Bevolkingsonderzoek Nederland lekt gevoelige gegevens 485.000 vrouwen
Bevolkingsonderzoek Nederland heeft de gevoelige gegevens gelekt van 485.000 vrouwen die deel hebben genomen aan het bevolkingsonderzoek baarmoederhalskanker. Het gaat om persoonsgegevens en bijzondere persoonsgegevens zoals naam, adres, burgerservicenummer, telefoonnummers, mailadressen en testuitslagen die in handen van aanvallers zijn gekomen. Volgens demissionair minister Jansen van Volksgezondheid is op dit moment de exacte omvang van het datalek nog onduidelijk.
De gegevens werden gestolen bij een laboratorium dat betrokken is bij het bevolkingsonderzoek baarmoederhalskanker. Bij dit laboratorium worden uitstrijkjes en zelftesten van vrouwen getest in opdracht van Bevolkingsonderzoek Nederland. In Nederland zijn er drie bevolkingsonderzoeken naar kanker: de bevolkingsonderzoeken borstkanker, baarmoederhalskanker en darmkanker. Ze worden aangeboden door de overheid. De datadiefstal bij het lab werd op 6 juli ontdekt, zo laat de minister in een brief aan de Tweede Kamer weten. De bewindsvrouw voegt toe dat Bevolkingsonderzoek Nederland een onderzoek naar de omvang en oorzaak van het datalek heeft ingesteld.
Tevens wordt gekeken of het laboratorium meer maatregelen had moeten treffen om aanvallen te voorkomen of de gevolgen ervan te beperken. Daarnaast wordt onderzocht of het informatiesysteem van het laboratorium voldoende veilig is voor de verwerking van nieuwe testresultaten. In afwachting van de uitkomsten van dit onderzoek heeft de overheid besloten om de samenwerking met het laboratorium op te schorten. Bevolkingsonderzoek Nederland schat dat een tijdelijke opschorting van de samenwerking de continuïteit van de screening niet in gevaar brengt.
Hoe de inbraak op de systemen van het lab kon plaatsvinden is nog niet bekendgemaakt. Getroffen deelnemers ontvangen in de komende weken een brief van Bevolkingsonderzoek Nederland zodra er over hun betrokkenheid meer duidelijkheid is. Het datalek is gemeld bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd.
https://www.ad.nl/tech/data-half-miljoen-vrouwen-gestolen-bij-bevolkingsonderzoek-baarmoederhalskanker-ook-testuitslagen-liggen-op-straat~a7796f97/
Volgens Bevolkingsonderzoek Nederland zijn de hackers begin juli binnengedrongen in de systemen van het laboratorium Clinical Diagnostics NMDL van Eurofins in Rijswijk, een van de instanties die de monsters beoordelen. De organisatie zegt vorige week te zijn geïnformeerd over het datalek. Op de uitslagen heeft het lek geen invloed.
https://www.volkskrant.nl/binnenland/hackers-stelen-gegevens-van-half-miljoen-vrouwen-die-deelnamen-aan-bevolkingsonderzoek-baarmoederhalskanker~b0722dfb/
De samenwerking met het bewuste lab is tijdelijk opgeschort en alle lopende onderzoeken worden elders gedaan.
https://nos.nl/artikel/2578296-gegevens-honderdduizenden-vrouwen-gehackt-bij-bevolkingsonderzoek-baarmoederhalskanker
Het is Medisch Geheim, stelletje pannekoeken!
Clinical Diagnostics Nederland verwerkt de gegevens in opdracht van Bevolkingsonderzoek Nederland. Daarmee is Bevolkingsonderzoek Nederland verantwoordelijk en heeft zodoende ook de gegevens gelekt.
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verantwoordelijke-en-verwerker
Een structurele oplossing is directe scheiding van deze data. Identificerende gegevens (naam, adres, BSN) worden bewaard in een apart, zwaar beveiligd systeem. Medische testresultaten staan in een ander systeem zonder identificerende velden. Koppeling gebeurt alleen tijdelijk via unieke tokens die na gebruik verlopen.
Concreet betekent dit dat een aanvaller die één database weet te kraken óf alleen medische data zonder namen ziet, óf alleen persoonsgegevens zonder medische inhoud. Het combineren kan alleen in een streng afgeschermde, interne omgeving. Dit maakt een datalek veel minder schadelijk en beperkt de impact voor burgers drastisch.
Clinical Diagnostics SCAL ISO 15189 – RVA Testen M315
Clinical Diagnostics MML ISO 15189 – RVA Testen M251
Clinical Diagnostics NMDL ISO 15189 – RVA Testen M293
Clinical Diagnostics LCPL ISO 15189 – RVA Testen M292
Clinical Diagnostics PAMM ISO 15189 – RVA Testen M103
Clinical Diagnostics Gelre ISO 15189 – RVA Testen M224
"Clinical Diagnostics SCAL is voor deze norm gecertificeerd, de andere laboratoria zijn bezig met de implementatie van deze norm. "
Verzamel alle relevante contactgegevens van de vrouwen, voorzie de vrouwen van een willekeurig-uniek nummer zoals, maar niet gelijk aan het BSN, en stuur alle onderzoeksgegevens op naar die laboratoria met als identificatie alleen dat nummer.
Dan krijg je de resultaten terug, en rapporteer je die aan de vrouwen. Als dan het onderzoeksbureau gehacked wordt, is je maximale risico dat de hackers de resultaten massaal manipuleren. Ook lastig, maar zo gevonden als vrouwen bij het ziekenhuis niks blijken te hebben, of je hit-ratio af begint te wijken.
De resultaten verwijder je daarna overal binnen bevolkingsonderzoek Nederland, na het bijwerken van je volgendekeer-uitnodigen-database.
Voor postcode-correlatie kun je de gegevens af en toe weer opvragen, correlleren, en de brondata weer wegmaken.
Het onderzoekscentrum kan de scan-gegevens en hun eigen conclusies gewoon bewaren, omdat het niet om herleidbare gegevens gaat aan hun kant. Fijn om hun eigen conclusies af en toe te bekijken.
Ik heb bij een van de voorlopers van Bevolkingsonderzoek Nederland gewerkt als database-beheerder lang geleden, nog voor dat de AVG van kracht was. Toen kon het al zo. Wellicht is het nu tijd het ook zo in te richten.
Dit is ook het eerste wat ik me afvroeg. waarom loopt iedereen zo data te harken en op te slaan. Je kan niet lekken wat je niet hebt. niet meer nodig is weg of anonimiseren
Ik vertrouw de data met zo'n afwijking niet.
Het is Medisch Geheim, stelletje pannekoeken!
Iedereen heeft zo z'n eigen classificatie labels. Jij hanteert dus blijkbaar een bepaalde set van classificaties waarvan jij vindt dat die de enige goede zijn?
Het is Medisch Geheim, stelletje pannekoeken!
Iedereen heeft zo z'n eigen classificatie labels. Jij hanteert dus blijkbaar een bepaalde set van classificaties waarvan jij vindt dat die de enige goede zijn?
Medisch geheim schept striktere verplichtingen dan de AVG. Daarom is het belangrijk om te benoemen dat het medisch geheim is.
De vraag is ook waarvoor de deelnemers aan die bevolkingsonderzoeken precies toestemming hebben gegeven, en of die toestemming op geïnformeerde wijze is gegeven. Stond er ergens in de kleine lettertjes dat de deelnemers toestemming gaven om hun medische gegevens op niet-anonieme wijze te laten verwerken in laboratoria zonder NEN7510 certificering, om maar eens een voorbeeld te noemen?
Als ze daarvoor geen geïnformeerde toestemming hadden gegeven, dan zijn er niet alleen data gelekt, maar is ook het medisch beroepsgeheim geschonden door Bevolkingsonderzoek Nederland.
Is er bij Bevolkingsonderzoek Nederland een coördinerende arts? Wordt die nu voor de medische Tuchtraad gebracht? Nederland kennende, gaat dat vast niet gebeuren, want artsen beschermen elkaar graag.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?