Cybersecurity Gevoelige medische gegevens van meer dan een half miljoen Nederlanders, onder meer uit het bevolkingsonderzoek baarmoederhalskanker, zijn door hackers buitgemaakt. Het laboratorium zweeg een maand over het lek.
Een zelfafnametest voor het bevolkingsonderzoek baarmoederhalskanker. Bij een recente dataroof bij het laboratorium Clinical Diagnostics dat de test voor baarmoederhalskanker verwerkt, hebben cybercriminelen data met medische en andere persoonlijke gegevens van vrouwen buitgemaakt.
Niemand heeft het telefoonnummer van Heleen van de Groep (34), behalve haar familie en vrienden. Werkrelaties kunnen haar bereiken op haar werktelefoon. Onbekende nummers neemt ze daarom nooit op. Dat is bijna altijd spam of reclame, weet de ethisch hacker die bedrijven trainingen geeft om ze bewust te maken van cyberdreiging. Maar sinds kort krijgt Van de Groep wel érg veel verdachte belletjes, soms drie, vier keer per week.
Na een paar weken wist ze genoeg: haar privégegevens moeten zijn gelekt. Maar dat het om extreem gevoelige persoonlijk informatie ging, daarvan had Van de Groep toen nog geen idee. Dat veranderde toen ze op maandag 11 augustus de autoradio aanzette. De bsn-nummers, adresgegevens, namen van zorgverleners en zorgverzekeraar en uitslagen van medisch testen van een half miljoen vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker zijn gehackt en liggen al een maand op straat, hoort ze. Ook zij liet sinds haar 30ste uitstrijkjes afnemen. „De puzzelstukjes vielen gelijk op zijn plek.” Of haar gegevens daadwerkelijk in de gehackte database staan, weet ze niet zeker. Van het laboratorium heeft ze daar nog niets over gehoord. „Maar het zou wel een hoop verklaren.”
„Iemand heeft nu waarschijnlijk zo veel gevoelige medische gegevens van mij in handen, daar ben ik echt van geschrokken.” Het eerste dat Van de Groep dacht: shit, mijn bsn-nummer. Dat nummer kan nooit meer gewijzigd worden. Je kunt er abonnementen mee afsluiten, identiteitsfraude mee plegen. Meteen is Van de Groep gaan rondvragen bij collega’s in haar werkveld: wat kan ze doen? Het pijnlijke antwoord, dat ze eigenlijk zelf ook wel wist: als die gegevens eenmaal op straat liggen, is daar niets meer aan te doen.
Na hacks bij de landelijke politie en het Openbaar Ministerie eerder dit jaar bleek afgelopen week opnieuw extreem gevoelige persoonlijke informatie in handen van cybercriminelen te zijn gevallen. De systemen van Clinical Diagnostics zijn gehackt, het laboratorium in Rijswijk dat onder meer uitstrijkjes voor het bevolkingsonderzoek baarmoederhalskanker analyseert. Afgelopen maandag maakte Bevolkingsonderzoek Nederland het nieuws bekend, nadat het een paar dagen eerder door het lab was geïnformeerd.
De locatie in Rijswijk, waar de in 2016 gefuseerde labs van het Nederlands Moleculair Diagnostisch Laboratorium (NMDL) en het Leids Cytologisch Pathologisch Laboratorium (LCPL) samenwerken, is onderdeel van het beursgenoteerde Eurofins, dat meerdere laboratoria in Nederland bezit. Naar eigen zeggen analyseren de twee labs in Rijswijk samen zo’n 900.000 uitstrijkjes van vrouwen uit een deel van de Randstad. Alleen de labs in Rijswijk zijn getroffen door de hack, zegt het bedrijf.
Gegevens van tot wel tien jaar geleden zijn in criminele handen gevallen, liet het Bevolkingsonderzoek weten aan NRC. „Dus ook vrouwen die acht of negen jaar geleden een uitstrijkje deden, kunnen benaderd worden door oplichters, via e-mails, gekke telefoontjes of brieven”, zegt een woordvoerder. „We roepen hen allemaal op alert te zijn.”
Nog diezelfde maandag werd duidelijk dat er nog veel meer slachtoffers zijn, van wie de medische testen bij Clinical Diagnostics werden beoordeeld. In dezelfde dataset, die hackerscollectief Nova claimt gestolen te hebben, staan ook de gegevens van zeker 50.000 andere patiënten die een test lieten afnemen bij de huisarts, het ziekenhuis of een zelfstandige kliniek, van zo’n 250 (voormalig) gedetineerden en tbs-patiënten en van vrouwen die in een blijf-van-mijn-lijf-huis verblijven. De lijst met gedupeerden groeit nog steeds. Het gaat in alle gevallen om gevoelige informatie over onderzoeken naar huid, urine, vagina, anus, penis en wondvocht. Ook een minister en een Kamerlid komen in de dataset voor, zag RTL Nieuws, dat een voorproefje van het bestand downloadde vanaf het dark web.
Data zijn goud waard. Hoe gevoeliger de informatie, hoe hoger de waarde van de data. Medische persoonsgegevens zijn daarom de jackpot voor hackers. Het risico dat bijvoorbeeld zorginstellingen slachtoffer worden van een hack is daarom „hoog”, stelt Z-CERT, het expertisecentrum voor cyberveiligheid in de zorg, in haar dreigingsbeeld van afgelopen jaar. Tussen 2023 en 2024 steeg in heel Europa het aantal ransomware-aanvallen met een kwart, meldt de organisatie.
Bij een aanval met ransomware of gijzelsoftware versleutelen hackers systemen, die weer vrijgegeven worden zodra er losgeld is betaald. Versleutelde systemen zijn niet meer te gebruiken, waardoor soms hele bedrijven stil komen te liggen. Betalen is de enige oplossing om snel van het slot te komen, houden criminelen getroffen bedrijven voor.
Steeds vaker voeren hackers de druk om te betalen verder op door te dreigen met de publicatie van buitgemaakte gegevens. Ze plaatsen dan een sample op speciale sites, dikwijls op het dark web, een moeilijk toegankelijk deel van het internet. Zo moet de afpersing kracht bijgezet worden.
Hackerscollectief Nova claimt op zijn darkwebsite verantwoordelijk te zijn voor de hack op het laboratorium van Eurofins. De groep zou driehonderd gigabyte aan gegevens van het Rijswijkse laboratorium verkregen hebben, waarvan het een voorproefje van zo’n 100 megabyte op het dark web plaatste. Nova claimt zo’n beetje de hele bedrijfsadministratie in handen te hebben gekregen. Of dat waar is, en of daar nog meer gegevens uit kunnen lekken, is niet duidelijk. Clinical Diagnostics denkt van niet. „We hebben op dit moment geen indicaties dat de aanvaller zal overgaan tot het lekken van de gekopieerde gegevens, maar wij houden dit uiteraard nauwlettend in de gaten”, schrijft het laboratorium.
Op het sample van de gegevens dat online stond, wil Clinical Diagnostics niet reageren. Sinds een paar dagen is het niet meer te downloaden. Het laboratoium zegt dat de systemen van het bedrijf weer werken en „zonder dataverlies” zijn hersteld. Nova claimt dat daar losgeld voor is betaald. NRC kan niet verifiëren of die berichten kloppen. Het laboratorium wil niet bevestigen of en hoeveel er is betaald. „Het delen van de gevraagde informatie brengt additionele risico’s met zich mee.”
Het datalek is al een maand oud: het sample stond al sinds 6 juli op de website van Nova. Clinical Diagnostics heeft naar eigen zeggen „even gewacht met het delen van informatie, zodat we eerst de juiste stappen konden nemen”.
Het Bevolkingsonderzoek zegt pas op 6 augustus te zijn ingelicht door het lab. Z-CERT – dat het sample zelf ook al op 6 juli aantrof – had al een maand lang „herhaaldelijk opgeroepen” om klanten in te lichten over het lek. Tevergeefs. Bevolkingsonderzoek Nederland vindt het „heel kwalijk” dat Clinical Diagnostics hen pas na een maand inlichtte over de hack en zegde, net als de Dienst Justitiële Inrichting (DJI), de samenwerking met het lab per direct op.
De Autoriteit Persoonsgegevens (AP) schrijft dat een datalek zo „snel mogelijk” maar in ieder geval binnen 72 uur gemeld moet worden. Clinical Diagnostics stelt dat dit op tijd is gebeurd, maar de AP kan dit niet bevestigen vanwege „lopend onderzoek” naar de zaak. Jaarlijks worden zo’n 40.000 datalekken bij de AP gemeld. Naar een fractie (24 gevallen) start de autoriteit een onderzoek.
Deze vrijdag, anderhalve maand na de hack, heeft Clinical Diagnostics aangifte gedaan, bevestigt de politie desgevraagd.
Huisartsenpraktijken en ziekenhuizen die samenwerkten met het lab in Rijswijk tasten ook nog grotendeels in het duister over de vraag of data van hun patiënten zijn gelekt.
De Landelijke Huisartsen Vereniging (LHV) bevestigde aan NRC dat ze niet door Clinical Diagnostics is geïnformeerd over het datalek. In plaats daarvan klopte Z-CERT bij hen aan. Dat gebeurde op diezelfde maandag 11 augustus waarop het Bevolkingsonderzoek naar buiten trad. Pas een dag later bevestigde het lab aan de LHV dat er gegevens uit huisartsenpraktijken in de gelekte data zitten. Om welke huisartsenpraktijken het gaat, wilde het lab niet zeggen. Clinical Diagnostics wil huisartsen ook niet vertellen welke van hun patiënten gedupeerd zijn, „vanwege de privacywetgeving”. Het bedrijf zegt de getroffen patiënten persoonlijk te zullen informeren met een brief. „Wij weten niet en begrijpen niet waarom Clinical Diagnostics patiënten en betrokken zorgverleners niet eerder op de hoogte heeft gesteld”, zegt de LHV.
Bij het Alrijne Ziekenhuis in Leiderdorp zijn de data van „een zeer beperkt aantal” patiënten gelekt. Het gaat om oudere onderzoeken, eerder uitgevoerd door bijvoorbeeld huisartsen, die het ziekenhuis opvroeg bij Clinical Diagnostics. Zelf stuurde het ziekenhuis alleen geanonimiseerde data op naar het lab.
Het LUMC zegt nog steeds in afwachting te zijn van antwoorden uit Rijswijk. Het Gelre Ziekenhuis, in Apeldoorn, zegt „op dit moment geen aanwijzingen te hebben” dat hun data zijn uitgelekt. Het Amphia Ziekenhuis, waarvan de naam in dit verband in andere media opdook, zegt desgevraagd heel nadrukkelijk niets te maken te hebben met Clinical Diagnostics.
Dinsdag 19 augustus gaat volgens Clinical Diagnostics de eerste batch brieven naar gedupeerden de deur uit. De brief gaat alleen naar mensen wier gegevens gelekt zijn.
Inmiddels wordt ook duidelijker wat dit incident zo pijnlijk maakt. Op LinkedIn roepen bezorgde gynaecologen en oncologen vrouwen op om alsjeblieft te blijven testen op baarmoederhalskanker. „Als arts kan ik alleen stellen: het bevolkingsonderzoek baarmoederhalskanker redt jaarlijks circa driehonderd levens. Laat de hackers naast de persoonsgegevens niet ook onze gezondheid buit maken!”. Ook demissionair minister Jansen van Volksgezondheid roept vrijdag mensen op om mee te blijven doen aan bevolkingsonderzoeken. Op Instagram reageren mensen die „het elektronisch patiëntendossier toch al nooit vertrouwden”. Naast alle persoonsgegevens die op straat liggen, heeft ook de geloofwaardigheid van de zorgsector een knauw gekregen. Zorgmijding, waarschuwen cybercrime-deskundigen, is een niet te onderschatten gevaar van datalekken in de zorg.
„Het allerslechtste wat je kunt doen als het toch mis gaat, is het lek in de doofpot stoppen ”, zegt Heleen van de Groep, die dat vanuit haar werk vaker ziet gebeuren bij instellingen die het slachtoffer worden van cybercrime. „Hackers delen ook continu informatie met elkaar. Het is belangrijk dat wij dat ook doen, om bij zulke incidenten van elkaar te leren.”
Het Bevolkingsonderzoek adverteert op LinkedIn sinds woensdag met een vacature voor een nieuwe functionaris gegevensbescherming. Gezocht: iemand die „de privacy van miljoenen Nederlanders wil beschermen”.
Met medewerking van Frederiek Weeda
1. Als jouw data zijn uitgelekt, ben je een groter doelwit van online oplichting. Met jouw persoonlijke gegevens kunnen hackers gepersonaliseerde en erg geloofwaardige phishing-pogingen doen. Bijvoorbeeld om toegang te krijgen tot je betaalgegevens. Via mails, telefoontjes, sms’jes of betaallinkjes proberen ze toegang te krijgen tot jouw apparaat. Controleer mailadressen zorgvuldig, wees alert op taalfouten, wees voorzichtig met het klikken op links en het openen van bijlagen. Wees beducht op zinnen die urgentie uitstralen, zoals ‘uw rekening wordt geblokkeerd’ of ‘betaal nu om … te voorkomen’.
2. Krijg je mails van je bank of zorgverzekeraar met de vraag om persoonlijke gegevens te delen, controleer dan via de officiële contactgegevens van de organisatie of zij die gegevens inderdaad van jou vragen.
3. Overweeg belangrijke wachtwoorden en inloggegevens te wijzigen en waar mogelijk tweetrapsverificatie in te voeren.
4. Zet een goede virusscanner met phishingbescherming op je computer en telefoon.
5. Mogelijk ben je slachtoffer van identiteitsfraude als je niet meer kunt inloggen in je Digi-D, onbekende accounts en abonnementen op je naam worden afgesloten of je wordt geweigerd bij het aanvragen van een lening of hypotheek. Vermoed je identiteitsfraude? Blokkeer je Digi-D, doe aangifte bij de politie, informeer je bank en andere belangrijke instanties en meld het bij het Centraal Meldpunt Identiteitsfraude.
Source: NRC