Datalek bij bevolkingsonderzoek naar baarmoederhalskanker: gegevens 485.000 deelnemers uitgelekt
Gegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker zijn door criminele hackers ontvreemd. De hackers kregen toegang tot een deel van de ICT-systemen van laboratorium Clinical Diagnostics NMDL in Rijswijk. Dit laboratorium verwerkt uitstrijkjes en zelftesten van vrouwen in opdracht van Bevolkingsonderzoek Nederland, dat deze onderzoeken uitvoert in opdracht van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM).
De hackers hebben toegang gehad tot persoonsgegevens van deelnemers aan het bevolkingsonderzoek, waaronder namen, adressen, geboortedata, BSN-nummers, mogelijk testuitslagen en de namen van de zorgverleners van de deelnemers. Bevolkingsonderzoek Nederland vindt het vreselijk dat dit is gebeurd.
Elza den Hertog, voorzitter van de Raad van Bestuur van Bevolkingsonderzoek Nederland: “Wij zijn enorm geschrokken van dit datalek en we begrijpen dat vrouwen die via ons hebben deelgenomen aan bevolkingsonderzoek hier natuurlijk ook heel erg van schrikken. Aan hen wil ik graag zeggen dat het ons ontzettend spijt dat dit is gebeurd. Meedoen aan het bevolkingsonderzoek baarmoederhalskanker is voor veel vrouwen sowieso al spannend. En dan krijg je nu te horen dat daarbij mogelijk ook nog je persoonsgegevens zijn gelekt. Als Bevolkingsonderzoek Nederland stellen we hoge eisen aan zorgvuldigheid en gegevensbeveiliging van de deelnemers aan de bevolkingsonderzoeken en daarover maken we altijd afspraken met de laboratoria die testen uitvoeren. Dat dit nu bij een van de laboratoria waarmee wij werken toch zo is misgegaan, betreuren we zeer. Er is daarom een onafhankelijk onderzoek gestart naar hoe dit heeft kunnen gebeuren en hoe we dit soort incidenten in de toekomst zoveel mogelijk kunnen voorkomen.”
Samenwerking opgeschort
Bevolkingsonderzoek Nederland heeft de dienstverlening vanuit Clinical Diagnostics NMDL tijdelijk opgeschort totdat er zekerheid is dat verwerking van nieuwe testresultaten in de ICT-omgeving van Clinical Diagnostics NMDL veilig kan plaatsvinden. De testen worden in een ander laboratorium onderzocht, zodat vrouwen gewoon kunnen blijven deelnemen aan het bevolkingsonderzoek baarmoederhalskanker.
Bevolkingsonderzoek Nederland is op 6 augustus geïnformeerd over de hack, die plaatsvond tussen 3 en 6 juli. Sindsdien wordt er gewerkt aan het verkrijgen van inzicht in wat er precies is gebeurd met de gegevens van de deelnemers. Betrokken deelnemers ontvangen in de komende weken een brief van Bevolkingsonderzoek Nederland zodra er meer duidelijkheid is over hun betrokkenheid.
Geen invloed op uitslagen
Het datalek heeft geen invloed op de uitslagen die deelnemers aan het bevolkingsonderzoek baarmoederhalskanker al hebben ontvangen of nog zullen ontvangen. Vrouwen die al onderzoek hebben laten doen, hoeven dus niet opnieuw deel te nemen.
Bevolkingsonderzoek Nederland onderhoudt nauw contact met het RIVM en het ministerie van VWS. Er is melding gedaan bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast loopt er een uitgebreid onderzoek naar de exacte gevolgen van deze hack en de veiligheid van de systemen.
Clinical Diagnostics NMDL verwerkt voor Bevolkingsonderzoek Nederland alleen het testmateriaal van het bevolkingsonderzoek baarmoederhalskanker. Data van deelnemers van de bevolkingsonderzoeken borstkanker en darmkanker zijn niet bij dit datalek betrokken, omdat die testen in andere laboratoria worden uitgevoerd.
Het is mogelijk dat kwaadwillenden illegaal verkregen persoonsgegevens misbruiken. Daarom is het belangrijk dat iedereen altijd alert is op mogelijke fraude. Op de website van de Rijksoverheid staat precies wat deelnemers kunnen doen als ze denken dat hun gegevens misbruikt worden door kwaadwillenden.
'Onderstreept hoe kwetsbaar onze zorgsector is'
Anouck Teiller, Chief Strategy Officer bij het Europese cybersecuritybedrijf HarfangLab, zegt in een reactie: "Dit grootschalige datalek bij het bevolkingsonderzoek naar baarmoederhalskanker onderstreept pijnlijk hoe kwetsbaar onze zorgsector is voor digitale dreigingen. Het gaat hier niet alleen om gestolen gegevens, maar om een directe aantasting van de persoonlijke levenssfeer en het vertrouwen van honderdduizenden vrouwen.
Uit recente cijfers blijkt dat de zorg de afgelopen zes maanden de hardst getroffen sector is, met gemiddeld 3.138 aanvallen per week. Deze trend wordt versterkt door geopolitieke spanningen, zoals de conflicten in Oekraïne en het Midden-Oosten, die een steeds agressiever digitaal landschap voeden. Kritieke infrastructuur, waaronder ziekenhuizen en laboratoria in heel Europa, is steeds vaker doelwit van zowel criminele als geopolitiek gemotiveerde actoren.
Of cyberaanvallen nu worden uitgevoerd door criminelen of vijandige staten, dit incident benadrukt opnieuw dat we een paradigmaverschuiving nodig hebben in de manier waarop Europa zijn digitale infrastructuur verdedigt. Cybersecurity in de zorg is geen ‘nice to have’, maar een absolute randvoorwaarde. We moeten investeren in snellere detectie, betere respons, structurele training van personeel én in Europese technologische soevereiniteit. Daarnaast wil 79% van de bedrijven in gereguleerde sectoren wil dat de EU meer investeert in soevereine cybersecurity-infrastructuur. Dat is niet alleen een private prioriteit, maar ook een publieke verwachting.“
Meer over Zorg
Over Wouter Hoeffnagel
