Bevolkingsonderzoek Van bsn’s tot medische dossiers: gevoelige gegevens van Bevolkingsonderzoek Nederland belandden via een datalek bij Clinical Diagnostics op het dark web. Nu maken slachtoffers zich zorgen, terwijl toezichthouders zwijgen en instanties niet vertellen wát de hackers precies hebben buitgemaakt van wie.
Het gebouw in Rijswijk waar Clinical Diagnostics Nederland is gehuisvest.
Welke concrete risico’s heeft een datalek zoals dat van het Bevolkingsonderzoek Nederland? En waarom deelde die instantie überhaupt bepaalde gegevens, bijvoorbeeld burgerservicenummers, met het gehackte laboratorium van Clinical Diagnostics? En wie is verantwoordelijk?
NRC beantwoordt de meest gestelde vragen over de hack die maar liefst een half miljoen Nederlanders heeft getroffen.
1 Van wie werden precies de gegevens gestolen?
Van 485.000 deelnemers aan het Bevolkingsonderzoek, 50.000 patiënten van huisartsenpraktijken en andere zorginstellingen en van 253 (ex-)gedetineerden. Gedupeerden hebben een brief gekregen van Bevolkingsonderzoek Nederland of hun zorginstelling.
Uit gesprekken die NRC eerder voerde met gedupeerden, bleek dat ze zich veelal zorgen maken over identiteitsfraude en oplichting. De dertigjarige Cille (deels geanonimiseerd omwille van de gevoeligheid van de informatie) was een van de slachtoffers van wie gegevens werden gehackt via een andere zorginstelling dan het Bevolkingsonderzoek: een kliniek voor gynaecologie.
„Daar was ik ruim twee jaar geleden één keer geweest. Bij het Bevolkingsonderzoek is het duidelijk dat de medische informatie gaat om de uitslag van je HPV-uitstrijkje, maar nu heb ik geen idee welke informatie over mijn gynaecologisch onderzoek is gestolen. Zo’n onderzoek is best uitgebreid. Echo’s, foto’s: staan die er ook tussen? Dit is gewoon heel erg privé.”
2Welke informatie heeft hackersgroep Nova buitgemaakt?
Namen, adressen, geboortedata, burgerservicenummers, testuitslagen, zorgverleners en in sommige gevallen telefoonnummers en e-mailadressen. Voor hoeveel mensen en voor wie precies dat laatste geldt, hebben Bevolkingsonderzoek Nederland en Clinical Diagnostics niet bekendgemaakt.
Sommige gedupeerden die NRC sprak, belden Bevolkingsonderzoek Nederland met de vraag of hun telefoonnummers en e-mailadressen ook waren ontvreemd. Ze kregen daar – na aandringen – een antwoord op. Anderen zeggen dat het Bevolkingsonderzoek aangaf daar geen informatie over te verstrekken.
3 Waar is die informatie nu?
Van ruim 53.000 gedupeerden is de informatie daadwerkelijk op het dark web gepubliceerd. De hackers dreigden vervolgens alle gegevens te publiceren, maar hebben daarvan afgezien. Mogelijk omdat, zoals volgens RTL Nieuws eerder al werd gedaan door Clinical Diagnostics, een tweede ronde losgeld is betaald. Alle gestolen data werden volgens Nova inmiddels verwijderd, ook van het dark web.
De vraag is alleen of anderen die gegevens in de tussentijd niet hebben opgeslagen. Veel slachtoffers vragen zich daarom af of hun gegevens tussen de aanvankelijk gepubliceerde data (die 53.000) zaten. Advocaat gegevensbescherming Ina Brouwer zei eerder in NRC dat gedupeerden volgens de Algemene verordening gegevensbescherming recht hebben op inzage in hun verwerkte gegevens, waardoor ze dus bij zowel Bevolkingsonderzoek Nederland als Clinical Diagnostics moeten kunnen opvragen wélke van hun gegevens wáár rondzwerven.
Een woordvoerder van Bevolkingsonderzoek Nederland zegt in een e-mail dat voor de instantie zelf ook nog veel onduidelijkheid bestaat. Zo weet ze niet precies welke gegevens van wie werden gestolen of van wie de data op het dark web hebben gestaan („Daarover zijn wij niet door Clinical Diagnostics geïnformeerd”).
Ook kan de instantie „niet met 100 procent zekerheid” zeggen dat de persoonsgegevens van degenen die geen brief kregen, níét werden gelekt.
Clinical Diagnostics zei op dit moment niet te kunnen reageren.
4 Waarom deelde Bevolkingsonderzoek Nederland eigenlijk burgerservicenummers met Clinical Diagnostics?
Bevolkingsonderzoek Nederland gaat niet inhoudelijk in op vragen hierover en legt desgevraagd ook niet uit waarom gevoelige data als burgerservicenummers op twee plekken werden bewaard. De organisatie laat wel weten dat ze alleen gegevens met laboratoria deelt die de labs nodig hebben om testen mee uit te voeren.
Verder zegt de organisatie „verwerkersovereenkomsten” af te sluiten met de labs waaraan onderzoek wordt uitbesteed. Daarin wordt afgesproken dat iedereen zich aan de wet- en regelgeving houdt.
Of Bevolkingsonderzoek Nederland onzorgvuldig heeft gehandeld door gevoelige gegevens onnodig te verstrekken aan Clinical Diagnostics, daarover wil ze alleen het volgende kwijt: „Er wordt voortdurend gekeken of de gegevens die in de keten worden verwerkt nog steeds noodzakelijk zijn. Ook nu wordt dit zorgvuldig tegen het licht gehouden.”
5Organisaties die gevoelige persoonsgegevens verwerken zijn verplicht een Functionaris Gegevensbescherming aan te stellen. Wat deed de functionaris van Clinical Diagnostics?
De verantwoordelijk Functionaris Gegevensbescherming verklaart tegenover NRC dat hij niet eindverantwoordelijk is voor de beveiliging van data, dat hij geen IT’er is en evenmin een woordvoerder. Wel erkent hij dat hij toezicht houdt op het naleven van privacywetgeving en op de opslag en beveiliging van gevoelige data bij Clinical Diagnostics. Verder wil hij niets kwijt over wat bij het laboratorium is misgegaan, maar hij benadrukt dat het datalek „ruim” binnen de wettelijke termijn van 72 uur na ontdekking is gemeld aan de Autoriteit Persoonsgegevens (AP), de toezichthouder.
6Daarmee stelt zowel Clinical Diagnostics als de onafhankelijke Functionaris Gegevensbescherming dat het lek in de eerste helft van juli aan de toezichthouder is gemeld. Bevolkingsonderzoek Nederland werd een maand lang niet geïnformeerd. Wat zegt de AP hierover?
Niets, want volgens een woordvoerder is het geen taak van de Autoriteit Persoonsgegevens om getroffen betrokkenen te informeren, dat is aan de organisatie die met het datalek kampt.
De toezichthouder kan wel organisaties dwingen gedupeerden te informeren, maar de toezichthouder wil niet zeggen of ze dat heeft gedaan.
Zelfafnameset voor het Bevolkingsonderzoek baarmoederhalskanker. Foto Kim van Dam / ANP / HH
7 Vrijdag trokken de hackers van Nova hun losgeldeis opeens in. Waarom?
Na een maand lang alleen het sample van de data op het dark web te hebben geplaatst, dreigde Nova vorige week maandag ineens alsnog álle gestolen gegevens online te zetten.
„We worden in de gaten gehouden door de politie en iemand van jouw bedrijf heeft ons aangegeven”, schreef de groep. Vlak voor de koerswijziging bevestigde de politie onderzoek te doen bij Clinical Diagnostics. Dat was tegen de afspraken in, beweerde Nova. „We accepteren niet dat onze afspraken geschonden worden. Alle data zullen gelekt worden.” De groep wilde 1 miljoen euro in bitcoin zien, anders zou de data worden verkocht aan een datahandelaar.
Een unicum, zegt Floris de Koning, incident response consultant bij cybersecuritybedrijf Responders.Now. De Koning heeft naar eigen zeggen bemiddeld bij zo’n vijftig gijzelsoftware-incidenten. „Ik heb nog nooit meegemaakt dat een gijzelsoftwaregroep voor een tweede keer ging afpersen. Dat is echt nieuw.”
Afgelopen vrijdag trok Nova de nieuwe losgeldeis echter alweer in. „Ik wil patiënten geruststellen dat hun data verwijderd zijn na de eerste deal”, schreef de groep. Het dreigement, zo liet ze weten, was „een les voor toekomstige slachtoffers: houd je aan de afspraken”.
Cybersecurity-experts zien twee verklaringen voor de koerswijziging. Of Nova wil niet haar eigen verdienmodel ondermijnen óf ze heeft nog een deal gesloten met Clinical Diagnostics.
Hoe gek het ook klinkt, Nova’s verdienmodel werkt niet zonder vertrouwen: als data na betaling alsnog op straat komen te liggen, zal niemand nog losgeld betalen. „Cybercrimegroepen zijn verrassend commercieel”, legt Steven Dondorp, directeur van beveiligingsbedrijf Northwave, uit. „Opnieuw geld eisen omdat voorwaarden zouden zijn geschonden – iets dat wij nooit eerder hebben gezien – zou het vertrouwen in het hele businessmodel ernstig kunnen schaden.”
Andere cybercriminelen kunnen wellicht druk hebben uitgeoefend, denkt Dondorp. Nova is niet één hacker, maar een collectief rond de specialistische gijzelsoftware die de groep ontwikkelt en verhuurt. Iedere hacker die zich inkoopt bij Nova, en een deel van het opgehaalde losgeld afstaat, mag de software gebruiken. Al die gebruikers hebben belang bij de betrouwbaarheid van Nova, denkt Dondorp. „Zij zullen dat willen beschermen.”
Gijzelsoftwaregroepen hechten veel belang aan een verwrongen eergevoel, zegt Dondorp. Hij acht de kans daarom klein dat Nova de data alsnog lekt. „Het is een complexe moraal van de ‘betrouwbare eervolle crimineel’. Onderdeel daarvan is: afspraak is afspraak en breek ze niet. De slachtoffers niet, wij niet.”
De Koning ziet in de intrekking van de losgeldeis ook een poging van Nova om naam te maken – hoe meer hackers hun software gebruiken, hoe lucratiever het voor de groep is. Met de sussende woorden werkt de groep aan zijn imago, denkt hij. „Door de losgeldeis zo in te trekken proberen ze een soort Robin Hood-achtig imago te behouden, betrouwbaar richting nieuwe slachtoffers over te komen én de bekendste ransomwaregroep van Nederland te worden.”
8 Wat voor risico’s lopen de slachtoffers van de hack?
Gedupeerden vrezen vooral identiteitsfraude, waarbij met gegevens van een ander bijvoorbeeld een lening wordt aangevraagd, een rekening wordt geopend of belastingfraude gepleegd. Instanties vragen immers vaak ter controle naar gegevens waar de hackers nu over beschikken: zoals een geboortedatum, bsn en woonadres.
„Vooropgesteld is het in de criminele wereld altijd onvoorspelbaar wat wel en niet bereikt kan worden”, zegt een woordvoerder van Bureau Krediet Registratie (BKR), dat leningen bijhoudt. Maar: „Het aanvragen van een lening op iemand anders naam is verre van eenvoudig.” Oók met toegang tot de gehackte gegevens, want een lening of hypotheek afsluiten vereist „allerlei documenten”.
De woordvoerder is naar eigen zeggen al meermaals gebeld door gedupeerden die zich zorgen maken dat hun gegevens nu via derden bij BKR terechtkomen. En dat op die manier onterecht schulden op iemands naam worden gezet, waardoor iemand moeilijker aan een lening of hypotheek kan komen. Maar: „Dat is uitgesloten”, zegt de woordvoerder.
Met deze gegevens kan tevens geen belastingfraude worden gepleegd, volgens een woordvoerder van de Belastingdienst. De systemen van de fiscus kunnen slechts worden betreden met inloggegevens én extra verificatie (bijvoorbeeld via sms of de DigiD-app).
Ook een bankrekening openen op een andere naam is volgens een woordvoerder van de Nederlandse Vereniging van Banken (NVB) met deze gegevens niet mogelijk. Dat vereist een geldig identiteitsbewijs.
Wél wijst de woordvoerder van de NVB erop dat criminelen met de gestolen gegevens geloofwaardiger kunnen oplichten.
9 Hoe kunnen gedupeerden zich wapenen tegen mogelijke oplichting?
Het grotere risico is nu dat bijvoorbeeld phishing-e-mails sterker worden gepersonaliseerd met de gestolen persoonsgegevens. Die zullen dan geloofwaardiger overkomen.
Het advies luidt: neem bij twijfel over een bericht – over bijvoorbeeld een rekening of pakketje – contact op met de afzender. In een Facebook-groep voor gedupeerden hebben verschillende mensen al screenshots gedeeld van valse rekeningen (zoals boetes) of berichten (over DHL-pakketjes) – al kan niet geverifieerd worden dat die daadwerkelijk vallen te herleiden tot deze specifieke datalek. Ook is een LinkedIn-groep opgericht waar gedupeerden en experts tips uitwisselen, zoals het inzageverzoek en het indienen van een (collectieve) klacht.
Naast die alertheid is het mogelijk een schadeclaim of aangifte in te dienen. Beide sorteren het meest effect als de gedupeerden dat collectief aanpakken, volgens advocaat Ina Brouwer.
Source: NRC