Dit ging er allemaal mis bij Clinical Diagnostics
Clinical Diagnostics voldeed tijdens de geruchtmakende hack begin juli 2025 niet aan de wettelijk verplichte norm NEN 7510 voor informatiebeveiliging in de zorg. Als dat wel was gebeurd, zou de kans op een massale datahack kleiner zijn geweest en waren de gevolgen minder ernstig uitgevallen. Dat concludeert de Inspectie Gezondheidszorg en Jeugd (IGJ) na onderzoek bij het medisch diagnostisch laboratorium in Rijswijk, dat deel uitmaakt van het Franse Eurofins.
Tijdens de hack werden de (medische) gegevens van zo’n 941.000 personen ingezien of gestolen. Vooral onder deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker was de onrust groot.
Organisaties die werken met patiëntgegevens moeten voldoen aan de norm NEN 7510 om risico’s op cyberincidenten te beperken. Maar zelfs in december vorig jaar had het lab zijn zaken bij de betrokken bedrijfsonderdelen (LCPL en NMDL in Rijswijk) nog niet op orde. Er was geen onafhankelijke audit uitgevoerd op de informatiebeveiliging. Daarnaast had het bedrijf de risico’s bij het verwerken van gegevens niet periodiek in kaart gebracht, zoals is voorgeschreven. Zonder inzicht in die risico’s kon het niet bepalen welke maatregelen nodig waren voor databeveiliging. De inspectie gaat hier de komende tijd scherper op letten.
Veronderstelling
Volgens Clinical Diagnostics bleek het niet mogelijk vast te stellen hoe de aanvallers toegang kregen tot een gecompromitteerd gebruikersaccount. Het moederbedrijf Eurofins verkeerde in de veronderstelling dat de gehele omgeving van Clinical Diagnostics werd gemonitord door het security operations center (soc). De legacy-omgevingen die de hackers wisten binnen te dringen, zouden echter door een menselijke fout buiten de scope van de monitoring zijn geraakt.
Het SOC dacht ten onrechte dat die omgevingen niet langer actief waren en schakelde de monitoring ervan uit. Hierdoor werden afwijkende patronen in de logging niet opgemerkt. Het viel daardoor niet op dat hackers data van bijna een miljoen burgers wisten te ontfutselen.
Het bedrijf zei tegenover de onderzoekers van de IGJ dat de toegang tot het gecompromitteerde account ten tijde van de hack was beveiligd met een wachtwoord van zestien karakters. Op het getroffen account bleek echter geen multi-factorauthenticatie actief. In het verleden zou dat wel het geval zijn geweest.
Juist beeld
De inspecteurs hadden nogal wat tijd en moeite nodig om van de situatie bij Clinical Diagnostics een juist beeld te krijgen. Zo zei het bedrijf gedeeltelijk aan de NEN 7510-norm te voldoen. Later bleek echter dat dit alleen gold voor een bedrijfsonderdeel dat buiten de hack was gebleven. Verder hadden de inspecteurs gevraagd of de getroffen bedrijfsonderdelen aantoonbaar voldeden aan de norm NEN 7510. Het bedrijf zei niet te weten of hier in het verleden een audit had plaatsgevonden. Anderhalve maand later moest Clinical Diagnostics erkennen dat dit al meer dan drie jaar niet was gebeurd.
Gezien de grote omvang van de gegevensverwerking en de risico’s voor de persoonlijke levenssfeer van betrokkenen, vanwege de gevoelige aard van de gegevens, had het bedrijf meer verantwoordelijkheid moeten nemen, aldus de inspectie. De wettelijke plicht om volgens NEN 7510 te werken bestaat juist om dit soort risico’s te beperken. Clinical Diagnostics had de risico’s van de verwerking van deze gegevens periodiek en bij grote veranderingen in kaart moeten brengen. Zonder die risico’s te kennen, was het bedrijf niet in staat passende maatregelen te treffen.
Certificaat
De affaire rond Clinical Diagnostics geeft de IGJ aanleiding om zorgaanbieders op te roepen om aantoonbaar te werken volgens NEN 7510. Zij moeten beschikken over een certificaat en/of beoordeling door een onafhankelijke partij. Voor zorgaanbieders die gebruikmaken van laboratoria of andere derde partijen betekent dit dat zij ook actief moeten controleren of de informatiebeveiliging van deze partijen aantoonbaar voldoet. De inspectie besteedt hier de komende tijd extra aandacht aan in haar toezicht, omdat zorgketens bijzonder kwetsbaar blijken. Eén hack kan direct handenvol zorginstellingen raken.
De IGJ kan geen sancties opleggen. De Autoriteit Persoonsgegevens (AP) kan dat wel, maar heeft het onderzoek naar de zaak nog niet afgerond. Clinical Diagnostics heeft na de aanval al losgeld betaald aan de cybercriminelen. De financiële schade kan nog verder oplopen nu blijkt dat het bedrijf meer verantwoordelijkheid had moeten nemen.
Diagnostics in de naam maar toch “bleek het niet mogelijk vast te stellen hoe de aanvallers toegang kregen tot een gecompromitteerd gebruikersaccount.”
En of er ooit audit was geweest.
Ff opzoeken zou je zeggen..maar nee.
“Anderhalve maand later moest Clinical Diagnostics erkennen dat dit al meer dan drie jaar niet was gebeurd”
Zal wel heel gedegen onderzoek zijn geweest.
Hoe diagnostisch is men daar bezig ?: “Zonder inzicht in die risico’s kon het niet bepalen welke maatregelen nodig waren voor databeveiliging.”
Duhhhhhhhh.
En wat gaan ze daaraan doen: “De inspectie gaat hier de komende tijd scherper op letten.”
Zo, is dat ook weer opgelost.
En dan moederbedrijven die in veronderstelling zijn … bla bla
Hoe communiceerde de ceo van Odido dat ook alweer : “Niets verkeerd gedaan, wel fouten gemaakt” 😛
Hoe kan het dat de IGJ er een jaar over moet doen om tot deze conclusies te komen? En waarom is het toezicht zo versnipperd in Nederland? Er moeten weer tig organisaties een plasje over doen en de ene kan alleen dit beoordelen en de andere alleen dat.
Ik had je binnen een dag kunnen vertellen dat Clinical Diagnostics zijn zaakjes niet op orde had want anders waren er geen gegevens gestolen.
Als organisatie moet je ook rekening houden met infiltratie van binnenuit. Een corruptie (ex-)medewerker kan gemakkelijk dat wachtwoord hebben verkocht voor een contact geldbedrag. Dat ga je nooit achterhalen. En dat blijkt hier ook het geval want ze weten niet hoe de hackers aan het wachtwoord kwamen.
De omgeving werd zogenaamd niet meer gebruikt maar was nog wel actief en benaderbaar en alle beveiliging en monitoring ervan was uitgeschakeld. Dat is toch de definitie van nalatigheid?