Hopelijk een wake-up call dat betalen geen enkele garantie geeft en die clubs alleen maar krachtiger maakt.

De teller staat inmiddels op 10 dagen, in screenshot op X gisteren nog op 38 dagen. Klinkt weinig positief allemaal.

De onion webadressen van deze hackersgroep zijn onlangs nog van een update voorzien. Overigens, de naam van Clinical Diagnostics op hun site is verkeerd gespeld. Teller nu (op moment schrijven) is 10d 16h 25m.

Dus voor eens en voor altijd; betaal criminelen nooit.
Data kwijt en geld kwijt. Dom dom dom.

Taalanalyse van de onion site zou volgens A.,I. kunnen wijzen op hackers uit Rusland of Azië.

Dat is inmiddels wel duidelijk ja.

betalen geeft vooral aan dat de organisatie bereid is te betalen. Dus is er een goede incentive om meer geld uit dezelfde organisatie te halen

Het landschap van de zorglaboratoria is de afgelopen tien jaar grondig omgeploegd. Verzekeraars moedigen schaalvergroting aan en eisen lagere tarieven. Kleinere laboratoria kampen met opstapelende regelgeving en ziekenhuizen in geldnood kunnen ervoor kiezen hun diagnostische klinieken te verkopen. [...]

Eurofins wist vele laboratoria te verleiden op te gaan in hun bedrijf. Al betekent het kennelijk ook dat meer gevoelige data op één plek wordt bewaard, zo leert het recente debacle met Clinical Diagnostics. [...] Het concern blijkt ook financiële risico’s te nemen met de Nederlandse labs [...]

https://www.nrc.nl/nieuws/2025/08/17/moederbedrijf-van-gehackt-laboratorium-is-geen-kleine-club-je-zou-verwachten-dat-ze-hun-beveiliging-op-orde-hebben-a4903279

Het net als in de fysiek wereld, ben je eenmaal slachtoffer geworden dat komen ze terug. Clinical Diagnostics is in 2019 ook al eens slachtoffer geweest van een hack, toen hebben ze ook betaald. In juni 2025 weer gehackt en weer betaald en nu weer betalen.

Is allemaal terug te voeren op gedrag en houding van het slachtoffer.. leer curve bij veel slachtoffer is NUL.. zo ook bij Clinical Diagnostics.

Wanneer grijpen aandeelhouders hier in?

Betalen is meewerken aan een criminele organisatie, niet betalen is dus beter op de lange termijn.
Daarnaast het bedrijf aansprakelijk stellen voor alle directe- indirecte- en vervolgschade.
Een lab heeft geen namen en/of BSN nummers nodig, een klantnummer is voldoende.
De aanvrager van het onderzoek is de enige die de link moet kunnen leggen tussen dat klantnummer en een persoon.

Het lijkt me noodzakelijk dat het lab de naam van de patient kent als het laboratorium zelf de monsters afneemt... Al is het maar ter controle dat de papiertjes met afnamecodes niet per ongeluk verwisseld zijn.

Dit weekend verscheen een bericht op het dark web waarin Nova dreigde om de gegevens alsnog openbaar te maken. Inmiddels noemen de hackers ook een bedrag: Nova wil dat Clinical Diagnostics 11 bitcoins betaalt, wat neerkomt op bijna 1,1 miljoen euro. De hackers beweren dat een geïnteresseerde koper de gegevens wil hebben, al kan dat bluf zijn.

https://nos.nl/artikel/2579048-hackers-eisen-bijna-1-1-miljoen-euro-om-medische-gegevens-niet-te-lekken

Ja, tenminste in het algemeen. Of het in dit specifieke scenario ook zo is weten we niet, want we weten niet wat die afspraken zijn die geschonden zouden zijn. Het is in die zin een beetje het prisoners's dilemma; het is best mogelijk dat de beste keuze gegeven de situatie was om het losgeld te betalen. Het is ook mogelijk dat de gemaakte afspraken inderdaad door dat medisch lab zijn geschonden, en het is ook mogelijk dat als dat niet was gebeurt de hackersgroep zich ook aan de afspraak had gehouden. Heel in het algemeen ben ik het eens dat niet betalen de juiste optie is, maar er zijn genoeg scenario's te bedenken waarin betalen wel de betere optie is. Dat zal dan afhangen van wie de hackers zijn (een bekende groep kan een reputatie opbouwen dat ze zich altijd aan de afspraken houden; dan heeft zo'n groep ook een reden om dat te doen), de hoogte van het losgeld en de gevolgen van het openbaar maken van de gestolen data. Dat laatste hangt dan weer samen met de aard van de data en wie het betreft. Je kan zeggen dat betalen het belonen van die hackers is, je kan ook zeggen dat de data te gevoelig is voor te veel mensen om te riskeren om die hackers het lesje te leren dat het niet loont. Ik denk dat beide waar is, het een sluit het ander niet uit.

Dat is ook mijn mening, maar het is een wettelijke vereiste. BSN moet om fraude tegen te gaan overal gebruikt worden in de zorg.
(maar de rest van de gegevens lijkt me totaal irrelevant als je een monster onderzoekt in het kader van een bevolkingsonderzoek)

Hoe gaan we dit in de toekomst voorkomen? Of is het: "wen er maar aan".

Hopelijk ook een wake-up call dat de AVG geen enkele garantie geeft.
Hopelijk ook een wake-up call dat het medisch beroepsgeheim geen enkele garantie geeft.
Hopelijk ook een wake-up call dat NEN7510 geen enkele garantie geeft.
Waarom niet? Omdat artsen, de AP, de rest van de overheid alsmede het bedrijfsleven zich er gewoon niet aan houden.

Die wet "BSN-nummer in de zorg" is door een volstrekt ondeskundig parlement goedgekeurd. Een parlement wat niets geleerd had van wat er in het verleden allemaal met registratienummers is gedaan. Een parlement dat alleen naar de digilobby luistert. Die wet moet worden afgeschaft.

Bovendien is een laboratorium dat monsters onderzoekt, geen "zorg". Het is onderzoek. Onderzoek van monsters (bloedmonsters, uitstrijkjes). Een fabriek die nierdialyse-apparatuur produceert, verricht ook geen zorg. Dat is productie.

Qua betrouwbaarheid met medische gegevens onderscheiden artsen zich tegenwoordig inderdaad niet van een groep hackers.

Klopt het wel wat je schrijft?
Wat ik heb horen zeggen bepaalt de overheid de tarieven voor de onderzoeken, aan de hand van welke methode er gebruikt wordt.

Nou ja sterker nog, het probleem (in het algemeen, ik weet niet wat de oorzaak was van het datalek in dit specifieke geval) is dat zelfs als zo'n medisch labaratorium en alle andere betrokken partijen zich wel aan alle regelgeving houden het nog steeds mogelijk is dat er zo'n datalek ontstaat. Dat is het onvermijdelijk gevolg van digitalisering en het makkelijker maken om data uit te wisselen tussen partijen. Natuurlijk kan de kans kleiner gemaakt worden met de juiste procedures en technische maatregelen, maar helemaal uitsluiten is onmogelijk. Hoe meer technische maatregelen en procedures je op elkaar stapelt om de kans te verkleinen, hoe duurder en complexer en minder werkbaar en tijdrovend het wordt. Daar zit een probleem van verminderde meeropbrengst in, ergens ontstaat de situatie dat de procedures en technische maatregelen zo complex worden dat juist de complexiteit tot meer fouten gaat leiden, en dat de werkwijze zo onwerkbaar wordt dat mensen het gaan omzeilen. Er is gewoon geen sluitende oplossing voor dit probleem. Zelfs militaire inlichtingendiensten zijn gehackt; dat het daar niet lukt dan is het een illusie om te denken dat het wel kan in een zorgsysteem met honderdduizenden medewerkers in tienduizenden zorginstellingen.

Doe niet zo dom, het lab neemt zelf de monsters niet af. Dat wordt in een buisje afgeleverd.

En zo gaan commerciële gesloten bedrijven om met je privacy. Problemen proberen te verdoezelen ipv openbaar maken. Toen het na 1 maand niet gelukt was moest men wel aangifte doen.

het moest strafbaar zijn om aan zulke criminele te betalen en en waar is de vergoeding voor de slachtoffers en waar is de regering ?????

Hoho artsen houden zich er wel degelijk aan maar worden gedwongen om met deze gesloten privacy onvriendelijke systemen te werken. IK heb wel eens geprobeerd (als bioinformaticus) om te gaan voor een Linux ecosysteem maar werd keihard uitgelachen. Dat verstomde wel toen ik uitlegde zonder Linux mijn werk (ivm tools) niet te kunnen doen. Mijn data moet helaas worden opgeslagen op een windows share met alle risico van dien.

De AVG is juiste een verslechtering van onze privacy. Maakt veel te veel legitiem wat dat never nooit niet zou moeten zijn.
Ook nu dus weer.

Ja. De huidige regelgeving is, zoals die op dit moment wordt geïnterpreteerd, dan ook niet adequaat. Dat is geen toeval. Er is voor gelobbied om te zorgen dat die regelgeving de tech- en data-industrie geen strobreed in de weg legt. Het heeft niets met het welzijn of de privacybescherming van burgers te maken.

Ja, maar (het "gemak" en de "snelheid" van) die data-uitwisseling is zelf niet onvermijdelijk. Het is een keuze.

Om te beginnen is die flitssnelheid al helemaal niet nodig zodra het niet om spoedgevallen gaat. Een bevolkingsonderzoek (waarvan bij dit datalek o.a. sprake is) is bijvoorbeeld geen spoedgeval.

Het antwoord moet dan ook zijn om het zorgsysteem, inclusief de manier waarop er met zorg-gerelateerde informatie wordt omgegaan, te versimpelen en te decentraliseren.

Het is niet nodig om te geloven dat een technisch èn administratief steeds ingewikkelder zorgsysteem ook een steeds betere zorg levert. Dat is namelijk niet het geval. Toch is het wat de tech- en medische industrie ons wil doen geloven. Er wordt veel geld gestoken in technologische hoogstandjes, die de levens van enkele individuen een paar jaar verlengen, terwijl het zorgsysteem als geheel in toenemende mate inhumaan is en de menselijke zorgverleners uitgeput raken en afhaken. Veel van die zorgverleners moeten hier in Europa nu al geïmporteerd worden uit lage-lonen-landen, met tekorten aan medisch personeel in die landen tot gevolg. Naarmate Europa relatief gezien minder rijk wordt ten opzichte van de rest van de wereld, zal die tijdelijke import-mogelijkheid eindigen.

Patiënten zouden zelf de keus moeten krijgen: humane zorg (met handen aan het bed en menselijk contact, en echte bescherming van hun medische dossier en andere persoonsgegevens, inclusief handhaving van het medisch beroepsgeheim) of techno-zorg waarbij hun persoonsgegevens worden opgeslorpt in een globalistisch, digitaal netwerk van waaruit kwetsbare patiënten worden gemanipuleerd om zich te laten ombouwen (wat dan "verzorgen" wordt genoemd) tot halve cyborgs die afhankelijk zijn van steeds meer machines en (vaak verslavende) medicamenten. Ik weet wel wat ik zou kiezen.

Het heeft ook te maken met acceptatie van de dood. Als mijn tijd gekomen is, hoef ik niet aan een hoogtechnologisch apparaat. Ik hoef ook geen harttransplantatie. Ik ben maar een individu, na mij zullen er weer andere individuen komen. Ik ben al tevreden met een aantal verstandige medische basishandelingen, en goede pijnbestrijding, zodat ik op enig moment mijn laatste dagen op een relatief prettige manier en in contact met mijn dierbaren kan doorbrengen, en dan op een waardige manier afscheid kan nemen van mijn leven.

Die panische angst voor de dood, die men dan met steeds meer peperdure technologie en steeds ingewikkeldere digitale systemen wil bestrijden, dat neemt tegenwoordig echt bizarre vormen aan.

En ondertussen vervuilen we met diezelfde technologieën het milieu steeds verder, zodat we steeds meer gifstoffen binnenkrijgen (PFAS, plastics etc.), wat weer allerlei nieuwe ziektes en ongezondheden met zich meebrengt. Dat is een vicieuze cirkel en een doodlopende weg.

Kortom, er is een ander, meer humaan concept van (zieken)zorg nodig, waarbij de zorg weer in dienst komt te staan van patiënten die niet een technisch systeem ingerommeld worden waar gelobbiede artsen in geloven en geld aan verdienen. En waarbij patiënten dus ook weer zelf echte zeggenschap krijgen over hun medische data. Met andere woorden: zorg waarbij ook het medisch beroepsgeheim tussen de menselijke zorgverlener en de menselijke patiënt weer ècht geëerbiedigd wordt, zodat patiënten hun artsen en andere zorgverleners weer kunnen gaan vertrouwen.

M.J.

Van de (groot)aandeelhouders zul je weinig kunnen verwachten:

"Clinical Diagnostics, dat eigendom is van het Franse Eurofins.
Eurofins Scientific is inderdaad geen kleine club. Het heeft laboratoria en diagnostische centra over de hele wereld en is aan de Franse beurs genoteerd.
De onderneming doet niet alleen diagnostiek voor artsen. De 950 laboratoria van het concern in zestig landen houden zich ook bezig met productcontroles, dna-testen, het onderzoeken van gewassen, studies van waterkwaliteit, forensisch onderzoek en voedselanalyse in de veeteelt. Er werken 65.000 mensen; de beurswaarde van het bedrijf is ruim 12 miljard euro.
Oprichter en bestuurder Gilles Martin is er miljardair mee geworden, zijn familie bezit een derde van de aandelen."

https://www.nrc.nl/nieuws/2025/08/17/moederbedrijf-van-gehackt-laboratorium-is-geen-kleine-club-je-zou-verwachten-dat-ze-hun-beveiliging-op-orde-hebben-a4903279/

Er is ook een hacker met die naam op htb met de rank script kiddie....

Als ik criminelen een gigantische som geld zou betalen zit ik zo in het gevang.

Mijn vermoeden is dat ze via Clinical Diagnostics, de veel grotere/uitgebreidere Eurofins aan de haak hebben.

@MJ:


Ja, ik ben het grotendeels met je eens hoor, wat je zegt klopt, maar ik heb wel een paar nuances:


Klopt. Dat zou nog eens een goede parlementaire enquete waard zijn; hoe zijn we precies in deze situatie terecht gekomen en wie heeft er nou eigenlijk precies baat bij wat. Je kan natuurlijk wijzen op alle mooie regels die er zijn, maar dat heeft zo weinig waarde als de toezichthouder(s) ogenschijnlijk bewust tandenloos gemaakt worden. Het belachelijk lage budget van de AP ruikt naar opzet of in elk geval de gedachte dat bescherming van privacy ondergeschikt is aan economische en politieke belangen.



Een keuze, maar wel van de politiek. Dat labaratorium heeft geen keuze; de wet schrijft al geruime verplichtend voor dat data-uitwisseling tussen bijvoorbeeld een huisartsenpost en zo'n labaratorium, of een ziekenhuis of apotheek, digitaal moet plaatsvinden. Dossiervorming is verplicht, en moet digitaal. Dat kan je het labaratorium niet kwalijk nemen.



Klopt helemaal, alleen we weten niet waar het datalek is ontstaan. Het gaat over informatie die over langere periodes verkregen is, dus veruit het meest voor de hand ligend is het scenario waarbij de data uit een onderzoeks-systeem of -database gehaald is, en niet tijdens transport. Bevolkingsonderzoeken zijn op zich nuttig, dus dat die data er is is niet vreemd, en dat het in een analyse-systeem of database zit ook niet. Het lek zou dus net zo goed plaats hebben kunnen gehad als de data op papier was verzameld en handmatig in een systeem zou zijn ingevoerd.



Driemaal hoera en amen, ik ben het helemaal eens.. helaas lijkt de politiek er anders over te denken, en dat wordt met de verdere invoering van de EHDS alleen nog maar erger.



Ja ook hier helemaal eens. Met de nuance dat bijvoorbeeld een bevolkingsonderzoek om vroegtijdig behandelbare aandoeningen op te sporen natuurlijk wel waardevol is, dat zijn dingen die je ook niet onmogelijk wil maken neem ik aan?
En ook onderzoek is natuurlijk op zichzelf nuttig; als we bijvoorbeeld een medicijn tegen dementie of alzheimer zouden kunnen ontwikkelen dan zou dat een enorme stap zijn in het waardig en draaglijk ouder worden voor veel mensen.


Ook hier eens hoor.. sterker nog, het aankomen EHDS heeft mij er toe doen besluiten om mijn medisch dossiers in ziekenhuis en bij de huisarts te laten vernietigen (bij de huisarts grotendeels, alles behalve de basis informatie die noodzakelijk is voor de behandelrelatie). Nu heb ik wel makkelijk praten, want in mijn dossiers stond weinig meer dan een verstuikte enkel en een paar onderzoeken waar weinig spannends uit kwam. Als je een of meerdere chronische aandoeningen heb kan ik me goed voorstellen dat je die keuze niet kan maken zonder het werk van je behandelend artsen onmogelijk te maken.

De wetgever ziet dat in Nederland heel anders dan wat u hier stelt.
Misschien moet het maar gewoon eens strafbaar gesteld worden om losgeld te betalen.

Ik heb opnieuw een mail gestuurd naar de Tweede Kamer en gevraagd om met wetgeving te komen die het betalen van losgeld na een ransomware aanval verbiedt. Nu wachten op antwoord.

Stay tuned!

Kun je nog lang op wachten, let maar op.
Heb wel eens vaker naar bewindspersonen gemaild, als je al een antwoord krijgt is het maar een slap verhaal.

Een verbod op het afdragen van losgeld lijdt er toe dat de slachtoffers nog meer belang gaan hechten aan het verzwijgen.

Los van wat artsen en specialisten weten en voorschrijven, wordt de wijze van onderzoek, behandeling en medicatie grotendeels bepaald door wat de zorgverzekeraars afdwingen. Die concurreren met elkaar om de laagste zorgpremie.

Misschien de infra en security op orde brengen misschien helpt dat. Man man man.

Dat wettelijke vereiste, is dat deze wet?
https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn/bsn-in-de-zorg

Mooie wet, maar deze club is toch geen zorgverlener? Ja, soms mogelijk wel, maar bijna altijd niet.

Arts stuurt buisje bloed op, bedrijf stuurt terug dat buisje #12345677 een enge ziekte heeft, Arts belt patient.

Of wordt er een andere wet bedoeld?

Niet helemaal. Het BSN is een prima idee voor unieke identificatie. Maar het is niet ontworpen om als wachtwoord gebruikt te worden door organisaties. Dat is het probleem, want je kunt het niet wijzigen. Het BSN is dus gevoelig door hoe organisaties zoals het UWV ermee omgaan. https://www.security.nl/glitch/javascript

Elk nummer is geschikt voor unieke identificatie. Het gaat er juist om dat je niet één nummer voor alle unieke identificaties moet willen. Want als dat nummer één keer in verkeerde handen valt...

Als je het verdienmodel van de crimineel wegneemt, dan verdwijnt de crininaliteit vanzelf.
Dat is al heel lang bekend.

Medische gegeven moeten voor uitwisseling een BSN gebruiken, zoals de wet wabvpz voorschrijft.
Het is dus noodzakelijk om deze gegevens te hebben.

Klant nummers kunnen en mogelijk niet gebruikt worden voor communicatie.

Dat werkt niet en is niet toegestaan volgens de wet.

Het laboratorium moet bijvoorbeeld ook een declaratie kunnen indienen bij een zorgverzekering indien noodzakelijk.
Het laboratorium zou zijn onderzoeken ook naar een ander laboratorium moeten kunnen versturen voor verdere verwerking.
Iets met een second opinion.
Het BSN nummer zorgt hier juist voor, dat je een unieke waarde hebt tussen alle uitwisselingen.

Een laboratorium valt ook onder de wabvpz wet die verplicht het BSN nummer te gebruiken tussen communicatie. Ze leveren zorg, iets wat een fabriek bijvoorbeeld niet doet.

Dus je wilt iets versimpelen, maar wel 2 verschillende systemen neerzetten? Voor acute zorg en "normale" zorg.

Klinkt nu niet echt als een versimpeling.

Juist goede, snelle en juiste uitwisseling is van belang. Iets waar men goed over nagedacht heeft, door mensen met kennis over deze onderwerpen.

Totdat je wilt dat het nummer uniek is maar ook centraal te gebruiken is voor goede en unieke data uitwisseling.