Wat was de rol van het Franse bedrijf Eurofins in de hack van een van hun laboratoria: Clinical Diagnostics Nederland? Deel 6 over informatiebeveiliging in de zorg.
‘Begin juli is het netwerk van Clinical Diagnostics Nederland getroffen door een gerichte cyberaanval. Hierbij hebben hackers ongeautoriseerde toegang verkregen tot een deel van de IT-omgeving van Clinical Diagnostics NMDL en Clinical Diagnostics LCPL. Er zijn geen andere laboratoria binnen het netwerk van Clinical Diagnostics Nederland door dit incident getroffen,’ zo verwoordt het lab de enorme dataroof van privégegevens van honderdduizenden Nederlanders. Het Nederlandse lab is er één van de 950 die Eurofins exploiteert. De in Parijs genoteerde en snelgroeiende multinational verwerkt wereldwijd voor veel overheden heel veel data (zie kader).
Hoe de ransomware-aanval heeft kunnen plaatsvinden is onduidelijk, daarover willen het lab en het moederbedrijf nog niks kwijt. Eurofins zegt wel hard te werken aan de eigen cybersecurity: ‘In 2024 is er een aanzienlijke inspanning geleverd om niet alleen gebruikers te scheiden, maar ook applicaties.’ Een proces dat dit jaar zou hebben doorgelopen. Ook over het al dan niet goed versleuteld zijn van al die data houdt men de lippen nog op elkaar. Twee andere vragen die al snel rondgingen wil men wel toelichten.
Tijd tussen ransomware-aanval en bericht
Het lab heeft zelf op haar website uitgelegd waarom er zoveel tijd zat tussen de hack en de bekendmaking: ‘Dat kwam doordat we eerst onze systemen veilig moesten maken, technisch en forensisch onderzoek hebben gedaan, de schade voor betrokkenen wilden beperken en de getroffen gegevens hebben onderzocht. Deze stappen waren nodig om goed te kunnen communiceren met de getroffen organisaties en personen.’
Verder zegt het lab een goede reden te hebben om zo veel gegevens op te slaan: ‘In de zorgsector is het wettelijk verplicht om medische gegevens en bijbehorende persoonsgegevens gedurende een bepaalde termijn te bewaren. Dit is nodig om goede zorg te kunnen leveren, bijvoorbeeld om eerdere onderzoeken of uitslagen te kunnen raadplegen en om te voldoen aan wettelijke administratie- en bewaarplichten.’
Bsn is een sleutel, waarom dan bewaard met de data erachter?
Per persoon is er ontzettend veel data gestolen: van patiënten gaat het om naw, geslacht, geboortedatum, bsn, onderzoeksgegevens, testuitslagen, en van de zorgorganisatie die het onderzoek heeft aangevraagd om gegevens als naam instelling, naam zorgverleners, AGB-code, adres en contactgegevens. Een kwestie die veel wenkbrauwen deed fronsen is waarom zaken als naw, geslacht en geboortedatum samen met het bsn werden opgeslagen, terwijl die al achter het bsn schuilgaan.
‘Erkende zorgverleners in Nederland zijn wettelijk verplicht om het bsn van hun patiënten vast te leggen en te bewaren’, legt Maureen Veurman, woordvoerder van Clinical Diagnostics Nederland, uit aan Computable. ‘Ze gebruiken het bsn als ze gegevens over patiënten uitwisselen. Daarom zat het bsn ook in het lek bij Clinical Diagnostics. Met het nummer kunnen de onderzoeken aan de juiste personen worden gekoppeld.’
Niks gewijzigd
Verder willen het lab en Eurofins niet veel kwijt, lopende het onderzoek. ‘Wij vinden het afschuwelijk dat dit incident heeft plaatsgevonden en beseffen dat dit bij betrokkenen veel zorgen en vragen oproept,’ zegt Veurman. ‘Wij bieden onze oprechte excuses aan voor het feit dat deze hack heeft kunnen plaatsvinden. Wij werken intensief samen met gespecialiseerde externe experts om de oorzaak van het incident en onze systemen nader te onderzoeken. Dat onderzoek vormt de basis voor eventuele nadere maatregelen.’
Het enige lichtpuntje bij de kwestie is wellicht dat er bij het lab waarschijnlijk geen gegevens zijn gewijzigd. Veurman: ‘voor zover bij ons bekend zijn de gegevens alleen ingezien en gekopieerd.’
De andere delen van deze miniserie zijn hier te vinden.
Feiten en cijfers over Eurofins
Eurofins is een in Luxemburg gevestigde, in Brussel te contacteren en in Parijs genoteerde multinational met een beurswaarde van rond de 11 miljard euro. Het bedrijf heeft zo’n 63.000 werknemers en meer dan 950 laboratoria in meer dan 60 landen. Vlak voor de lab-hack rapporteerde het een halfjaaromzet van 3,6 miljard euro, een groei van 5,7 procent vergeleken met een jaar eerder. De winst voor belastingen (ebitda) bedroeg 810 miljoen euro, wat 7,0 procent hoger was. Sinds de beursgang in 1997 heeft het bedrijf een bijzonder hoog gemiddeld samengesteld jaarlijks groeipercentage (cagr) van meer dan 23 procent weten te halen. Het zit zo goed in de slappe was, dat het net besloten heeft om gebruikte locaties te kopen die het niet al bezit.
In Nederland heeft het 35 vestigingen, veelal bv’s, ongeveer de helft laboratoria, waaronder acht in de zorgsector, zoals de gehackte in Rijswijk. Eurofins is een gewild doelwit van ransomware-aanvallen en datadieven, omdat het ontzettend veel medische, agrarische, milieu- en forensische (test)gegevens verzamelt. Zo werd in juni een Britse dochter getroffen door een ransomware-aanval, waarna de Britse politie de samenwerking met het bedrijf staakte. Het bedrijf zou er verantwoordelijk zijn voor meer dan de helft van het forensische werk, met jaarlijks meer dan 70.000 strafzaken. En zo waren er vaker dataproblemen bij het bedrijf.
Desondanks is het bedrijf trots op de ontwikkeling van de eigen cybersecurity: ‘Eurofins heeft zijn Bitsight-score consistent verbeterd en blijft op een volwassen niveau. Een externe beoordeling van meer dan 200 cyberbeveiligingscontroles, uitgevoerd door CyberVadis, een beveiligingsbedrijf, gaf Eurofins een score van 952/1000 punten (tegen 817 in 2023), wat onze voortdurende inzet voor robuuste cyberbeveiligingspraktijken weerspiegelt.’
Het mitigeert het risico op ransomware-aanvallen en hacks door ’Strategische segmentatie van it-infrastructuur en -applicaties, het creëren van afzonderlijke netwerken om de veerkracht van het bedrijf te versterken en de verspreiding van IT-incidenten te beperken, implementatie van een robuust upgradeprogramma voor informatiebeveiliging dat de beveiliging binnen het gehele Eurofins-netwerk systematisch versterkt, exploitatie van een 24-uurs security operations centre (soc) dat verantwoordelijk is voor het monitoren en beantwoorden van meldingen van het siem-systeem, aangevuld met ids-implementatie, moderne edr- en webbeveiligingsmogelijkheden,’ en ook uitgebreide awareness-trainingen.
![[Afbeelding: Sergey Nivens/Shutterstock.com]](https://www.computable.nl/wp-content/uploads/2025/08/Hack-169-shutterstock_625003571-e1755092750780-375x250.jpg)
