Staatssecretaris: AP moet oordelen of Clinical Diagnostics datalek op tijd meldde
Het is aan de Autoriteit Persoonsgegevens (AP) om te bepalen of Clinical Diagnostics het datalek, waarbij de persoonlijke en medische gegevens van 850.000 mensen werden gestolen, op tijd heeft gemeld. Dat zegt demissionair staatssecretaris Tielen in een reactie op Kamervragen, die tevens stelt dat gegevens op het dark web bijna onmogelijk te verwijderen zijn. Clinical Diagnostics stelde eerder dat het de AP op tijd heeft geïnformeerd.
Een ransomwaregroep genaamd Nova wist begin juli toegang te krijgen tot het netwerk van Clinical Diagnostics, zo liet het medisch laboratorium uit Rijswijk zelf weten. De criminelen publiceerden op 6 juli de naam van Eurofins, waar Clinical Diagnostics onderdeel van is, op hun eigen website. De ransomwaregroep claimde driehonderd gigabyte aan data bij het lab te hebben buitgemaakt. Een dataset van honderd megabyte werd als bewijs via de website van de ransomwaregroep aangeboden.
Op 11 augustus liet Bevolkingsonderzoek Nederland weten dat de gegevens van 485.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker bij Clinical Diagnostics waren gestolen. Later bleek dat 715.000 deelnemers slachtoffer van het datalek waren geworden. Naar aanleiding van het datalek stelde de BBB Kamervragen. "Wat vindt u van het feit dat het datalek al op 6 juli 2025 bekend was bij het laboratorium, maar pas op 6 augustus 2025 is gemeld aan Bevolkingsonderzoek Nederland?", wilde Kamerlid Joseph van de staatssecretaris weten.
"In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de Autoriteit Persoonsgegevens (AP) en betrokkenen te melden binnen de termijnen die de Algemene verordening gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart", antwoordt Tielen. Clinical Diagnostics laat op de eigen website het volgende weten: "We hebben de cyberaanval binnen de wettelijke termijn gemeld bij de Autoriteit Persoonsgegevens. Zij helpen ons ook met het omgaan met deze cyberaanval."
Joseph vroeg ook wat de overheid nog kan doen als gegevens eenmaal op het dark web zijn verschenen, en hoe de schade voor slachtoffers wordt beperkt. "Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen", laat de staatssecretaris daarop weten. Ze voegt toe dat een belangrijke stap in het beperken van de schade het op tijd informeren van slachtoffers is, zodra vaststaat dat hun gegevens op het dark web zijn aangetroffen.
Het BBB-Kamerlid wilde ook van de staatssecretaris weten of ze bekend is met systemen waarbij data bij de bron wordt onthouden en pas bij verwijzing kunnen worden ingezien, met volledige logging van inzage. "Ik ben bekend met de systemen waar u op doelt, het zogenoemde communicatiepatroon ‘gericht beschikbaar stellen’, waarbij volledige logging van inzage plaats moet vinden. Ook in de situatie van laboratoriumonderzoek zou gebruik gemaakt kunnen worden van dit communicatiepatroon", reageert Tielen. "Dit communicatiepatroon kan echter niet het hacken van data uit het laboratorium zelf voorkomen." Hoe criminelen toegang tot het netwerk van Clinical Diagnostics konden krijgen is nog niet bekendgemaakt.
Natuurlijk moeten datalekken op tijd gemeld worden.
Natuurlijk hadden die persoonsgegevens nooit terecht mogen komen bij een lab dat alleen monsters onderzoekt.
Natuurlijk zijn er allang manieren om "technisch" te waarborgen dat die persoonsgegevens niet bij zo'n lab terechtkomen. Namelijk een uniek nummer dat alleen voor de betreffende opdracht aan het lab en voor de lab-uitslag wordt gebruikt.
Maar wat doet de staatssecretaris?
- Die noemt zo'n manier heel ingewikkeld een "communicatiepatroon 'gericht beschikbaar stellen'", alsof het iets buitegewoon ingewikkelds en geavanceerds is. Iets waar commissies nog jarenlang op moeten studeren voordat het in de zorg kan worden ingevoerd.
- En die zegt: "Dit communicatiepatroon kan echter niet het hacken van data uit het laboratorium zelf voorkomen." Onzin. Dit kan het hacken van data uit het laboratorium prima voorkomen. Want als die data niet in het laboratorium zijn, kunnen ze ook niet uit het laboratorium worden gehackt.
#Dataminimalisatie
Die data ligt op straat, de slachtoffers zijn er weer lekker mee. Het tijdstip van melden heeft daar geen enkele invloed meer op.
Kern van het probleem: het moet zo nodig allemaal digitaal en 'aan het net'. Want dat is zo vreselijk handig...
In deze het gaat om bevolkingsonderzoek van de verantwoordelijkheid vanuit de overheid.
De overheid bijvoorbeeld de AP had op tijd aan de AP moeten melden dat er bij een externe verwerker een ongeval heeft plaatsgevonden. Met een ongeval had e arbeidsinspectie de eerste taak om daar onderzoeken naar te doen.
In de tussentijd moet alle zorg stilgelegd worden ziekenhuizen gesloten omdat onbekend is welke gegevens gelekt zijn.
Het zou mij niets verbazen als Clinical Diagnostics alle certificaten had voor veilige medische gegevensverwerking, waardoor de overheid geen bezwaren vooraf kon uiten. (Wat is de waarde van een ISO-papiertje?) Nu blijkt dat de systemen gehackt zijn zitten niet alleen bevolkingsonderzoek, maar ook de betrokken deelnemers met de gebakken peren.
Computersystemen (bij bedrijven) veiliger maken kan de overheid niet zelf doen, dat is een taak van de bedrijven (systeembeheerders) en softwareleveranciers (Microsoft). Wat het issue "Waarom wordt er zoveel informatie gedeeld?" betreft, daar kan de overheid zelf iets aan doen.
De voor de testuitslagen verantwoordelijke mededewerkers van een klinisch diagnostisch of ziekenhuislaboratorium, de arts-microbioloog, klinisch chemicus of andere medisch specialist, moet naast een dergelijk uniek nummer minstens ook het geslacht en de leeftijd van de patiënt weten, omdat dat relevant kan zijn voor de juiste interpretatie van de verkregen testsuitslagen of microscopische weefselonderzoeken. Een betenisloos nummer bemoeilijkt het collegiaal overleg.
Voor bepaalde onderzoeken, denk onder meer aan erfelijke ziekten, is vaak ook kennis van de afkomst van de patiënt nodig. Voor veel tropische zieken is het noodzakelijk te weten welke verre landen de patiënt heeft bezocht, omdat het anders als het zoeken naar een speld in een hooiberg wordt met welke parasiet de patiënt is besmet. Door slechts een betenisloos nummer te gebruiken, zonder dergelijke details, wordt het onderzoek in veel gevallen zeer bemoeilijkt.
De voor de testuitslagen verantwoordelijke mededewerkers van een klinisch diagnostisch of ziekenhuislaboratorium, de arts-microbioloog, klinisch chemicus of andere medisch specialist, moet naast een dergelijk uniek nummer minstens ook het geslacht en de leeftijd van de patiënt weten, omdat dat relevant kan zijn voor de juiste interpretatie van de verkregen testsuitslagen of microscopische weefselonderzoeken. Een betenisloos nummer bemoeilijkt het collegiaal overleg.
Voor bepaalde onderzoeken, denk onder meer aan erfelijke ziekten, is vaak ook kennis van de afkomst van de patiënt nodig. Voor veel tropische zieken is het noodzakelijk te weten welke verre landen de patiënt heeft bezocht, omdat het anders als het zoeken naar een speld in een hooiberg wordt met welke parasiet de patiënt is besmet. Door slechts een betenisloos nummer te gebruiken, zonder dergelijke details, wordt het onderzoek in veel gevallen zeer bemoeilijkt.
Dat hangt af van het soort test. Dat geslacht of leeftijd relevant "kan" zijn betekent nog niet dat het ook relevant "is".
"Een betekenisloos nummer bemoeilijkte het collegiaal overleg" is pure bullshit. Zo'n nummer bemoeilijkt op zichzelf niets.
Het kan zijn dat er in specifieke gevallen andere informatie dan het lichaamsmonster zelf relevant is voor collegiaal overleg. In dat geval moet dat worden aangegeven. Bijvoorbeeld: bij testsoort A is de leeftijd van de patiënt nodig voor de totstandkoming van de testuitslag. En dan gaat het dus niet om geboortedatum, maar om leeftijdscategorie. Bijvoorbeeld: tussen de 40 en 45 op datum verzending van het lichaamsmonster. Dat kan vermeld worden zonder dat de privacy in gevaar komt.
Als het relevant is welke tropische landen de patiënt heeft bezocht, kan dat aan de patiënt gevraagd worden door de arts, en dan kunnen deze gegevens worden meegestuurd met het testverzoek aan het lab, zonder dat hiervoor de persoonsgegevens van de patiënt nodig zijn.
Dit kan gestandaardiseerd worden afhankelijk van waarnaar wordt getest, waarbij de patiënt van te voren te horen krijgt welke gegevens er voor een dergelijke test nodig zijn, en welke "zouden kunnen helpen" maar niet strikt nodig zijn. Op die basis kan een patiënt geïnformeerd toestemming geven voor het delen van die gegevens met het lab. Waarbij er dus nog steeds geen enkel tot de persoon herleidbaar gegeven naar het lab hoeft te worden gestuurd.
Gewoon een beetje nadenken. Technisch-organisatorisch kan er heel veel. Maar dan moeten zorgverleners wel het belang van medische privacy erkennen. Je zou verwachten dat ze dat al lang hadden gedaan, immers artsen hebben aan het begin van hun beroepsbeoefening een beroepseed afgelegd waarbij ook een plicht tot medische geheimhouding is aangegaan.
Kennelijk vergeten artsen de door henzelf afgelegde eed vijf minuten nadat ze die hebben afgelegd. Dat geeft weinig vertrouwen in hoe ze verder nog naar patiënten kijken en met ze omgaan als er even iemand niet oplet...
Wel in het vervolg lezen wat er staat.
In deze het gaat om bevolkingsonderzoek van de verantwoordelijkheid vanuit de overheid.
De overheid bijvoorbeeld de AP had op tijd aan de AP moeten melden dat er bij een externe verwerker een ongeval heeft plaatsgevonden. Met een ongeval had e arbeidsinspectie de eerste taak om daar onderzoeken naar te doen.
In de tussentijd moet alle zorg stilgelegd worden ziekenhuizen gesloten omdat onbekend is welke gegevens gelekt zijn.
Eingelijk wel ja,
Waarom?
Omdat al die onderzoekers. ambtenaren en politici die er wat van moeten vinden, dan wel opeens in beweging kunnen komen.
Want dan is er een echte crisis die ze stemmen en geld kan kosten.
Moet je eens kijken hoe snel ze dan "opeens" wel een veilige oplossing kunnen bedenken, aannemen en uitvoeren,
Als ze er zelf maar voldoende last van hebben. Wat nu niet het geval is.
De burger is de enige die er nu last van heeft.
DAT is wat er echt moet veranderen.
De politiek bedenkt wat, en de burger mag lijden onder het puin dat ze ermee veroorzaken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?