Wat begon als een groot datalek bij een laboratorium in Rijswijk, blijkt nu nog omvangrijker dan gedacht. Niet alleen de gegevens van bijna een half miljoen vrouwen die meededen aan het bevolkingsonderzoek naar baarmoederhalskanker liggen op straat, ook gevoelige medische data van duizenden andere patiënten is buitgemaakt.
De hack trof Clinical Diagnostics NMDL, een laboratorium dat sinds jaren medische monsters analyseert. In juli wisten cybercriminelen toegang te krijgen tot de systemen, waarna ze persoonlijke gegevens en onderzoeksresultaten stalen. Aanvankelijk ging het alleen om deelnemers aan het bevolkingsonderzoek baarmoederhalskanker, maar uit onderzoek van RTL Nieuws blijkt dat de hackers ook informatie hebben over onderzoeken naar huid, urine, vagina, penis, anus en wondvocht.
Datalek heeft meer slachtoffers dan gedacht
In eerste instantie werd gesproken over gegevens van 485.000 vrouwen, voornamelijk uit de periode 2022-2025. Inmiddels is duidelijk dat zeker 53.516 extra mensen getroffen zijn. Zij lieten via ziekenhuizen, klinieken of hun huisarts onderzoeken uitvoeren die door het Rijswijkse lab werden geanalyseerd. Het werkelijke aantal ligt waarschijnlijk veel hoger. De criminelen hebben namelijk pas een fractie van de buitgemaakte data gepubliceerd, naar eigen zeggen hebben ze in totaal 300 gigabyte in handen.
Onder de gestolen data valt veel persoonlijke informatie: namen, adressen, geboortedata, burgerservicenummers en soms zeer gevoelige onderzoeksuitslagen. Denk aan medische bevindingen en adviezen die normaal gesproken alleen tussen arts en patiënt blijven. Een deel van deze gegevens staat nu op het darkweb, waar ze kunnen worden doorverkocht of gebruikt voor identiteitsfraude, afpersing en het sturen van nepmails of sms’jes met een betaallink. Iets waar je altijd voor moet waken, maar waar je nu extra goed op moet letten.
Vorig jaar was er ook al een groot datalek in Nederland. Het betrof 60.000 e-mailadressen van mensen met een studieschuld.
Meer zorginstellingen
Meerdere zorginstellingen onderzoeken of hun patiënten bij het datalek betrokken zijn. Het gaat onder andere om het Leids Universitair Medisch Centrum, het Amphia ziekenhuis en het Alrijne ziekenhuis in Leiderdorp. Ook zijn veel gegevens van onderzoeken die door huisartsen zijn aangevraagd terug te vinden in de gelekte bestanden.
De Landelijke Huisartsen Vereniging en cybersecurityorganisatie Z-CERT bevestigen dat het lek verder gaat dan het bevolkingsonderzoek, maar willen nog niet zeggen welke zorginstellingen nog meer zijn geraakt.
Te late waarschuwing
Wat de zaak extra gevoelig maakt: het laboratorium wist al begin juli van het datalek, maar lichtte pas vorige week betrokken organisaties in. Dat is tegen de wettelijke regels: slachtoffers moeten binnen 24 uur worden geïnformeerd.
Bij datalekken is snelheid juist belangrijk om te voorkomen dat criminelen slachtoffers benaderen voordat zij op de hoogte zijn. Nu is dat risico reëel: de gegevens liggen immers al deels online.
Metro schreef eerder over wat er met jouw gegevens kan gebeuren na een datalek.
Gevolgen voor vertrouwen in de zorg
Een logisch gevolg zou zijn dat dit incident het vertrouwen in medische instellingen schaadt. In landen waar privacybescherming zwak is, mijden mensen soms medische onderzoeken uit angst voor datamisbruik. Dat kan ook in Nederland gebeuren, waarschuwt het Integraal Kankercentrum Nederland. En dat is problematisch, zeker bij bevolkingsonderzoeken die bedoeld zijn om ernstige ziekten zoals kanker vroeg op te sporen.
Jaarlijks krijgen zo’n 900 vrouwen in Nederland de diagnose baarmoederhalskanker. Ongeveer 200 overlijden eraan, maar zonder bevolkingsonderzoek zouden dat er naar schatting 500 zijn. Het screeningsprogramma redt dus levens, maar alleen als mensen blijven deelnemen.
Hoe weet je of je getroffen bent door het datalek?
Deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker ontvangen binnen een week een brief als hun gegevens in de buitgemaakte bestanden voorkomen. Voor andere onderzoeken is nog onduidelijk hoe en wanneer betrokkenen geïnformeerd worden.
Bevolkingsonderzoek Nederland heeft de samenwerking met het Rijswijkse lab voorlopig stopgezet. Nieuwe tests worden doorgestuurd naar andere laboratoria. Volgens de organisatie is deelname nog steeds veilig, omdat het lek geen invloed heeft op de uitslagen zelf.
Mail ontvangen van een incassobureau of deurwaarder? Wees dan extra voorzichtig
Cafés, musea en bioscopen: zo ‘ver’ moeten Nederlanders reizen voor vermaak
Foutje gezien? Mail ons. Wij zijn je dankbaar.
