EBR Systems, een medtechbedrijf dat het WiSE CRT-systeem voor hartritmetherapie ontwikkelt, meldt een datalek. Het incident vond recent plaats in de IT-omgeving van het internationaal opererende bedrijf, dat is genoteerd aan de Australische beurs (ASX: EBR) en actief is in de VS en Europa. Het onderzoekt wat er precies is gebeurd en welke gegevens zijn geraakt. De melding is gedaan omdat onbevoegden mogelijk toegang hebben gekregen tot interne data.
Medtechbedrijf meldt datalek
EBR Systems ontwikkelt draadloze hartstimulatietechnologie voor patiënten met hartfalen. Het bedrijf geeft aan dat het te maken heeft gehad met ongeoorloofde toegang tot digitale systemen. Op het moment van schrijven is nog niet bevestigd welke systemen precies zijn geraakt. De kern van de boodschap is dat er een datalek is en dat nader onderzoek loopt.
Het bedrijf heeft extra beveiligingsmaatregelen genomen om verdere toegang te voorkomen. In de regel schakelen organisaties in zo’n situatie digitale forensische experts in. Ook wordt vaak bekeken of back-ups, monitoring en wachtwoorden moeten worden vernieuwd. Dit soort stappen moet nieuwe schade beperken en herhaling voorkomen.
Of het gaat om een gerichte aanval of om misbruik van een bekende kwetsbaarheid, is nog niet publiek gemaakt. Zulke details volgen meestal pas na een eerste technische analyse. Pas dan kan ook worden bepaald of gegevens zijn gekopieerd of enkel zijn ingezien. Die verschillen zijn belangrijk voor het te nemen herstel- en meldingspakket.
Omvang en data nog onduidelijk
Op het moment van schrijven is niet bekend hoeveel personen of systemen door het datalek zijn getroffen. Ook is nog onduidelijk om welke soorten gegevens het gaat, zoals personeelsdata, zakelijke documenten of medische onderzoeksinformatie. Die indeling bepaalt het risico voor betrokkenen. Het bedrijf zegt hierover te zullen informeren zodra er meer helderheid is.
Voor medische technologiebedrijven is de kans aanwezig dat onderzoekslocaties, leveranciers of klinische partners in de dataset voorkomen. Als er patiëntgerelateerde gegevens meespelen, gelden strengere eisen voor beveiliging en melding. Medische gegevens vallen in de AVG onder ‘bijzondere persoonsgegevens’ met extra bescherming. Dat maakt snelle en volledige inventarisatie van de datastromen noodzakelijk.
Ook wanneer het alleen om interne bedrijfsdocumenten gaat, kunnen er risico’s ontstaan. Denk aan gerichte phishing op basis van interne namen of projectinformatie. Daders gebruiken zulke informatie vaak om overtuigende nepmails te sturen of inloggegevens buit te maken. Daarom volgt na een incident vaak ook bewustwordingscommunicatie naar personeel en partners.
Europese meldplichten gelden direct
Als gegevens van inwoners van de Europese Unie zijn geraakt, geldt de Algemene verordening gegevensbescherming (AVG). Die schrijft voor dat ernstige datalekken binnen 72 uur moeten worden gemeld bij de nationale toezichthouder, zoals de Autoriteit Persoonsgegevens in Nederland. Betrokken personen moeten bovendien worden geïnformeerd als het risico voor hun rechten en vrijheden hoog is. Bedrijven moeten daarbij duidelijk maken wat is gebeurd en welke maatregelen zijn genomen.
Binnen de AVG geldt een meldplicht: ernstige datalekken moeten in principe binnen 72 uur bij de toezichthouder worden gemeld, en getroffen personen moeten bericht krijgen bij hoog risico.
Daarnaast brengt Europese wetgeving zoals NIS2 extra zorgplichten voor cybersecurity met zich mee voor belangrijke en essentiële entiteiten in de zorgketen. Leveranciers en dienstverleners aan ziekenhuizen kunnen daaronder vallen, afhankelijk van hun rol binnen de EU. Deze regels verplichten tot risicobeheer, incidentrespons en periodieke beveiligingsaudits. Voor Nederlandse zorginstellingen betekent dit dat ook toeleveranciers aantoonbaar ‘state of the art’ beveiliging moeten hebben.
Voor organisaties met vestigingen of activiteiten in meerdere landen ontstaat zo een dubbele agenda. Naast het technische herstel moeten ook juridische stappen en communicatie per rechtsgebied worden afgestemd. Dat geldt zeker als data verschillende categorieën en landen beslaan. Heldere documentatie van alle beslissingen is dan cruciaal.
Impact op zorgpartners
EBR Systems werkt met ziekenhuizen en cardiologenteams voor de inzet en studie van het WiSE CRT-systeem. Bij zo’n netwerk is het belangrijk om snel te controleren of samenwerkingsdata of contactlijsten zijn geraakt. Als dat zo is, kunnen zorgpartners extra alert zijn op gerichte phishing of verzoeken om gevoelige informatie. Tijdige waarschuwing helpt misbruik te voorkomen.
Voor patiënten is transparantie essentieel als medische gegevens in het geding zijn. Denk aan uitleg over welke informatie precies is gelekt en welke maatregelen zijn genomen. In de zorgpraktijk leidt een datalek soms tot aanvullende verificaties bij afspraken of wijzigingen in het inlogproces van portalen. Dat kan tijdelijk extra drempels geven, maar verkleint de kans op fraude.
Ook leveranciersrelaties kunnen beïnvloed raken. Ziekenhuizen vragen steeds vaker om beveiligingsverklaringen en recente pentest- of auditrapporten. Een incident kan zo leiden tot aanvullende contracteisen of versnelde beveiligingsinvesteringen. Dat is in lijn met de Europese trend naar strengere ketenverantwoordelijkheid.
Techniek vraagt strakke beveiliging
Medische technologie is sterk digitaal en verbonden, van implantaten tot ondersteunende software. Dat maakt goede basisbeveiliging noodzakelijk: actuele patches, multifactor-authenticatie, versleuteling en strikte toegangsrechten. Voor gevoelige data hoort daar ook dataminimalisatie bij: alleen verzamelen wat echt nodig is. Zo blijft de impact van een incident kleiner.
Bedrijven in deze sector doen er goed aan om ‘zero trust’-principes te hanteren. Dat betekent dat systemen standaard geen vertrouwen geven en elke toegang wordt geverifieerd. In combinatie met segmentatie kan een inbraak zich minder snel verspreiden. Logging en monitoring zorgen dat afwijkend gedrag sneller wordt gezien.
Regelmatige oefeningen met het incidentresponsplan maken het verschil in de eerste 48 uur. Denk aan heldere rollen, directe beslislijnen en vooraf voorbereide communicatie. Voor Europese gegevensverwerking hoort daar ook een draaiboek bij voor de AVG-meldingen. Zo blijft de organisatie bestuurbaar onder tijdsdruk.
Volgende stappen voor EBR
De komende dagen staan vermoedelijk in het teken van forensisch onderzoek en herstel. Daarna volgt vaak een aanvullende update met feitelijke bevindingen en, zo nodig, meldingen aan toezichthouders en betrokkenen. Ook wordt dan duidelijk of er onderhandelingen of eisen van cybercriminelen spelen, zoals bij ransomware. Transparantie over deze stappen helpt vertrouwen te behouden.
Voor partners en klanten is het raadzaam om wachtwoorden te wijzigen waar ze worden gedeeld of hergebruikt. Extra alertheid op e-mails die om gevoelige informatie vragen is verstandig. Zie je iets verdachts, meld dit bij de securitycontacten van het bedrijf. Zo wordt de schade gezamenlijk beperkt.
Tot slot kan dit incident voor de hele sector een leermoment zijn. Deelbare lessen over detectie, segmentatie en back-ups helpen ook andere partijen in de zorgketen. Met de komst van NIS2 en striktere toezichtpraktijk in Europa wordt die uitwisseling alleen maar belangrijker. Het doel is duidelijk: medische innovatie zonder onnodige risico’s voor privacy en veiligheid.
