Van bijna een miljoen Nederlanders zijn de persoonsgegevens door Bevolkingsonderzoek Nederland gedeeld met een lab dat gehackt werd. De organisatie zegt de beveiliging van de gegevens gecontroleerd te hebben. Deel 4 in een miniserie over informatiebeveiliging in de zorg.
De labhack bij Eurofins heeft enorm veel slachtoffers: alle personen die hun gegevens deelden met een zorgorganisatie die vervolgens die gegevens weer doorstuurde naar het laboratorium Clinical Diagnostics. Veruit de grootste groep is op die manier gedupeerd via het Bevolkingsonderzoek Nederland, die gegevens van 941.000 personen heeft gedeeld met het Eurofins-lab. Van minstens 715.000 van hen staat vast dat de volgende gegevens gestolen zijn: naam, adres, woonplaats, geslacht, geboortedatum, bsn, soort onderzoek (zelftest of uitstrijkje), testuitslag(en), en naam van de huisarts. Dat roept veel vragen op, die Computable aan de organisatie heeft gesteld. Elma van der Vlis, woordvoerder bij Bevolkingsonderzoek Nederland (BVO NL), beantwoordde ze.
Waarom ging BVO NL in zee met een partij die zelf op de eigen website zegt niet gecertificeerd te zijn voor de wettelijk verplichte NEN7510 en NEN7512?
‘De organisaties betrokken bij de verwerking van persoonsgegevens moeten voldoen aan de veiligheidseisen die worden gesteld in onder andere de AVG – de Algemene Verordening Gegevensbescherming. Een belangrijk onderdeel van de AVG is dat de gegevens goed beveiligd worden. BVO NL controleert dit en kijkt ook of haar eigen gegevensverwerkers zich aan de wet houden. De overheid biedt organisaties informatie en hulpmiddelen om beter om te gaan met gegevensbescherming. Toch kan het helaas gebeuren dat organisaties slachtoffer worden van digitale criminelen.’
‘Voor de bevolkingsonderzoeken en screenings worden diensten, zoals laboratoriumonderzoek, Europees aanbesteed en gecontracteerd. Bedrijven of organisaties die aan de eisen voldoen, kunnen zich inschrijven. Dit kunnen commerciële bedrijven zijn, maar ook laboratoria van bijvoorbeeld ziekenhuizen. Wanneer diensten worden aanbesteed en gecontracteerd dan wordt in dit aanbestedingsproces aangegeven aan welke eisen aanbieders moeten voldoen, bijvoorbeeld op het vlak van privacy en informatiebeveiliging; de ISO- en NEN-normeringen. Dat is in dit specifieke geval ook gebeurd. Eisen zijn vastgelegd in de overeenkomst tussen BVO NL en het laboratorium.’
Hoe heeft BVO NL zich ervan verzekerd dat de data van die honderdduizenden personen goed beveiligd was bij het lab en men er daar goed mee omging?
‘BVO NL heeft een verwerkersovereenkomst met het laboratorium. Daarin zijn conform wet- en regelgeving onder meer afspraken gemaakt over de beveiliging van de door het laboratorium gebruikte persoonsgegevens. Er wordt nu onderzoek gedaan naar hoe deze hack heeft kunnen plaatsvinden. In afwachting van dit onderzoek is de samenwerking met het laboratorium tijdelijk opgeschort.’
Welke persoonsgegevens deelt BVO NL met derden en volgens welke eisen?
‘Per bevolkingsonderzoek is het proces van uitnodigen, eventuele vervolg- of aanvullende stappen, uitslag verstrekken en de relatie met zorgaanbieders in de keten anders. Per bevolkingsonderzoek wordt gekeken op welke wijze gegevensuitwisseling geminimaliseerd kan worden.’
‘Wanneer zorgaanbieders zorg verlenen aan hun patiënten, verwerken zij persoonsgegevens van die patiënten. Met het bsn kunnen de zorgaanbieders die gegevens koppelen aan de juiste patiënt. Ook moeten zorgaanbieders het bsn gebruiken als zij gegevens uitwisselen met andere zorgaanbieders, zorgverzekeraars en indicatieorganen. Clinical Diagnostics NMDL is een zorgaanbieder in de zin van de Wet kwaliteit, klachten en geschillen zorg – en is verplicht te voldoen aan de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, en de Wet elektronische gegevensuitwisseling in de zorg. Dat geldt ook voor BVO NL. BVO NL gebruikt bsn’s om te waarborgen dat de ontvangende partij(en) de gegevens aan de juiste persoon (kunnen) koppelen.’
‘Naast het bsn zijn zorgaanbieders verplicht op grond van de Wet op de geneeskundige behandelingsovereenkomst een dossier aan te houden met gegevens over de betrokken patiënt en wel in die mate waarin dat noodzakelijk is om zorg te verlenen. De Richtlijn uitwisseling laboratoriumgegevens is onderdeel van de professionele standaard waaraan laboratoria dienen te voldoen. Deze richtlijn beschrijft de gegevensset uitsluitend voor zorginhoudelijke communicatie van laboratoriumgegevens. Het beschrijft de gegevensset in logische of generieke zin, dus de gegevens of gegevensgroepen gerelateerd aan het moment waarop gegevens nodig zijn. De gedetailleerde gegevens worden beschreven in de informatiestandaard laboratoriumuitwisseling.’
Waarom deelde BVO NL meer dan alleen maar het bsn, dat is immers al een unieke, persoonsgebonden code?
‘Om de juiste tests aan de juiste personen te koppelen heeft Bevolkingsonderzoek Nederland een aantal gegevens van de deelnemers nodig. Zo zorgen we ervoor dat onze deelnemers de juiste uitslag ontvangen. Wij delen de gegevens die noodzakelijk zijn voor het uitvoeren van de tests met het lab. Bij het bevolkingsonderzoek baarmoederhalskanker zijn in de keten verschillende zorgaanbieders betrokken. Ook Bevolkingsonderzoek Nederland is een zorgaanbieder. Wanneer zorgaanbieders zorg verlenen aan hun patiënten, verwerken zij persoonsgegevens van die patiënten en wisselen die waar nodig uit. Er zijn verschillende wetten van toepassing waaraan de zorgaanbieders moeten voldoen bij de verwerking van de persoonsgegevens waardoor bepaalde gegevens nodig zijn. Daarnaast zijn er richtlijnen waar laboratoria aan moeten voldoen. De gegevens die bij het bevolkingsonderzoek baarmoederhalskanker zijn gedeeld voldoen aan deze wetten en richtlijnen.’
De andere delen van deze miniserie zijn hier te vinden.
“Van minstens 715.000 van hen staat vast dat de volgende gegevens gestolen zijn: naam, adres, woonplaats, geslacht, geboortedatum, bsn, soort onderzoek (zelftest of uitstrijkje), testuitslag(en), en naam van de huisarts.”
asjeblief.
lang verhaal maar het artikel geeft een mooie samenvatting in de laatste zin:
“De gegevens die bij het bevolkingsonderzoek baarmoederhalskanker zijn gedeeld voldoen aan deze wetten en richtlijnen.”
En de hackers hebben beloofd de copies te vernietigen.
Je weet wel, die gasten die een enorme subset alvast op het darkweb geplaatst hebben 😛
Om hun dreigementen kracht bij te zetten.
en nu ?
walk on, nothing to see here ?
Daar is deze case een maatje te groot voor.
Het was erop wachten natuurlijk als alles aan mekaar hangt bij gegevensuitwisseling, waar BSN is ontworpen voor te identificatie en immutable is. Waar BSN vastlegging van patientdata op elke plek verplicht is.
Hopen dat het wel mee zou vallen heeft niet geholpen. Hielp trouwens ook niet bij gas uit Rusland, gas uit Groningen, agressie van Rusland, idioterie uit America, ons recente rariteitenkabinet en wat er nog van over is.
Toch maar terug naar de tekentafel.
Een landelijk data-design samen met gegevens uitwisseling herzien, inclusief wetgeving, dat gaat wat tijd en geld kosten.
Wat houdt dataminimalisatie nou echt in, wat zijn de werkelijke risico’s, hoe ga je handhaven ? Wat ga je gedogen en op basis waarvan ?
Technisch hoef je BSN natuurlijk niet unencrypted te bewaren bij de patientdata om toch te kunnen identificeren.
Maar BSN is wel ontworpen ter identificatie, als je als institituut kan decrypten hoe weet je dan zeker dat een aanvaller dat niet ook kan ?
Dat ze bij die data kunnen, encrypted of niet, toont al aan dat er lek zit.
En hoe complexer het datamodel, hoe groter de kans op fouten. Je wilt geen husselbak met kanker uitslagen.
Goede security is complex en complexiteit kost tijd, geld en geeft risico’s op beschikbaarheid.
Voorlopig het advies aan de burger : kijk uit voor hackers 😛
Beetje ongeloofwaardig als professionele instituten, die zich aan alle regeltjes hebben gehouden (???) daar dus zelf slachteroffer van zijn geworden.