Het is het horrorscenario voor een bedrijf dat juist is opgericht om patiëntengegevens te beschermen: de medische informatie van patiënten ligt op straat. Het overkwam het Amerikaanse bedrijf TimiHealth, dat met behulp van blokchain mensen de controle, ‘het eigenaarschap’ van hun eigen medische informatie biedt.
Het werd via een tweet benaderd door Zack Whittacker, een bekend journalist voor onder meer Techcrunch, gespecialiseerd in security en privacy en goed voor bijna 50 duizend volgers. ‘Misschien moet je je e-mail even controleren’, begint Whittacker. ‘Ik gok dat dit waarschijnlijk niet goed is’. Hij voegde er een screenshot bij met geüploade files over het DNA van klanten van TimiHealt.
Er zijn tal van scenario’s te bedenken die TimiHealth had kunnen gebruiken. Aangeven dat het enorm is geschrokken van het bericht, Whittacker bedanken en direct al het nodige onderzoek en maatregelen aankondigen bijvoorbeeld. Maar dat doet het niet. De eerste verdedigingslijn loopt via dummy-files, het gaat om niet bestaande patiëntengegevens.
Whittacker heeft echter een concreet document met de gegevens van een concreet persoon beschikbaar.
TimiHealth laat de strategie van de dummy files los, het gaat nu om een vriend van het bedrijf.
Een klein halfuurtje later krijgt Whittacker bericht dat hij gebeld gaat worden. Er worden enkele maatregelen benoemd, maar ook een opmerkelijke suggestie dat de grote ‘tech companies’ een georkestreerde actie hebben opgezet omdat ze niet willen dat mensen over hun eigen data beschikken.
Een tweet later is doet TimiHealth er een schepje bovenop, het lijkt ‘zeker georkestreerd’, want het is inmiddels door 5 media benaderd over de kwestie.
En de brenger van het slechte nieuws Whittacker krijgt het verwijt het bedrijf ‘aan te vallen’
Weer iets later gaat het om een kwaadaardige ‘malicious’ hack. Er wordt wel een telefoonnummer gedeeld voor wie vragen heeft.
TimiHealth sluit af met de ‘geruststelling’ dat het niet om informatie gaat die is opgeslagen via de Blockchain, dat dus waarmee het absolute veiligheid en controle aan zijn klanten belooft. Over een dag of twee dagen laat het weer van zich horen. Intussen heeft het in zo’n 4,5 uur zijn geloofwaardigheid met een paar tweets volledig om zeep geholpen.
Maar het zegt te hebben geleerd.