Het Openbaar Ministerie is een strafrechtelijk onderzoek gestart naar aanleiding van een ingrijpend datalek bij het laboratorium Clinical Diagnostics in Rijswijk, waarbij de persoonsgegevens van naar schatting 485 000 mensen zijn ontvreemd. De hack, die aan het licht kwam via berichtgeving van de Stichting Bevolkingsonderzoek Nederland, betreft gegevens van vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker.
De politie en het OM zijn circa twee weken geleden, ambtshalve en op eigen initiatief, begonnen met het strafrechtelijk onderzoek, mede vanwege de zware maatschappelijke impact van het incident. Slachtoffers, waaronder vrouwen die van de stichting een brief hebben ontvangen dat hun gegevens zijn gestolen, hoeven zelf geen aangifte te doen om mee te werken aan het onderzoek.
Het strafrechtelijk onderzoek richt zich specifiek op de vraag wie achter de diefstal zit. In dat kader zijn er digitale sporen bij Clinical Diagnostics door de politie in beslag genomen om verder sporenonderzoek mogelijk te maken. Tot dusver heeft het OM bewust het bestaan van het strafrechtelijk onderzoek niet openbaar gemaakt vanwege het opsporingsbelang.
Het strafrechtelijk onderzoek staat los van eventuele civielrechtelijke procedures; slachtoffers behouden dus de mogelijkheid om daar ook stappen te ondernemen.
Datalekken in Nederland en de risico’s voor burgers
Datalekken komen de afgelopen jaren steeds vaker voor en kunnen grote gevolgen hebben voor burgers en organisaties. Een datalek betekent dat persoonsgegevens – zoals namen, adressen, medische gegevens of inloggegevens – in handen komen van onbevoegden. Dat kan het gevolg zijn van een hack, maar ook van menselijke fouten, zoals het verkeerd versturen van bestanden of het verliezen van een laptop.
Volgens de Autoriteit Persoonsgegevens (AP), die toezicht houdt op de naleving van de privacywetgeving (AVG), werden in 2024 ruim 25.000 datalekken gemeld. Vooral de zorgsector en financiële instellingen zijn vaak doelwit, omdat zij over gevoelige en waardevolle gegevens beschikken. Medische gegevens gelden daarbij als extra risicovol, omdat ze gebruikt kunnen worden voor identiteitsfraude, chantage of gerichte phishing.
De wet verplicht organisaties om een datalek direct te melden bij de AP én, indien er ernstige risico’s voor betrokkenen zijn, ook bij de personen van wie de gegevens zijn gelekt. Slachtoffers kunnen daardoor alert zijn op misbruik van hun gegevens, zoals verdachte e-mails, nepbetalingsverzoeken of ongewenste benadering.
Cybercriminelen die persoonsgegevens in handen krijgen, verkopen deze vaak op illegale marktplaatsen op het dark web. Ze worden gebruikt voor het openen van bankrekeningen, het aanvragen van leningen of het opzetten van geloofwaardige oplichtingspraktijken. Voor slachtoffers kan dit leiden tot financiële schade en langdurige problemen bij het herstellen van hun identiteit.
De laatste jaren is de overheid scherper gaan optreden tegen organisaties die hun beveiliging onvoldoende op orde hebben. De AP kan boetes opleggen die in de miljoenen euro’s kunnen lopen. Tegelijkertijd wordt van burgers verwacht dat ze alert omgaan met hun digitale veiligheid, bijvoorbeeld door sterke wachtwoorden te gebruiken en verdachte berichten niet te openen.
Lees ook: Twee hacks, een wake-upcall.
