Getroffen door hack medische data: wat nu? 'Grootste gevaar is identiteitsfraude'

In dit artikel:

Meer dan 300 gigabyte aan medische en privacygevoelige gegevens van (onder meer) zo’n 450.000 vrouwen is door hackers gestolen bij het commerciële lab Clinical Diagnostics in Rijswijk. De getroffen informatie bevat onder andere BSN‑nummers, testuitslagen (ook van soa‑onderzoeken en mogelijk onderzoeken na verkrachting), namen van bewoners van blijf‑van‑mijn‑lijfhuizen en gegevens van circa 250 gedetineerden. Bevolkingsonderzoek Nederland stuurde deze week een brief aan de betrokken vrouwen, maar veel concrete antwoorden over oorzaak en gevolgen ontbreken nog.

Wat gebeurde en wie is betrokken
Het datalek werd ontdekt nadat kwaadwillenden eind juni toegang kregen tot systemen van Clinical Diagnostics. Onderzoekers wijzen op een patroon dat zorgpartijen aantrekkelijk maakt voor cybercriminelen: medische data zijn zeer gevoelig en commercieel waardevol. De criminele groep Nova wordt genoemd als werkmethodegebruikers die inlogsessies kapen en zo extra authenticatie omzeilen; op internet worden bovendien massaal wachtwoorden en accounts verhandeld, wat aanvallen vergemakkelijkt.

Waarom het kon gebeuren
Veiligheidsspecialisten noemen meerdere oorzaken. Eén belangrijke factor is ‘one point of failure’: veel gegevens staan geconcentreerd op één plek en kunnen in bulk worden gekopieerd zonder dat afwijkend verkeer of gedrag tijdig wordt opgemerkt. Interne bronnen wijzen erop dat directies soms vooral letten op het voldoen aan regels (compliance) en minder op operationele dreigingen die door analisten worden gesignaleerd. Ook speelt verouderde ict‑hardware een rol: in het Rijswijkse lab zouden nog oude Windows‑pc’s draaien die aan medische apparatuur gekoppeld zijn; vervanging vereist kostbare hercertificering en blijft daarom vaak uit, waardoor kwetsbaarheden bestaan.

Achtergrond: commerciële schaalvergroting sinds corona
De aanwezigheid van gevoelige medische data bij een commerciële partij zoals Eurofins/Clinical Diagnostics hangt samen met veranderingen sinds de coronapandemie. Waar vroeger veel laboratoria ziekenhuisgebonden waren, ontstond door de noodzaak tot massatesten behoefte aan grote commerciële labs met schaalbare infrastructuur. Eurofins, een wereldspeler die in Nederland actief is, nam sindsdien kleinere ziekenhuislabs over. Dat leverde efficiency en winstkansen op, maar bracht ook zorgen: eerdere overnames resulteeerden in operationele problemen (bijvoorbeeld het Alrijne‑incident en problemen rond PAMM) en leverden discussie op over wat winstgedreven bedrijven doen met onderzoek dat niet direct renderend is, zoals resistentieonderzoek.

Wat betekent dit juridisch en praktisch?
Het is gebruikelijk dat laboratoria persoonsgegevens en BSN bewaren om uitslagen aan de juiste persoon te koppelen. Dat sommige gelekte gegevens tot tien jaar teruggaan, riep verbaasde reacties op, maar volgens de wet mogen medische dossiers vaak twintig jaar bewaard blijven. Eurofins leed eerder in 2019 een zware ransomwareaanval in het Verenigd Koninkrijk, met miljoenen schade en losgeldbetalingen, wat laat zien dat de sector al langer doelwit is.

Reacties en opvolging
Clinical Diagnostics meldt dat het incident snel is opgemerkt en dat technische maatregelen onmiddellijk zijn genomen; Expertisecentrum Z‑Cert werd op 7 juli ingeschakeld. Bevolkingsonderzoek stelde dat de organisatie pas een maand na de hack geïnformeerd werd, iets wat zij “schokkend” noemde. De Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd zijn een onderzoek gestart. De AP zegt te weinig capaciteit te hebben om preventief veel datadiefstallen te voorkomen en pleit voor meer middelen om bedrijven proactief te controleren.

Wat slachtoffers kunnen en moeten doen
Getroffen personen wordt geadviseerd waakzaam te blijven: reageer niet op onverwachte telefoontjes, sms’jes of e‑mails die verwijzen naar gelekte gegevens en mogelijk phishing of oplichting beogen. Het grootste risico is identiteitsfraude — denk aan malafide declaraties of leningsaanvragen op naam van slachtoffers — en in zulke gevallen is aangifte aanbevolen. Verder helpt het de eigen financiële en medische administratie extra te monitoren en verdachte transacties direct te melden.

Belangrijke thema’s die naar voren komen
- Concentratie van medische gegevens bij commerciële spelers vergroot het aanvalsoppervlak.
- Compliance volstaat niet; actieve monitoring van uitgaand netwerkverkeer, segmentatie en loganalyse zijn noodzakelijk.
- Economische druk en snelle schaalvergroting (overnames sinds corona) kunnen veiligheid en continuïteit ondermijnen.
- Toezichthouders willen meer preventieve capaciteit, maar kampen met beperkte middelen.

Kortom: de hack bij Clinical Diagnostics toont zowel praktische kwetsbaarheden in ict‑beheer als bredere zorgpolitieke vragen over de rol van commerciële laboratoria en de bescherming van gevoelige gezondheidsgegevens.