Bloggen over IT

Weer een datalek, nu van medische gegevens

Op 11 augustus 2025 verscheen er een nieuwsbericht in de Nederlandse media over een grootschalig datalek in de zorgsector (Z-CERT). Een diagnostisch centrum in Nederland was getroffen door een ransomware-aanval, waardoor de gegevens van 485.000 deelnemers aan een screeningprogramma voor baarmoederhalskanker waren gelekt. Om afpersing af te dwingen, was een klein deel van deze gegevens al snel beschikbaar op het dark web. Het ging onder andere om namen, NAW-gegevens, geboortedata en BSN’s van patiënten … en uiteraard de testresultaten.

Dit soort hack-nachtmerries zou een waarschuwing moeten zijn om de beveiliging van de persoonlijke en medische gegevens van Nederlandse burgers te heroverwegen. Wanneer alle gegevens zijn opgeslagen in gecentraliseerde relationele databases, maak je het exporteren van alle gegevens in één keer eenvoudig en kunnen de diagnostische testmetingen direct worden herleid tot de persoonlijke gegevens van de patiënt. Databaseversleuteling is weliswaar mogelijk, maar biedt geen bescherming wanneer een indringer vanuit het bedrijfsdomein query’s kan uitvoeren of een complete database-file kan exporteren.

Het potentieel van blockchain

Naast het updaten van alle beveiligingsmaatregelen naar de nieuwste standaarden, zou men ook kunnen overwegen om een ​​gedecentraliseerde blockchain-database te gebruiken voor het beheer van zorggegevens. In dit scenario heeft elke patiënt een eigen blockchain-adres met een link naar zijn of haar diagnostische gegevens ergens in een databank.

Elke diagnostische test wordt als een transactie van zero-ether naar de Ethereum-blockchain verzonden, van het ene account naar het andere account of naar het eigen accountadres. Wanneer er gezondheidsgegevens voor een bepaalde patiënt worden aangemaakt, wordt er een nieuw blok gecreëerd en gedistribueerd naar alle nodes in het blockchain-netwerk voor patiëntgegevens. De input data van de transactie (meestal gebruikt voor smart contracts) bevatten een verwijzing naar de off-chain locatie waar het bestand met de diagnostische gegevens is opgeslagen. Het adres van de transactie of het token op de blockchain is eigendom van de patiënt, die altijd eerst toestemming moet geven wanneer iemand of een organisatie zijn of haar medische gegevens wil ophalen.

Het klinische databestand (bijvoorbeeld een pdf-rapport of een HL7 ASCII-bestand) moet bij voorkeur versleuteld zijn en mag geen directe verwijzing naar de patiënt bevatten. Het healthcare-token op de blockchain heeft in zijn metadata een nooit meer aan te passen URL naar dit off-chain bestand. Deze URL bevat de cryptografische hash van het bestand, die altijd kan worden gebruikt om de authenticiteit ervan te verifiëren. Wanneer namelijk het bestand zou worden aangepast, al is het slechts één letter, dan verandert zijn hash. Men kan ervoor kiezen om het bestand decentraal op te slaan, bijvoorbeeld met Filecoin, of gecentraliseerd, zoals op een cloudservice zoals Amazon Web Services.

Gedecentraliseerde of gecentraliseerde bestandsopslag?

Filecoin-nodes zijn een gedecentraliseerde optie voor bestandsopslag en zijn gebaseerd op het IPFS-protocol. InterPlanetary File System (IPFS) is een open systeem voor databeheer zonder centrale server en maakt gebruik van content addressing. Een client die het content address (CID) van zijn bestand kent, kan het ophalen van elke IPFS-node die er een kopie van heeft staan. Staan je bestanden daar dan eeuwig? Daar blijf je zelf verantwoordelijk voor. Je dient namelijk herhaaldelijk cryptografische bewijs te bevestigen dat je data zich nog steeds in het datacenter bevindt. Als je dit zou vergeten, wordt jouw bestand als collateral gezien en ‘verbrand’, of burned zoals dat in blockchain-terminologie heet. Je dient dus zeer alert zijn om je data niet te verliezen, want ze zijn echt verdwenen zodra ze niet meer op de blockchain staan.

Gezien de bovengenoemde risico’s op dataverlies door het burnen van tokens op IPFS, zou ik kunnen begrijpen dat je toch kiest voor een gecentraliseerde bestandsopslag. Het is dan wel essentieel om voldoende privacy en beveiliging in te bouwen. In Amazon S3 kan men bijvoorbeeld gebruikmaken van pre-signed URL’s om gevoelige bestanden te uploaden en te downloaden. Een pre-signed URL is slechts gedurende een bepaalde periode geldig, en die periode kan worden gespecificeerd bij het genereren van zo’n URL. Onderstaande flowchart laat zeer globaal zien hoe dit met de Ethereum blockchain zou kunnen worden geïntegreerd.

Verdere overwegingen

• De gas costs op Ethereum zijn hoog. Alternatieven kuinnen zijn Algorand of Solana, die lagere gaskosten en een snellere block mining hebben. Bovendien bieden beide een SDK in Python en TypeScript aan om geavanceerde gedecentraliseerde applicaties te programmeren.
• Het Ethereum-testnet Sepolia biedt je de mogelijkheid om je Ethereum-applicatie te testen met zero-value tokens voordat je live gaat op het mainnet. Uiteraard vind je dergelijke testnetten ook op Algorand en Solana.
• Naast bescherming tegen hackergroepen, maakt een blockchain-aanpak voor medisch databeheer het stelen, vervalsen, fabriceren of zelfs verwijderen van ‘ongewenste’ metingen minder eenvoudig. Redenen voor dergelijk wangedrag zouden bijvoorbeeld pogingen kunnen zijn om wetenschappelijke financiering te verkrijgen of politieke doelen na te streven.

Leeslijst voor geïnteresseerden:

How Ethereum’s Blockchain Is Transforming Healthcare Data Security

Is Blockchain The Solution To Derisking Unreliable Clinical Trial Data?

Blockchain: Poised to Revolutionize Personal Health Management