Medische en zeer privacygevoelige informatie van meer dan 450 duizend vrouwen belandde is door hackers gestolen. Hoe kon dat gebeuren? Was er sprake van nalatigheid? En wat moet je doen als jouw gegevens erbij zitten?
‘We vinden het verschrikkelijk’, schreef voorzitter Elza den Hertog van Bevolkingsonderzoek Nederland deze week aan meer dan 450 duizend vrouwen die ooit onderzoek lieten doen naar baarmoederhalskanker. Zij kregen bericht dat hun data, zoals hun BSN, zijn bekeken en gestolen. Ook testuitslagen lekten uit, namen van vrouwen uit blijf-van-mijn-lijfhuizen, data over 250 gedetineerden, evenals gegevens over personen die een soa-onderzoek lieten doen, mogelijk ook na verkrachting.
‘We kunnen ons voorstellen dat u vragen heeft’, lezen deze vrouwen over de hack bij het laboratorium van Clinical Diagnostics waar hun gegevens lagen opgeslagen. Maar de antwoorden op de belangrijkste vragen die zij zullen hebben, staan niet in de brief van Den Hertog.
Dat Clinical Diagnostics uit Rijswijk ooit doelwit zou kunnen worden van een hack, had het bedrijf kunnen weten. In 2019 werd de Britse tak van moederbedrijf Eurofins met gijzelsoftware platgelegd. Met gevolgen: Eurofins voert DNA-testen en toxicologisch onderzoek uit voor de Engelse politie, zo’n 70 duizend criminele zaken per jaar. Het bedrijf betaalde losgeld aan de hackers en de totale schade van het incident bedroeg volgens Eurofins 130 miljoen euro.
Zorgpartijen zijn interessante doelwitten, zegt Theo Hooghiemstra, expert data en recht. ‘Medische data zijn per definitie zeer persoonlijk en gevoelig.’ De impact bij een hack is dan groot. ‘En de data zijn veel geld waard. Beursgenoteerde zorgpartijen zijn, vanwege die impact, sneller geneigd losgeld te betalen.’
Dat hackers eind juni proberen binnen te komen bij Clinical Diagnostics, is daarom geen verrassing. Dat ze succesvol de eerste hordes nemen, is evenmin bijzonder: op onlinefora zijn de inloggegevens van vele onderzoeksinstellingen en zorgpartijen te koop. Een gevolg van een nieuwe trend in hackerland: infostelers die wachtwoorden en gebruikersnamen uit computers halen en die in bulk verkopen.
Juist vanwege deze bekende ‘gigantische risico’s’ verbaast het Hooghiemstra dat de hackers er met zo veel gevoelige data, liefst 300 gigabyte, vandoor konden gaan. ‘Dit soort bedrijven hebben er zo veel belang bij om hun data goed te beschermen. Maar hier lijkt prake van het klassieke gevaar van one point of failure: alle gegevens op één plek.’
Twee ingewijden, bekend met het netwerk van Clinical Diagnostics, onderstrepen dit. Dat de hackers na binnenkomst niet zijn opgemerkt, konden rondzwerven in de labomgeving én data konden kopiëren, is het echte probleem. Zij wijzen op een bekende oorzaak: de focus van de directie op ‘compliance’. Het idee dat als is voldaan aan wet- en regelgeving een bedrijf niet te hacken valt.
Organisaties verplichten hun medewerkers bijvoorbeeld extra verificatie bij inloggen en denken daarmee veilig te zijn. Hackers weten deze ‘extra authenticatie’ steeds vaker te omzeilen door inlogsessies te kapen. Ook Nova, de criminele groep die verantwoordelijk is voor de hack bij Clinical Diagnostics, werkt in veel gevallen zo. Dus is extra beveiliging nodig: goede monitoring op uitgaand verkeer, het netwerk indelen in afgesloten stukken én logbestanden uitpluizen op afwijkend gedrag.
Directies luisteren alleen liever naar managers die vertellen dat aan alle eisen is voldaan dan naar analisten die vertellen wat er niet goed gaat. Wat in de zorgwereld meespeelt: verouderde apparatuur die niet zomaar kan worden vervangen. Zo staan er volgens bronnen in het lab in Rijswijk Windows pc’s die eigenlijk te oud zijn, maar die gekoppeld zijn aan medische apparatuur. Haal je zo’n oude computer weg, dan moet alles opnieuw worden gecertificeerd en dat is een dure grap (oplopend tot 150.000 euro). Gevolg: de directie laat de zwakke plek bestaan.
Clinical Diagnostics zegt in een reactie te begrijpen dat er veel vragen leven, maar geen inhoudelijke uitspraken te kunnen doen over specifieke details.
De hack bij het commerciële laboratorium in Rijswijk is niet los te zien van de coronacrisis. Tot enkele jaren terug had Nederland een fijnmazig labnetwerk en waren praktisch alle laboratoria verbonden aan ziekenhuizen. Medisch microbiologen en klinisch chemici onderzoeken er bloed, uitstrijkjes, urine en ontlasting.
Het is een wereld die draait om zorgvuldigheid én de aanwezigheid van de juiste, dure apparatuur. Maar daarmee ook een wereld waar efficiencywinst behaald kan worden als laboratoria opgaan in grotere bedrijven.
Wereldwijde spelers als Eurofins (65 duizend medewerkers) kregen van oudsher moeilijk een voet aan de grond in Nederland. ‘Barbaren aan de poort’, een verwijzing naar het bekende boek uit 1989 over private investeerders, was de titel van een vertrouwelijke presentatie van microbiologen die in 2003 al waarschuwden voor de machtshonger van buitenlandse private partijen.
Tot aan de coronacrisis wist Nederland stand te houden, toen ontstond in Nederland behoefte aan een groot lab waar massaal getest kon worden. De ziekenhuizen waren overmand, Eurofins beschikte over de infrastructuur. Het lab in Rijswijk werd daarna uit de grond gestampt en door de schaalgrootte werd Eurofins ook aantrekkelijk voor het doen van bevolkingsonderzoeken. Sinds corona koopt het Franse bedrijf, van miljardair Gilles Martin, in Nederland kleinere labs van ziekenhuizen op. Belangrijkste doel: winst maken, tussen de 15 en 20 procent is het streven.
Bij de snelle opmars maakt het bedrijf ook fouten. Vorig jaar ging de overname van het lab van het Alrijne Ziekenhuis de mist in. De overdracht was zo slecht voorbereid dat de spoedeisende hulp en de IC van het Alrijne een week dicht moesten, het lab kon geen uitslagen leveren. Eurofins moest personeel uit Frankrijk invliegen om de boel weer op gang te krijgen.
Ook de overname van het PAMM-lab, dat de diagnostiek voor vier ziekenhuizen in Brabant verzorgde, verliep in 2022 chaotisch. Eurofins verzuimde met de betreffende ziekenhuizen afspraken te maken over de continuïteit van de contracten en de betrokkenheid van de microbiologen. Zij stapten na de overname direct op, waardoor de zorg voor patiënten in gevaar kwam. Ziekenhuizen uit de wijde omgeving moesten inspringen.
Bedrijven als Eurofins, zegt Heiman Wertheim, hoogleraar klinische microbiologie in het Radboud UMC in Nijmegen, ‘komen met kraaltjes en spiegeltjes bij ziekenhuisbestuurders aan, die voor hun bestuurstermijn van drie jaar graag de begroting op orde hebben en dan hun lab verkopen’. De vraag is, zegt Wertheim, of dat op de lange termijn wel zo’n goed idee is. ‘In de labs doen we bijvoorbeeld ook veel onderzoek naar antibioticaresistentie, zonder dat dit direct geld oplevert. Blijf je dat doen, als winstmarges belangrijker worden?’
De verkoop van de laboratoria maakt kwetsbaar, vindt de hoogleraar. Niet alleen door criminele acties. ‘Wat nu als een partij uit Abu Dhabi of China de boel opkoopt, en onze data daar naartoe gaan? Of als er Amerikanen komen die ons verplichten hun AI-algoritmes te gebruiken? Een autonoom lab is een essentieel onderdeel van elk ziekenhuis.’
De praktijk is dat Eurofins voet aan de grond heeft gekregen in Nederland. Als zorgpartij beschikt zij over persoonsgegevens en ook BSN. Hooghiemstra: ‘Dat is gebruikelijk voor laboratoria. Labmedewerkers moeten zeker weten dat ze de juiste uitslag aan de juiste persoon koppelen. Een geboortedatum is daar niet specifiek genoeg voor.’ Dat ook gegevens tot tien jaar terug zijn gelekt, wekte verbazing. Maar Clinical Diagnostics handelde daarmee niet in strijd met de wet: die schrijft voor dat zorgverleners, en vaak ook laboratoria, een medisch dossier twintig jaar moeten bewaren.
‘Het is goed om alert te blijven op mogelijke fraude.’ Met dat advies van Bevolkingsonderzoek Nederland moeten vrouwen het doen. Een mededeling over een datalek geeft een machteloos gevoel. Want wat moet je ermee? De data zijn immers al weg. Dus komen er logische vragen als: had Clinical Diagnostics niet meer moeten doen? En met bijna twintigduizend datalekken in Nederland per jaar: waar is een machtige toezichthouder die de privacy van burgers beschermt en bedrijven najaagt hun data beter te beveiligen?
Het bedrijf uit Rijswijk doet er alles aan om te laten zien dat het ze menens is. ‘Het incident werd snel opgemerkt’, stelt het zelf. En: ‘Ons IT-beveiligingsteam heeft onmiddellijk technische maatregelen genomen.’ Expertisecentrum Z-Cert raakte op 7 juli betrokken, maar toen lagen de patiëntgegevens al op straat. Clinical Diagnostics informeerde Bevolkingsonderzoek pas na een maand over de hack. ‘Schokkend gedrag’, noemde die organisatie dat. De Autoriteit Persoonsgegevens (AP) is, net als de Inspectie Gezondheidszorg en Jeugd, inmiddels een onderzoek begonnen en wil in de tussentijd niets zeggen over wanneer Clinical Diagnostics een melding deed.
Een woordvoerder erkent dat de privacytoezichthouder weinig kan doen om datalekken te voorkomen. ‘Helaas gaat een groot deel van de huidige capaciteit op aan het reageren op incidenten.’ Het aantal lekken groeit, net zoals het aantal hacks. De AP zou liever meer doen om datadiefstal bij bedrijven te voorkomen. ‘Dat willen we vaker doen.’ Maar, zegt de woordvoerder: ‘Daar is meer budget voor nodig.’
Het enige dat de getroffen vrouwen nu rest, is waakzaam zijn. Niet ingaan op telefoontjes, mailtjes en sms’jes die valide ogen, maar die zijn bedoeld om geld af te troggelen, eventueel met verwijzing naar de gelekte data of labuitslagen. Het grootste gevaar is identiteitsfraude: malafide declaraties uit naam van slachtoffers of het aanvragen van leningen. Is er een dergelijk vermoeden, doe aangifte.
Verbetering: In de kop en intro van dit verhaal stond dat de medische gegevens van 450 duizend vrouwen op straat ligt. Dat klopt niet: slechts een klein deel van de gestolen informatie is gepubliceerd.
Geselecteerd door de redactie
Source: Volkskrant