Het gehackte laboratorium Clinical Diagnostics uit Rijswijk heeft na een aanval losgeld betaald aan de cybercriminelen. Dat bevestigt de Nova-groep, die verantwoordelijk is voor de hack met ransomware, aan RTL Nieuws.
Het laboratorium hoopt met de betaling dat niet nog meer gestolen data en medische gegevens van Nederlanders op het dark web worden gepubliceerd. Het lab wil er niets over kwijt. De criminelen hebben 300 gigabyte aan data gestolen, zo meldt RTL. Er zou nu zo’n 100 megabyte aan data, van ruim 53.000 patiënten, op het dark web staan.
Z-Cert, het expertisecentrum voor cybersecurity in de zorg, bevestigt in een verklaring dat naast Bevolkingsonderzoek Nederland ook andere zorginstellingen zijn geraakt door ditzelfde datalek bij het laboratorium. Volgens het ANP hebben de digitale aanvallers onder meer gegevens gestolen van ongeveer een half miljoen vrouwen die hebben meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker. Het gaat niet alleen om namen en adressen, maar bij een onbekend aantal vrouwen ook om de uitslag van het uitstrijkje.
Verder zijn naast deze gestolen gegevens ook data ontvreemd van huid-, urine-, en penis-, anus-, en wondvochtonderzoek. Daaronder zitten ook data van honderden gevangenen bij wie lichaamsmateriaal is afgenomen voor onderzoek. Volgens de Landelijke Huisartsen Vereniging zijn gegevens van huisartsen eveneens gestolen. Ziekenhuizen onderzoeken of ook informatie van hun patiënten getroffen is, aldus het ANP.
Z-Cert
Omdat Z-Cert, in afwachting van de invoering van de Cyberbeveiligingswet, nog geen wettelijk mandaat heeft om partijen te dwingen tot actie is gekozen voor een zorgvuldige aanpak: eerst de leverancier wijzen op hun (keten)verantwoordelijkheid. Toen informatie en communicatie vanuit Clinical Diagnostics NMDL (Eurofins) uitbleef, heeft het centrum besloten om zelf deelnemers te informeren. Dit gebeurde op basis van zogeheten metadata (bestandsnamen).
Uit respect voor de privacy van patiënten is niet meer informatie ingezien dan nodig is om deelnemers en overige zorginstellingen te identificeren en de aard van het lek te duiden. Hierdoor was de beschikbare informatie beperkt, maar kon toch een aantal zorginstellingen worden gewaarschuwd. Ook is er een waarschuwing uitgegaan naar de eerstelijnszorg, met name huisartsen, hoewel zij geen deelnemer zijn van Z-Cert.
Nee, Rick er is geen sprake van losgeld als het om zwijggeld gaat want de KNVB deed hetzelfde, net als het UMC want voorkomen dat nog meer patiëntgegevens op het darkweb gezet worden is geen kwade opzet maar valt onder risicobeheersing of schadebeperking. En dit kan ik niet zeggen van een redacteur die zijn brood verdient met insinuaties door de feiten te verdraaien. Misschien moet ik eens in wat vlekken bij Computable gaan wrijven want de relevante links met nieuws verwijzen naar externe bronnen.
heb je al een theorie voor die complotten ? 😉
tja computable wordt een beetje de https://www.nu.nl/achterklap van de IT, maar er ook wat genuanceerdere IT beschouwingen zoals bij AG connect.
Dit gaat nog een lang staartje krijgen want de AP is het bedrijf nu aan het onderzoeken.
Nog los van het feit dat ze de inbraak veel te laat gemeld hebben (een maand) hadden ze ook gegevens die ze niet nodig hadden (zoals persoonsgegevens, BSN, verzekeringspolisnummers) en allang hadden moeten verwijderen.
Ik ga ervan uit dat dit bedrijf zo’n megaboete krijg dat ze onmiddellijk op de fles gaan.
Ze zeggen dat ze het direct gemeld hebben alleen niet aan iedereen wat verklaarbaar is als ik de reacties bekijk in de schuldpresumptie. Ook verwijt over de gegevens moet genuanceerd worden als ik kijk naar een wet die een BSN verplicht stelt in het proces. Een onderzoek naar de lekken in het proces juich ik daarom toe ook al weet ik de uitkomsten over de technische maatregelen hierin.
Vaak hoor ik roepen over versleuteling maar beheer van de sleutelkast in grote zorgorganisaties is complex waardoor dit meer een theoretische oplossing is dan een praktische. Hele IDA(A)M proces in de zorg is dan ook al jaren een zorgenkindje met maar één boete tot gevolg welke na beklag verlaagd werd. Verder typerend dat een gelijke casus als bij Clinical Diagnostics met 6,5 miljoen gedupeerden niet leidde tot een boete omdat de overheid immuniteit geniet.
Sommige kregen wel een privaatrechtelijke schadevergoeding wat ik persoonlijk beter vind omdat een boete als sex zonder betaling. De schikking was een koopje omdat 6,5 miljoen maal €500 had tot het faillissement van de zorg geleid welke al op omvallen stond door een pandemie. Privaatrechtelijke schadevergoeding zal Clinical Diagnostics dan ook harder raken dan een boete als we sommetje goed is.
Want sex zonder betaling leidt tot cascade-effect van verminderde deelname aan bevolkingsonderzoeken zoals we eerder zagen met bereidheid tot vaccinatie. Wat betreft een complottheorie van publiekrechtelijke immuniteit en materiële privacy rechten is het namelijk maar een kleine stap voor de mensheid om van patiënt naar proefkonijn te gaan door het ontbreken van een geïnformeerde toestemming.
Er is nog veel onduidelijk, zoals hoe zijn de inbrekers binnen gekomen? En hoe kan het dat de inbraak niet is opgemerkt? Tevens is er nog geen verklaring waarom gegevens zou lang bewaard zijn gebleven.
Het klopt dat het BSN nummer vereist is voor zorg informatie systemen (ZIS), maar dat wil niet zeggen dat DIT bedrijf deze nodig had. Zij hoefden alleen maar testen uit te voeren en de resultaten terug te koppelen naar een ander bedrijf. Dat kan ook met een identifier waarvan zij niet weten wie daar achter zit. Misschien dat zij ook brieven met de resultaten naar cliënten moesten sturen (dat zou verklaren waarom zij over NAW gegevens beschikten) maar dat is niet duidelijk.
Los daarvan heeft iemand zowel de NAW, BSN’s als de uitslagen in zijn ZIS staan en dat zijn extreem gevoelige gegevens die extreem goed beveiligd moeten zijn. Daar heeft men toch steken laten vallen. Per definitie.
De reden waarom ik een onderzoek toejuich is dat het niet om één schakel in de zorgketen gaat want inderdaad kunnen diagnostische gegevens ontkoppeld worden van persoonsgegevens door pseudonimisering. Juridische vraag richt zich daarmee op de vraag of het doorgeven van de persoonsgegevens door een behandeld huisarts aan een diagnostisch lab rechtmatig is. Zie artikel 6 lid 1 sub b van AVG aangaande de WGBO want als het antwoord op de vraag nee is dan verschuif ik de schuldpresumptie. In theorie kan klinische diagnostiek prima werken met codes waarbij behandelend (huis)arts de sleutelkast bijhoud om de uitslag terug te kunnen koppelen aan de juiste patiënt. Punt is echter dat dit soort technische mogelijkheden om een innovatie in de zorg gaat en dit wordt tegengehouden door IGJ die pseudonimisering in de praktijk remt.
Dus bedenk een list om de privacy, veiligheid en traceerbaarheid in het proces van klinische diagnostiek te waarborgen zodat iedereen gelukkig is in de zorgketen. Want als partijen zoals Clinical Diagnostics door IGJ worden gedwongen om gevoelige gegevens te verzamelen dan verhoogd IGJ onbedoeld het cybersecurity-risico voor deze labs door ze tot een aantrekkelijk doelwit te maken. Want de bewaker van kwaliteit en patiëntveiligheid heeft nog onvoldoende oog voor privacy en dataminimalisatie.
Dat er technische fouten zijn gemaakt door Clinical Diagnostics in de gegevensverwerking ontken ik niet maar het zijn vooral de processen als we kijken naar de technologische mogelijkheden die aan de ambtelijke poort tegengehouden worden want een interdisciplinaire benaderingen van toezicht, technologie en wetgeving zal de huidige institutionele muren slechten.