen te zien. Het gaat erom hoeveel toegang mensen hebben, niet wat er in een dossier staat...

gaskabouter @Martinspire • 15 januari 2026 09:28

Sterker nog. In iedere stap van de zorgketen moet alle benodigde informatie voor iedere mogelijk betrokken zorgverlener altijd beschikbaar zijn.

Je kunt wel stellen dat dat allemaal echt niet nodig is maar dan ben je ongehinderd door kennis van het medisch bedrijf.

En niemand kijkt in 10 seconden in 71000 dossiers maar hij moet wel in 10 seconden in 71000 dossiers kunnen. En management krijgt gewoon een rapportage. Die kunnen helemaal niet in het epd.

Martinspire @gaskabouter • 15 januari 2026 10:06

Je zit nog steeds met hele andere ideeën in je hoofd die ik helemaal niet zeg.

Dat je visueel in de applicatie gegevens bij elkaar ziet, is irrelevant. En dat iemand bij alle dossiers moet kunnen is ook irrelevant. Het gaat erom dat je niet in elke database alle informatie hoeft te hebben en dat elke tabel altijd helemaal beschikbaar moet zijn met duizenden records (in 1 keer) die je in een habbekrats kunt opvragen. Dát is gewoon heel slecht geïmplementeerd. Dát is de beveiligingslaag die er hoort te zijn.

Het maakt voor de applicatie echter geen zak uit of alle data gekoppeld wordt aan je persoonlijke ID nummer of een lukraak gegenereerd nummer. Het enige wat je moet hebben is een koppeling die uiteindelijk de informatie ergens uit haalt, al is de kans vrij groot dat deze gewoon bovenaan het scherm staat en de rest van de toepassingen daar niet eens bij kan. En dat bij een medische afbeelding dan de naam van de patient erin gezet is, is ook irrelevant. Ja je moet alles kunnen herleiden, maar dit gaat over de toegang tot de data, niet hoe deze uiteindelijk in een applicatie getoond wordt.

gaskabouter @Martinspire • 15 januari 2026 10:32

Ik denk dat je geen flauw idee hebt hoe een epd in elkaar zit. Op moment van schrijven hebben we in deze kliniek meer dan 300 programma's die hun eigen data verzamelen, verwerken en koppelen.

Er is niet 1 database er zijn er honderden met ieder hun eigen data, niet iedere database heeft alle data. Dat is een aanname van jou die helemaal niet klopt.

Je samenvatting van wat ik nodig zou hebben komt volstrekt niet overeen met de werkelijkheid. Dat het waarschijnlijk bovenaan het scherm staat en ik geen hele tabel met gegevens nodig zou hebben....

Je hebt geen idee

William_H @gaskabouter • 15 januari 2026 22:31

maar hij moet wel in 10 seconden in 71000 dossiers kunnen.

De database an sich, maar niet naar een unieke API koppeling. Want er is geen één eindpunt in het systeem die in 10 seconden alle 71000 records hoeft te kunnen raadplegen. Laat staan dat dat een export functie is.

gaskabouter @William_H • 15 januari 2026 22:50

Er worden real time grote hoeveelheden data verzameld voor kwaliteit en financiële analyse. Er zijn een kleine 2500 prestatie indicatoren die real time gemonitord worden....

Ik weet niet of je zoiets bedoelt?

William_H @gaskabouter • 15 januari 2026 23:03

Maar dat kunnen dus enkele items uit een record zijn. Niet volledige records ;)

Wouterie @Martinspire • 15 januari 2026 13:14

Ik vind het eigenlijk meer verwonderlijk dat slechts een wachtwoord nodig is om bij deze data te komen. Alles wat ook maar een beetje gevoelig is zit bij ons achter tenminste 2FA.

Privacy

14 januari 2026 17:40

Baudewijns zegt dat hij door dezelfde kwetsbaarheid ook de wachtwoorden van drie andere Vlaamse ziekenhuizen heeft kunnen bemachtigen.

Maar.

Bedoelen ze daar echt mee wat ik denk dat ze bedoelen of is dit ook een stukje “lost in translation” en gaat het meer om “toegang verkrijgen op andere manieren”?

Want een wachtwoord achterhalen wat toegang geeft tot tienduizenden patiëntdossiers klinkt sowieso al als meerdere inrichtingsfouten van zowel de leverancier als het ziekenhuis.

Auteur

Imre Himmelbauer Redacteur @supersnathan94 • 14 januari 2026 17:52

In het bronartikel wordt helaas niet in detail beschreven hoe het lek werkte. Er wordt wel aandacht besteed aan password stealers en VRT suggereert dat dergelijke software is gebruikt, maar dat is niet met zekerheid te zeggen. Ik zal dat nog wel in het artikel verwerken.

Privacy

@Imre Himmelbauer • 14 januari 2026 17:54

Begrijpelijk, het zou me ook niks verbazen als Baudewijns daar ook al een Jip en Janneke sausje overheen heeft namelijk.

Maar dit hele fiasco illustreert nog maar weer dat er nog een lange weg te gaan is voordat we veilig met EPD aan de gang kunnen gaan.

Ootje70 @supersnathan94 • 14 januari 2026 18:02

Het illustreert dat er nog veel ziekenhuizen zijn die hun beveiliging niet op orde hebben. Mede omdat hun budgetten niet toereikend zijn terwijl ze wel aan allerlei wet- en regelgeving moeten voldoen. Dat zegt niets over het wel of niet moeten gebruiken van een EPD, alle ziekenhuizen werken met een HIS/EPD. Ik neem aan dat je bedoelt dat het uitwisselen van medische gegevens tussen organisaties een risico is met dit niveau van beveiliging.

Coolstart @Ootje70 • 14 januari 2026 18:10

Vaak gaat het over makkelijk op te lossen fouten. De standaarden zijn extreem hoog maar als systemen groeien maken mensen foutjes.

Vaak is het voldoende om bestaande processen aan te passen binnen het zelfde budget. Zeker bij bedrijven waar er al serieuze budgetten waren omdat het opgelegd wordt. Er zijn ook audits etc.

Privacy

@Ootje70 • 14 januari 2026 19:46

Nou niet alleen het uitwisselen van de gegevens. Landelijk EPD en dus ook lokaal EPD zijn met dit niveau gewoon niet goed genoeg. Medische data is security++ als je wetgeving moet geloven, maar als je dan hoort wat voor semi amateuristische zaken er dan in de praktijk gevonden worden zou je eerder neigen naar security— in de praktijk.

Mede omdat hun budgetten niet toereikend zijn terwijl ze wel aan allerlei wet- en regelgeving moeten voldoen.

De helft is inrichting. Dat zagen we in NL ook bij onze GGD. Niet gebruik maken van whitelisting voor BN-ers. En gewoon het feit dat het als normaal gezien wordt door medisch personeel om in dossier van familie/vrienden rond te kijken. Ik zie het bij familie ook. Kan ik erg slecht mee dealen.

meeste valt ook echt wel terug te rekenen naar de leverancier. Zoals in dit geval dus de leverancier zijn spul niet op orde lijkt te hebben. Daar kun je als Ziekenhuis dan weinig tegenaan budgetteren.

PowerToTheUsers @supersnathan94 • 15 januari 2026 14:13

"Maar dit hele fiasco illustreert nog maar weer dat er nog een lange weg te gaan is voordat we veilig met EPD aan de gang kunnen gaan."

Een EPD zal altijd op "een server" (of meerdere uiteraard) draaien, en daar zal ook nooit de laatste bug gefixed worden.

En als je een EPD wil raadplegen, zal je er op moeten kunnen inloggen, en ook daar kan je nooit 100% garanderen dat er niemand anders (mee)kijkt.

Dus zullen we het dan maar bij pen en papier houden?

Privacy

@PowerToTheUsers • 15 januari 2026 15:25

Nee tuurlijk niet, maar er is een verschil tussen, “we hebben er alles aan gedaan om het zo veilig mogelijk te maken volgens geldende best practices, wetgeving en ervaring vanuit het veld” en dit.

Dat gat is echt heel groot.

Ik snap best hoe een epd werkt en dat toegang voor medisch personeel noodzakelijk is, maar de gedachte dat dit altijd en immer allemaal realtime op te vragen moet zijn en allemaal direct beschikbaar moet zijn, is bizar. Daarmee zet je het bij default zo op dat je nooit naar een veilige fallback kan die offline beschikbaar is voor het ziekenhuis.

Waarom moet alles realtime synced? Laat het maar even een kwartier in de week en door de security scanners heen getrokken worden?

Waarom is er geen kopie die beschikbaar komt voor ziekenhuis personeel bij stront aan de knikker? Het ziekenhuis moet door kunnen, de rest van de wereld boeit niet. Die synced later maar weer bij.

PowerToTheUsers @supersnathan94 • 15 januari 2026 15:31

"Dat gat is echt heel groot."

Waarom is het gat groot? Omdat er 71k dossiers door kunnen?

"Ik snap best hoe een epd werkt en dat toegang voor medisch personeel noodzakelijk is, maar de gedachte dat dit altijd en immer allemaal realtime op te vragen moet zijn en allemaal direct beschikbaar moet zijn, is bizar."

Dan hoop ik dat je nooit op een spoedafdeling terecht komt. Of dat je huisarts graag even wacht vooraleer jouw dossier beschikbaar is.

"Waarom is er geen kopie die beschikbaar komt voor ziekenhuis personeel bij stront aan de knikker? Het ziekenhuis moet door kunnen, de rest van de wereld boeit niet. Die synced later maar weer bij."

Typisch is die noodkopie read-only, en moet je dus even op papier verder met "write-acties" zoals in AZ Monica het geval is.

Privacy

@PowerToTheUsers • 15 januari 2026 16:58

Dan hoop ik dat je nooit op een spoedafdeling terecht komt. Of dat je huisarts graag even wacht vooraleer jouw dossier beschikbaar is.

Er zit echt een giga gat tussen realtime en over een week. wat een onzin. Jouw huisarts heeft never nooit een direct sync nodig als jij op de SEH ligt en andersom ook niet. Daar kan prima een quarantaine periode op zitten van een paar minuten, want het is onmogelijk om fysiek binnen een bepaalde tijd ergens anders te zijn.

als ik een recept krijg van het ziekenhuis dan mag de apotheek dat best even scannen op malware en dat mag best even duren. Ik ben er toch niet binnen het kwartier.

Typisch is die noodkopie read-only, en moet je dus even op papier verder met "write-acties" zoals in AZ Monica het geval is.

Precies, maar die noodkopie kan dus prima ook RW zijn als je maar de juiste maatregelen treft waardoor je dus niet tegen zulke acties aanloopt.

Bij heeeeeel veel bedrijven is dit in de architectuur en infra gewoon goed opgevangen. Leuk dat het geprobeerd wordt, maar het kan dan gewoon geen impact hebben.

En sorry hoor, maar met 1 wachtwoord (per ziekenhuis) alles op kunnen halen bij 4 ziekenhuizen? Dan is je architectuur gewoon stuk. Hoezo zit daar geen MFA op? En hoezo kan 1 iemand bij alles? en hoezo kan dat VIA het internet?

Waarom is het gat groot? Omdat er 71k dossiers door kunnen?

Nee omdat er in de zorg gewoon heel veel best practices niet worden nageleefd. Per wet is dit supergevoelige data en tóch kun je kennelijk met 1 wachtwoord zonder dat er verder ergens een strobeed in de weg wordt gelegd bij data van 4 ziekenhuizen.

Dat is toch een beveiliging van 0? Vind jij dat acceptabel anno 2026? Als leverancier heb je dan toch gewoon je wettelijke plicht verzaakt om er zoveel mogelijk aan te doen om het veilig te houden?

M’n github account is nog beter beveiligd en die host publiek toegankelijke code 🤦🏿‍♂️

dasiro @Imre Himmelbauer • 14 januari 2026 19:15

Secutec is gewoon een Vlaams bedrijf en Geert is (naar mijn ervaring lang geleden) een vriendelijk en benaderbaar persoon, dus waarom niet zelf de technische vragen stellen ipv af te gaan op de rapportering van de openbare omroep?

Privacy

@Imre Himmelbauer • 14 januari 2026 19:34

In de bron staat geschreven dat er meerdere lekken gedicht zijn. Dit is nmm genoeg reden om eerst af te vragen waar in de bron ze het over welk lek hebben. Ook omdat het artikel geen verschil duidelijk maakt tussen een datalek en een beveiligingsprobleem.

De waarschuwing van de bron is dat als een leverancier nonchalant is wat betreft veilig houden van hun klanten dit gevolgen kan hebben voor de klanten en de afhankelijke personen en organisaties van die klanten. Niet zo vreemd, want als een leverancier last heeft(gehad) van een password stealer kun je er vanuit gaan dat dus belangrijke gegevens over de beheerde platform van de klanten gelekt zijn. Bijvoorbeeld op het darkweb. Als onderzoeker heb je dus niet zomaar zelf een passwordstealer nodig om aan meer gegevens van andere klanten van een zelfde leverancier te komen.

gaskabouter @supersnathan94 • 14 januari 2026 19:07

Ik snap op zich wat je bedoelt hoor maar de tekst is nogal vaag.

Als je mijn wachtwoord zou hebben heb je toegang tot honderd duizenden patiënt gegevens. Gesteld dat je eerst langs de 2FA komt om in het epd te komen kun je bij alle patiënten. De vraag is natuurlijk wanneer het epd alarm slaat als ik allerlei dossiers ga opvragen waarmee ik geen behandelrelatie heb, ik denk eigenlijk vrij snel maar ik weet het niet.

Toegang hebben tot is natuurlijk nog niet hetzelfde als die data ook daadwerkelijk kunnen downloaden. Dat lijkt me nog een aparte opgaaf die door de inrichting al erg moeilijk is, althans als ik probeer een brief of zo te downloaden om te versturen.

Het punt is dat je met toegang tot het epd in essentie overal bijkomt dus het getal op zich verbaast me niks. Wat het daadwerkelijke risico hebben we gewoon te weinig informatie over

TheMak @supersnathan94 • 14 januari 2026 18:10

Ik dacht dat de wachtwoorden van de patiënten geprobeerd ziin. Op basis van de tekst.

[Reactie gewijzigd door TheMak op 14 januari 2026 18:13]

België
Privacy
Security

@TheMak • 14 januari 2026 18:28

Ik interpreteer het artikel als dat men de wachtwoorden heeft kunnen inzien die op hetzelfde, achterliggende platform, toegang geeft tot data van 3 andere ziekenhuizen met in totaal dus van 71k patienten aan data.

Het is zeer spijtig dat zulke gevoelige data niet achter MFA is geplaatst in deze tijd waarin dit soort van dataexfiltratie schering en inslag is geworden.

@Blokker_1999 • 15 januari 2026 00:20

Het zal vast wel achter mfa staan, alleen heb je daar niet zo veel aan als er een kwetsbaarheid in zit en ik er op een andere manier bij kan komen of na mfa met mijn token bij andermans data kan.

Privacy

@TheMak • 14 januari 2026 19:48

Van alle 71.000? Van 1 locatie?

dan zouden er ook allerlei alarmen af moeten gaan. Honderduizenden login pogingen vanaf 1 of een paar IPs is een giga red flag.

Ootje70 14 januari 2026 18:00

Ik lees dus hier dat de organisatie niet in de problemen is gekomen door een hack maar door een cybersecurityexperts die de wachtwoorden hebben kunnen bemachtigen (of hoe dan ook toegang is verkregen). Dat is wel onethisch en gaat deze heer Baudewijns nu toch wel onderzocht en zo nodig vervolgd worden? Of snap ik de tekst nu niet?

België
Privacy
Security

@Ootje70 • 14 januari 2026 18:30

Het kan ook zijn dat deze expert is ingehuurd na het incident en heeft kunnen achterhalen hoe de hackers zijn binnengekomen, welke tools ze waar hebben gebruikt en welke data ze bijgevolg hebben kunnen inkijken. Als deze dan ziet dat er ook credentials beschikbaar zijn voor 3 andere ziekenhuizen, en deze worden dan getest en men merkt dat ze werken, dan wordt dat gewoon gerapporteerd.

Ootje70 @Blokker_1999 • 15 januari 2026 07:31

Ja, maar er staat dat hij de gegevens verkregen heeft, niet dat hij ingehuurd was om onderzoek te doen, toch? Of is hij gaan kijken of hij met dezelfde tool ook gegevens van de andere ziekenhuizen met de zelfde leverancier wist te bemachtigen en is dat puur wat hij gemeld heeft?

Ascathon @Ootje70 • 14 januari 2026 19:22

Hele aparte intro waardoor ik er ook niks van begrijp. Natuurlijk is de data nog niet op het darkweb verschenen want het is bewust door cybersecurity-expert gedaan. Toch? Zou je zeggen.

Voelt alsof het herschreven moet worden en of wat extra woorden enzo. Nu lijkt het alsof een ethical hacker denkt van f*ck it, ik lek gewoon al jullie persoonsgegevens.

Alex3 14 januari 2026 19:17

Moest wel even zoeken over welk land dit gaat: België.

Gunner @Alex3 • 14 januari 2026 20:28

Nou idd. Normaal wordt altijd benadrukt dat het om Nederlandse bedrijven gaat (vanwege klagende Belgen) maar hier niet eens.

Recursio 14 januari 2026 21:06

Het lek is inmiddels gedicht

Deze informatie aan het eind van de eerste paragraaf laat me gedurende het lezen van het artikel mij niet afvragen waarom deze voor hackers uitdagende informatie gedeeld wordt.

Wim Cossement 15 januari 2026 14:51

Mogelijk zal het om een zero-day of exploit in een of ander pakket gaan, want ik heb nog op de IT van een ziekenhuis gewerkt en de firewall laat ook maar enkele zaken toe naar binnen.
Toen was dat inloggen via Citrix, de rest wordt standaard tegengehouden. Normaal hebben die wel een redelijk lastenboek qua beveiliging en dergelijk, en dan nog ook eens alles GDPR-compliant maken. Verder kun je intern ook maar op het netwerk met een gekend en geregistreerd MAC-adres, en zoals de meeste anderen zijn VLANs en geëncrypteerde verbindingen ook standaard.

Hier en daar wel een tunnel naar bepaalde bedrijven en SaaS toepassingen maar dat is nu niet zo uitzonderlijk zeker?

Om te kunnen reageren moet je ingelogd zijn