Gehackt laboratorium beschermde data bevolkingsonderzoek baarmoederhalskanker onvoldoende

Cybercriminelen stalen de medische gegevens van honderdduizenden vrouwen die hadden meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker. Volgens de inspectie voldeed het lab niet aan de wettelijke regels. 

Straf opleggen

Zo was er geen onafhankelijke controle geweest op de beveiliging. Clinical Diagnostics had ook niet gekeken welke risico’s er konden bestaan, en kon dus ook niet weten welke voorzorgsmaatregelen het moest nemen om gegevens te beschermen. 

“Zorgbedrijven als Clinical Diagnostics, die heel gevoelige gegevens verwerken, zijn wettelijk verplicht om die gegevens goed te beschermen,” zegt techredacteur Wouter van Dijke over de zaak. “Uit dit onderzoek blijkt dat ze niet aan de regels hebben voldaan. Als ze dat wel hadden gedaan, waren de gevolgen kleiner geweest, zegt de inspectie.”

De gevolgen van het datalek waren volgens Van Dijke enorm. “De gegevens van 850.000 mensen zijn gestolen door cybercriminelen, waaronder zelfs gevoelige informatie als de uitslagen van een penisonderzoek of soa-test. De meeste van die gegevens zijn nooit online gepubliceerd, omdat Clinical Diagnostics losgeld heeft betaald aan de hackers. Maar of die gegevens écht nooit meer op zullen duiken, kun je nooit zeker weten.” 

Hoeveel Clinical Diagnostics heeft betaald aan losgeld, is niet bekend, maar de cybercriminelen hebben naar verluidt miljoenen euro’s geëist.

Privacywet

De IGJ keek of Clinical Diagnostics zich heeft gehouden aan de regels voor het verwerken van persoonsgegevens in de zorg. De inspectie kan geen straf opleggen. 

De Autoriteit Persoonsgegevens kan dat wel en doet ook nog onderzoek naar het datalek, op basis van de privacywet AVG, zegt Van Dijke. “In die wet staat namelijk dat een bedrijf persoonsgegevens goed moet beschermen. De AP kan ook een boete opleggen als een bedrijf dat niet doet. Op een overtreding van de AVG staan sancties tot maximaal 20 miljoen euro of 4 procent van de omzet van een bedrijf.”

RTL Nieuws-journalist Daniël Verlaan legt in deze video uit waarom cybercriminelen zich richten op zorgorganisaties: