De grote hack bij het Rijswijkse laboratorium Clinical Diagnostics roept op basis van de totale omvang van de hack alsmede door de hoeveelheid data per patiënt duidelijke vragen op. Vragen over de databasestructuur, het toegangsbeleid en het updatebeheer. De gestolen data bevatten uitgebreide persoonsgegevens, gegevens van de verwijzer en de uitslag van het onderzoek. Dat kan niet anders dat op enig moment binnen de infrastructuur van het lab al die data tegelijk in één te bezichtigen bestand zich bevonden. Bij dit soort data horen persoonsgegevens en medische data gescheiden in databases te staan waarbij een patiënt identificatie file, als key, koppelt. Het is niet aannemelijk dat de hackers losse bestanden hackten en die zelf combineerden. Onder andere op basis van Europese ISO-normen 18308 en 13606 dient er zo’n scheiding te zijn tussen identificerende persoonsgegevens en medische uitslagen. De vraag is ook of het toegangsbeheer tot de data wel op orde is. Of niet teveel mensen toegang tot de data ...