Bij een hack op het Rijswijkse laboratorium Clinical Diagnostics NMDL, een dochterbedrijf van Eurofins, zijn persoonsgegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker buitgemaakt.
Het gaat om vrouwen die via Bevolkingsonderzoek Nederland een uitstrijkje of zelftest hebben laten analyseren. Het incident heeft geen gevolgen voor de testuitslagen, maar kan wel leiden tot risico’s op misbruik van persoonlijke gegevens. De hack vond plaats tussen 3 en 6 juli. Bevolkingsonderzoek Nederland werd op 6 augustus door NMDL geïnformeerd. Volgens de organisatie hebben de aanvallers toegang gehad tot persoonsgegevens zoals naam, adres, geboortedatum, burgerservicenummer, mogelijk testuitslagen en de naam van de betrokken zorgverleners. Ook zijn in sommige gevallen verwijzingen van huisartsen en gegevens van zorgverzekeraars getroffen. De ICT-systemen van Bevolkingsonderzoek Nederland zelf zijn volgens de organisatie niet in gevaar geweest.
Elza den Hertog, voorzitter van de Raad van Bestuur van Bevolkingsonderzoek Nederland, laat weten: “Wij zijn enorm geschrokken van dit datalek en we begrijpen dat deelnemers die via ons hebben deelgenomen aan bevolkingsonderzoek hier natuurlijk ook heel erg van schrikken. Aan hen wil ik graag zeggen dat het ons ontzettend spijt dat dit is gebeurd. Meedoen aan het bevolkingsonderzoek baarmoederhalskanker is voor veel deelnemers sowieso al spannend. En dan krijg je nu te horen dat daarbij mogelijk ook nog je persoonsgegevens zijn gelekt.”
Bevolkingsonderzoek Nederland heeft de samenwerking met NMDL tijdelijk opgeschort totdat duidelijk is dat verwerking van nieuwe testresultaten weer veilig kan plaatsvinden. Nieuwe testen worden voorlopig verwerkt door andere laboratoria. De organisatie benadrukt dat vrouwen gewoon kunnen blijven deelnemen aan het bevolkingsonderzoek.
Omdat het gaat om een groot aantal betrokkenen en gevoelige medische gegevens, worden de gedupeerden stap voor stap geïnformeerd. In de komende weken ontvangen zij persoonlijk bericht zodra meer duidelijk is over hun specifieke situatie. De Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd zijn ingelicht, en er is een onafhankelijk onderzoek gestart om te achterhalen hoe de hack heeft kunnen plaatsvinden.
Waar moet jij op letten?
Het datalek kan verschillende risico’s meebrengen voor getroffen deelnemers. Omdat het gaat om een combinatie van identiteitsgegevens – zoals naam, adres, geboortedatum en burgerservicenummer – en in sommige gevallen ook medische informatie, bestaat er een kans op misbruik door kwaadwillenden. Criminelen zouden deze gegevens bijvoorbeeld kunnen gebruiken voor identiteitsfraude, waarbij zij zich voordoen als het slachtoffer om financiële producten af te sluiten of toegang te krijgen tot diensten.
Daarnaast kan de informatie worden ingezet voor gerichte phishingaanvallen. Omdat de oplichter al beschikt over echte persoonlijke gegevens, kunnen nepmails, sms-berichten of telefoontjes overtuigender overkomen. In zeldzamere gevallen kan ook medische informatie, zoals testuitslagen, worden misbruikt voor chantage of reputatieschade.
De organisatie waarschuwt dat betrokkenen alert moeten zijn op verdachte berichten, onverwachte telefoontjes of pogingen om extra persoonlijke gegevens te verkrijgen. Het is raadzaam om bankafschriften en berichten in MijnOverheid nauwlettend in de gaten te houden. Op de website van de Rijksoverheid en via de Fraudehelpdesk staat beschreven welke stappen men kan nemen bij vermoedelijk misbruik van persoonsgegevens.
