De hack bij het lab Clinical Diagnostics NMDL, waarbij persoonsgegevens van 485.000 deelnemers aan het Bevolkingsonderzoek werden gestolen, heeft ook huisartsen getroffen.
De hack waardoor de gegevens van alleen al 485.000 deelnemers van het Bevolkingsonderzoek Nederland zijn gelekt is veel groter dan gedacht. Bovendien is het een ransomware-aanval, zo meldt Z-Cert, het cybersecuritycentrum van de zorg: ‘Op basis van door de hackersgroep gedeelde samples hebben wij kunnen vaststellen dat ook de eerstelijnszorg, waaronder huisartspraktijken, is geraakt.’
De aanval was gericht op een Nederlandse vestiging van het Franse, beursgenoteerde laboratoriumconglomeraat Eurofins, Clinical Diagnostics LCPL. Die doet voor veel instellingen laboratoriumonderzoek. ‘Zodra de melding bij ons binnenkwam, zijn onmiddellijk technische maatregelen genomen om verdere risico’s te beperken, waaronder het isoleren van de betrokken omgeving en het intensiveren van monitoring,’ aldus het bedrijf. Als voorzorgsmaatregel waren ook de werkzaamheden in dat lab stilgelegd. Die zijn inmiddels weer hervat, ‘nadat kon worden vastgesteld dat alle systemen veilig konden opereren.’
Belangrijkste persoonsgegevens gestolen
De hack gaat veel verder dan die van vorige week bij KLM. Zo is van patiënten alle informatie gestolen om officiële handelingen te verrichten: naam, geslacht, geboortedatum, adres, BSN, en de naam van de zorgverzekeraar. Ook bedrijfsgegevens zijn gestolen: organisatienaam, AGB-code, contactgegevens en gegevens over het aangevraagde onderzoek. ‘Alle betrokken systemen zijn veiliggesteld en weer volledig functioneel. We hebben op korte termijn extra maatregelen getroffen binnen ons hele netwerk om het risico op herhaling van dergelijke incidenten te minimaliseren,’ aldus het lab.
De hack vond plaats tussen 3 en 6 juli, maar de getroffen organisaties, zoals Bevolkingsonderzoek Nederland, zijn pas een maand later, op 6 augustus inhoudelijk erover geïnformeerd. Vandaag is het pas doorgegeven aan de media. Afgezien van de toegang die de cybercriminelen hadden, is ook vastgesteld dat persoonsgegevens gekopieerd zijn. Desgevraagd wilde het lab nog geen verdere details geven.
de nieuwe participatiesameleving van wij lekken en “Betrokkenen moeten alert zijn op misbruik van hun gegevens”.
Heeft geen haast hoor, er is tenslotte nog maandje gewacht met het naar buiten brengen van het nieuws.
Wel trotse vermelding dat “alle betrokken systemen zijn veiliggesteld en functioneel”
zelfs extra maatregelen “om het risico op herhaling van dergelijke incidenten te minimaliseren”
wat boffen we toch weer.
hoe nu verder ?
– ach boeien, ik heb toch niets te verbergen
– meer ziejewel van de complotwappies (wie bedacht eigenlijk de term Burger Service Summer ?)
– zand erover. waar gewerkt wordt, worden fouten gemaakt
– laten we eerst rustig afwachten, alhoewel een beetje algoritme gehakt van maakt van die niet-constructieve houding.
– toch maar hutje op de hei
– de straat op in het wit en met lawaaipannen om te protesteren
Je kunt om 16:54 klagen over het nieuws wat 16:42 gebracht is maar dat is alsof je de memo gemist hebt die al in je postvak lag. En ik begrijp de ophef maar ik hoorde ooit eens dat advocaten adviseren om dergelijke hacks pas later (of niet volledig) openbaar te maken. Dat verklaart deels waarom er een aanzienlijke vertraging zat tussen de aanval en de bekendmaking. Het verklaart echter niet waarom gedupeerden geen schadevergoeding kunnen eisen. Want artikel 82 AVG biedt in potentie de eis op schadevergoeding maar is procedureel zo omslachtig en bewijsintensief dat gedupeerden zelden in actie komen. En een paar wetswijzigingen kunnen van dat artikel een effectief activerend mechanisme van maken wat bedrijven vooraf dwingt om beter te beveiligen want waarom deze persoonsgegevens koppelen aan een onderzoek wat ook zonder deze gegevens kan?
Even voor de duidelijkheid, iemand heeft de informatieverstrekking vanuit een BRP geautoriseerd en niemand daarover ingelicht alleen is er geen advocaat die pro deo die hieraan wil werken. En dat is een win-win voor de overheid die al jaren het medische geheim verkoopt aan de hoogste bieder. De website over wie mijn gegevens krijgt is tenslotte geen actief consent maar een memo in mijn postvak. Daarmee blijft mijn bankrekening leeg hoewel ik geen gedupeerde ben in deze casus.
Ik vind dat bedrijven en organisaties die dit soort gegevens lekken moeten kunnen rekenen op een miljoenenboete die tot 15% van hun omzet bedraagt.
Je ziet nu weer dat de beveiliging een ondergeschoven kindje is en dat men weer met een standaard mailtje “let u alstublieft op dat u geen phishing mailtjes krijgt” volstaat. Dat moet een keer afgelopen zijn.
Bedrijven en organisaties moeten serieus pijn lijden als ze dit soort gevoelige informatie niet goed beveiligen.
jij kunt ophef begrijpen, maar ik begrijp die witte geklede pannetrommelaars als ze gewaarschuwd worden voor phishing mails vanwege een hack waarvan men wist dat die al maand geleden plaats vond. Dat onderzoek van een maand was dat “Op basis van door de hackersgroep gedeelde samples” ?
leuker konden de hackers niet maken, wel makkelijker.
Het gaat om geloofwaardigheid, als ze weer met hun nu digitale mondkapje van goed opletten komen. Ga nu nog maar eens uitleggen wat privacy by design is.
En wat al die kenniswerkers nou eigenlijk komen doen behalve hier wonen. In een huis. Een mooi huis. Een mooi groot huis. Een mooi groot onbetaalbaar huis, niet voor iedereen weggelegd. Voor de elite 😛
Wat moet je doen als je weer een uitnodiging voor bevolkingsonderzoek krijgt ?
meteen wegclicken 😉
Twee voor de prijs van één want miljoenenboetes stromen naar de staatskas en de gedupeerden blijven zitten met de schade zonder enige vergoeding. Want of 15% van de omzet echt een boete is valt nog te bezien als ik kijk naar de verkoop van het medische geheim want privacy-by-design begint bij het ontkoppelen van gegevens. Een pseudonimisering bij de bron zorgt er voor dat een laboratoriumconglomeraat geen persoonsgegeven heeft, die sleutel ligt bijvoorbeeld bij de huisarts die de opdracht tot onderzoek geeft. Want het gebruik van een BSN is wettelijk verplicht in de zorg voor de identificatie en declaratie maar dat betekent niet dat het overal en altijd zonder beperkingen mag circuleren.
Zolang de belangen van de rechtspersoon prevaleren boven die van de natuurlijke persoon bij de afhandeling van datalekken blijven we water naar de zee dragen door de ethiek binnen de juridische advisering. Geld gaat voor de rechten van slachtoffers want die boetes kun je met succes aanvechten. Of anders calculeer je ze in als een bedrijfsrisico aangezien omzet maar een cijfer is en gezondheid een markt.
tja, voor confidentiality en authenticatie is ooit asymmetric cryptography bedacht. Maar das technische aspect. Je heb dan waarschijnlijk wat meer kennis van organisaties en informatieverwerking, maar qua achterdocht zit je niet ver van de complotdenkers.
zal het ff toelichten met chatgpt
wat hebben natuurlijke personen en rechtspersonen mbt complottheorie met elkaar te maken ?
ChatGPT said:
Het verband tussen natuurlijke personen (mensen van vlees en bloed) en rechtspersonen (juridische entiteiten zoals bedrijven, stichtingen of overheden) in de context van complottheorieën zit vaak in hoe complotdenkers denken over wie of wat “de macht” heeft.
Veel complottheorieën draaien om één of meer van de volgende ideeën:
Rechtspersonen als ‘onzichtbare’ actoren
Bedrijven, banken, NGO’s of overheden zijn rechtspersonen en hebben rechten en plichten alsof het individuen zijn.
Omdat een rechtspersoon geen fysiek mens is, kan hij minder direct aansprakelijk worden gesteld (bv. een bedrijf wordt veroordeeld, maar niet de directie persoonlijk).
Complottheorieën grijpen dat aan om te zeggen dat “de echte verantwoordelijken” zich verschuilen achter deze juridische ficties.
Mensen versus “juridische identiteit”
Sommige complotstromingen (zoals sovereign citizen-achtige bewegingen) beweren dat elke natuurlijke persoon een soort “juridisch stro-pop”-identiteit heeft, vastgelegd bij geboorte (bv. via geboorteakte of BSN).
Zij zien dat als een construct waar de overheid en rechtspersonen misbruik van maken om “je tot slaaf te maken” via wetten, belastingen en contracten.
Juridisch is dit onjuist, maar het klinkt voor sommigen plausibel omdat de termen “persoon” en “natuurlijk persoon” in wetten formeel zijn gedefinieerd en soms verwarrend werken.
Vervlechting van macht
Grote rechtspersonen (multinationals) worden geleid door natuurlijke personen, die vaak ook in netwerken van andere bedrijven en overheden actief zijn.
Complottheorieën interpreteren dit netwerk als geheim overleg of kartelvorming in plaats van gewoon zakelijk of politiek samenspel.
Gebrek aan transparantie
Rechtspersonen publiceren veel minder persoonlijke details dan natuurlijke personen.
Dit voedt het idee dat “er iets te verbergen is” en dat beslissingen in de schaduw worden genomen door entiteiten die niet “echt” zijn maar wel macht hebben.
Het wordt dertien in een dozijn want je prompting is al net zo slecht als die van Jack omdat bij natuurlijke personen biologische elementen gelden en bij rechtspersonen alleen vermogensrechtelijke belangen zoals geld en contractuele posities. Het verifiëren van de contractuele posities om zo de ‘onzichtbare’ actoren achter Nederlandse rechtspersonen zichtbaar te maken kan via het handelsregister. Voor macht van de achterkamertjes is er een wet die rechtspersonen verplicht om een register van belangenconflicten bij te houden. Een heikel punt in openbaar bestuur door Rutte-doctrine welke om een cultuur gaat waarin de openbaarheid ondergeschikt wordt gemaakt aan bestuurlijke belangen. Het vernietigen van je persoonlijke beleidsopvattingen of interne beraadslagingen omdat jij ze niet waardig vindt om ze te archiveren kun je een complottheorie noemen maar ik noem het een ambtsmisdrijf.
Voor de duidelijkheid, de overheid hanteert een uniek persoonsnummer wat vanaf je geboorte toegekend wordt en bedoeld is voor eenduidige identificatie in officiële registers. Je kunt van geslacht veranderen maar je BSN blijft hetzelfde doordat het nummer onlosmakelijk aan je biologische entiteit is verbonden. En fouten of datalekken zijn hierdoor moeilijk te herstellen. Ik nu iets roepen over hoe onze overheid haar biologische elementen ziet maar dat is een complottheorie.