Gehackt laboratorium beschermde data bevolkingsonderzoek baarmoederhalskanker onvoldoende

In dit artikel:

Bij een groot datalek zijn de medische gegevens van naar schatting 850.000 vrouwen, deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker, gestolen door cybercriminelen. Het betrokken laboratorium, Clinical Diagnostics, voldeed volgens de Inspectie Gezondheidszorg en Jeugd (IGJ) niet aan wettelijke eisen: er was geen onafhankelijke controle op de beveiliging en er was geen risicoanalyse uitgevoerd, waardoor noodzakelijke beschermingsmaatregelen ontbraken.

Door die tekortkomingen konden kwaadwillenden toegang krijgen tot zeer gevoelige informatie, waaronder uitslagen van uitstrijkjes en soa-onderzoeken. De hackers zouden miljoenen euro’s hebben geëist; hoeveel losgeld daadwerkelijk is betaald is niet publiekelijk bekend. Omdat er naar verluidt losgeld is betaald, zijn veel gestolen bestanden niet openbaar geplaatst, maar zekerheid daarover bestaat niet.

De IGJ kon alleen vaststellen dat regels niet zijn nageleefd; sancties kan deze toezichthouder niet opleggen. De Autoriteit Persoonsgegevens onderzoekt het incident wel op grond van de AVG en kan boetes uitdelen tot maximaal 20 miljoen euro of 4% van de jaaromzet. Het voorval illustreert waarom zorginstellingen een aantrekkelijk doelwit zijn voor cybercriminaliteit en benadrukt de noodzaak van strikte beveiliging en risicobeoordeling bij het verwerken van gezondheidsgegevens.