Cybercriminaliteit Hackerscollectief Nova zegt losgeld te hebben ontvangen voor het niet publiceren van persoonsgegevens en gevoelige medische informatie, buitgemaakt bij laboratorium Clinical Diagnostics. Het is niet duidelijk om welk bedrag het gaat.
Het gebouw met kantoor- en laboratoriumruimte waar Clinical Diagnostics Nederland is gehuisvest.
Hackerscollectief Nova zegt losgeld te hebben ontvangen van Clinical Diagnostics, nadat het door middel van gijzelsoftware persoonsgegevens en gevoelige medische informatie stal van 485.000 vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker. Dat hebben de groep en een anonieme bron binnen Clinical Diagnostics woensdag gezegd tegen RTL Nieuws. Ter ondersteuning publiceerde het medium een screenshot van een chatgesprek dat het met Nova voerde.
NRC kan de informatie niet verifiëren. Clinical Diagnostics beantwoordt geen specifieke vragen over betaling van losgeld, vanwege de „additionele risico’s” die dat met zich mee zou brengen. Wel heeft het laboratorium dinsdag per mail laten weten dat zijn systemen „getroffen zijn door gijzelsoftware” en dat deze inmiddels „zonder dataverlies” hersteld zijn. Om hoeveel losgeld het zou gaan, is niet bekend. RTL meldt dat de criminelen „miljoenen” hebben geëist.
Maandagmiddag werd bekend dat hackers gegevens hebben gestolen van bijna een half miljoen vrouwen die hebben meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker. De internetcriminelen zijn in de systemen gedrongen van Clinical Diagnostics, onderdeel van Eurofins, dat meerdere laboratoria in Nederland heeft waar uitstrijkjes en monsters voor allerlei medische onderzoeken worden geanalyseerd.
Ook zijn de gegevens gestolen van tienduizenden patiënten die via hun huisarts of ziekenhuis een test lieten afnemen die geanalyseerd werd door Clinical Diagnostics. Dat bleek een paar uur nadat Bevolkingsonderzoek Nederland het nieuws over de gestolen persoonsgegevens naar buiten bracht. Niet alleen persoonsgegevens van patiënten — zoals burgerservicenummers, adresgegevens en namen van zorgverzekeraars — zijn uitgelekt, maar ook potentieel gevoelige medische testresultaten kwamen in verkeerde handen terecht.
Op het dark web, een moeilijk toegankelijk, geanonimiseerd deel van het internet, hebben de criminelen van Nova een sample laten zien van de buit. RTL Nieuws heeft die bekeken, NRC koos ervoor dat niet te doen. In de sample zaten gegevens van ruim 53.000 personen: voor in totaal 100 megabyte aan uitslagen van medische onderzoeken die voor huisartsen, ziekenhuizen en zelfstandige klinieken werden uitgevoerd. RTL schreef dat ook de privégegevens van een minister uit het huidige demissionaire kabinet en een Kamerlid in te zien waren.
Door losgeld te betalen, hopen organisaties erger te voorkomen. De vrees is bijvoorbeeld dat gevoelige informatie over álle vrouwen die aan het bevolkingsonderzoek hebben meegedaan op het dark web terechtkomt. Criminelen kunnen die informatie gebruiken om patiënten op te lichten of af te persen, of doorverkopen aan andere criminelen, die ze kunnen gebruiken om hyper-gepersonaliseerde phishingmails te maken.
Er is nog geen aangifte gedaan en geen politieonderzoek in gang gezet, zegt de politie tegen NRC. Een vraag is of Clinical Diagnostics laakbaar heeft gehandeld: het bedrijf uit Rijswijk heeft er een maand over gedaan om gedupeerden van de hack te informeren, naar eigen zeggen zodat het „eerst de juiste stappen kon nemen”. Het gestolen sample stond al op 6 juli online, Bevolkingsonderzoek Nederland zegt op 6 augustus geïnformeerd te zijn door het laboratorium.
De Autoriteit Persoonsgegevens (AP) schrijft voor dat organisaties een datalek „onmiddellijk” aan de privacywaakhond melden. Ook slachtoffers moeten „zo snel mogelijk” op de hoogte worden gesteld. De AP laat desgevraagd weten door Clinical Diagnostics te zijn geïnformeerd over het lek — maar wil niet zeggen of dat op tijd gebeurde: dat is „toezichtsvertrouwelijke” informatie, en is onderdeel van het onderzoek dat de AP doet naar de kwestie. Feit is dat slachtoffers van de hack níet snel zijn geïnformeerd: die moeten nog een brief van Clinical Diagnostics ontvangen.
Onder de Algemene verordening gegevensbescherming (AVG) zijn organisaties verplicht gegevens goed te beveiligen. Hoe gevoeliger gegevens zijn, des te strenger ze beveiligd moeten worden, legt een woordvoerder van de AP uit. Medische gegevens behoren tot de categorie ‘bijzondere persoonsgegevens’. Dat zijn gegevens die zo privacygevoelig zijn dat ze, zo dicteert de wet, extra goed beveiligd moeten worden. Clinical Diagnostics zal moeten aantonen dat het bedrijf voldoende maatregelen heeft genomen om de gegevens van patiënten te beschermen.
Source: NRC