Het gehackte laboratorium Clinical Diagnostics uit Rijswijk heeft na een aanval losgeld betaald aan de cybercriminelen. Dat bevestigt de Nova-groep, die verantwoordelijk is voor de hack met ransomware, aan RTL Nieuws.

Het laboratorium hoopt met de betaling dat niet nog meer gestolen data en medische gegevens van Nederlanders op het dark web worden gepubliceerd. Het lab wil er niets over kwijt. De criminelen hebben 300 gigabyte aan data gestolen, zo meldt RTL. Er zou nu zo’n 100 megabyte aan data, van ruim 53.000 patiënten, op het dark web staan.

Z-Cert, het expertisecentrum voor cybersecurity in de zorg, bevestigt in een verklaring dat naast Bevolkingsonderzoek Nederland ook andere zorginstellingen zijn geraakt door ditzelfde datalek bij het laboratorium. Volgens het ANP hebben de digitale aanvallers onder meer gegevens gestolen van ongeveer een half miljoen vrouwen die hebben meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker. Het gaat niet alleen om namen en adressen, maar bij een onbekend aantal vrouwen ook om de uitslag van het uitstrijkje.

Verder zijn naast deze gestolen gegevens ook data ontvreemd van huid-, urine-, en penis-, anus-, en wondvochtonderzoek. Daaronder zitten ook data van honderden gevangenen bij wie lichaamsmateriaal is afgenomen voor onderzoek. Volgens de Landelijke Huisartsen Vereniging zijn gegevens van huisartsen eveneens gestolen. Ziekenhuizen onderzoeken of ook informatie van hun patiënten getroffen is, aldus het ANP.

Z-Cert

Omdat Z-Cert, in afwachting van de invoering van de Cyberbeveiligingswet, nog geen wettelijk mandaat heeft om partijen te dwingen tot actie is gekozen voor een zorgvuldige aanpak: eerst de leverancier wijzen op hun (keten)verantwoordelijkheid. Toen informatie en communicatie vanuit Clinical Diagnostics NMDL (Eurofins) uitbleef, heeft het centrum besloten om zelf deelnemers te informeren. Dit gebeurde op basis van zogeheten metadata (bestandsnamen).

Uit respect voor de privacy van patiënten is niet meer informatie ingezien dan nodig is om deelnemers en overige zorginstellingen te identificeren en de aard van het lek te duiden. Hierdoor was de beschikbare informatie beperkt, maar kon toch een aantal zorginstellingen worden gewaarschuwd. Ook is er een waarschuwing uitgegaan naar de eerstelijnszorg, met name huisartsen, hoewel zij geen deelnemer zijn van Z-Cert.



