Gegevenslek Clinical Diagnostics groter dan gedacht, meer dan 700.000 mensen gedupeerd
Uit recente antwoorden van staatssecretaris Tielen (Volksgezondheid, Welzijn en Sport) aan de Tweede Kamer blijkt dat een datalek bij laboratorium Clinical Diagnostics aanzienlijk groter is dan eerder gemeld. Aanvankelijk werd gemeld dat de gegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker waren buitgemaakt. Inmiddels is duidelijk dat nog eens 230.000 extra personen zijn getroffen, wat het totaal op meer dan 700.000 gedupeerden brengt. De staatssecretaris kan helaas niet uitsluiten dat dit aantal nog verder zal oplopen.
Naast gegevens van vrouwen zijn ook data van onderzoeken naar huid, urine, penis, anus en wondvocht gestolen. Ook de gegevens van 266 (ex-)gedetineerden zijn betrokken bij de hack. De gelekte informatie, waaronder burgerservicenummers en medische uitslagen, is deels op het dark web verschenen.
De staatssecretaris betreurt de situatie ten zeerste en benadrukt de impact die het verlies van persoonlijke gegevens kan hebben. Ze stelt dat het vertrouwen in bevolkingsonderzoeken, waarbij deelnemers erop moeten kunnen vertrouwen dat hun data veilig zijn, hierdoor ernstig wordt geschaad.
Maatregelen en toezicht
In reactie op de hack zijn verschillende maatregelen genomen:
- De samenwerking tussen Bevolkingsonderzoek Nederland (BVO NL) en Clinical Diagnostics is opgeschort.
- Twee andere laboratoria hebben het werk van Clinical Diagnostics overgenomen.
- Bij de overnemende laboratoria worden permanente kwetsbaarhedenchecks uitgevoerd door Stichting Z-Cert, het expertisecentrum voor cybersecurity in de zorg.
- Er zijn onderzoeken gestart naar de omvang en oorzaak van de hack door BVO NL en het RIVM, de Autoriteit Persoonsgegevens (AP), de Inspectie Gezondheidszorg en Jeugd (IGJ) en het Openbaar Ministerie.
De overheid kan echter weinig doen zodra gegevens eenmaal op het dark web zijn beland, aangezien het vrijwel onmogelijk is deze volledig te laten verwijderen. Wel worden de getroffen burgers proactief per brief geïnformeerd over de hack. In deze brieven worden zij geadviseerd alert te zijn op fraude, aangezien de gestolen data het risico op gerichte phishingaanvallen vergroten.
Om herhaling te voorkomen, brengt het ministerie van VWS databeveiliging permanent onder de aandacht bij partners in de zorg. Daarnaast is er een wetsvoorstel ingediend, de
Cyberbeveiligingswet, dat zorgaanbieders een zorgplicht oplegt met betrekking tot informatiebeveiliging en een meldplicht voor incidenten. Dit wetsvoorstel, indien aangenomen, zal de handhavingsmogelijkheden van de IGJ versterken.
