De omvang van de hack bij laboratorium Clinical Diagnostics in Rijswijk blijkt in tweede instantie groter dan aanvankelijk gemeld. Tot dusver werd steeds gesproken van datadiefstal van 485.000 mensen, in meerderheid vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker. Het blijkt nu te gaan om 715.000 mensen, en het is niet uitgesloten dat de gegevens van alle 941.000 deelneemsters aan het bevolkingsonderzoek zijn buitgemaakt.
Bevolkingsonderzoek Nederland meldde de nieuwe raming van de omvang op 29 augustus. De computercriminelen van hackersgroep Nova gaven eerder zelf ook aan dat hun buit groter was dan publiek gemaakt was. Naast de gegevens van deelneemsters aan het bevolkingsonderzoek zijn ook data buitgemaakt van ongeveer 2.500 klanten van Bergman Clinics en van een gering aantal patiënten van het Alrijne Ziekenhuis.
Aanvullende briefronde
In de eerste helft van september ontvangen alle vrouwen die sinds 2017 deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker een brief om hen bij te praten. Dat geldt dus ook voor de mensen die in de eerste ronde al zijn aangeschreven. Dat schrijven zal in elk geval aangeven welke persoonlijke gegevens Bevolkingsonderzoek Nederland heeft gedeeld met Clinical Diagnostics en welke dus mogelijk zijn ontvreemd. Het gaat onder andere om NAW-gegevens, BSN’s en testuitslagen
Concrete hulp blijft nog uit
Het is niet duidelijk hoe en wanneer informatie beschikbaar komt over aansprakelijkheid, hulp bij oplichting of identiteitsfraude. Na de eerste briefronde was er nogal wat onvrede omdat de ontvangers geen enkele informatie ontvingen over wat zij moeten doen wanneer zij bijvoorbeeld geconfronteerd worden met rekeningen voor zaken die zij niet besteld hebben of aanmaningen voor het aflossen van leningen die zij niet zijn aangegaan.
Bevolkingsonderzoek Nederland meldt nu zich bewust te zijn dat er een vervelende boodschap ligt. “Het spijt ons enorm dat dit is gebeurd. We communiceren dit nu, omdat deelnemers rekening moeten houden met mogelijke phishing en fraude.” De zorgaanbieder is, voor zover nu vaststaat, niet de aansprakelijke partij. Tot dusver is geen instantie opgestaan die concrete hulp aanbiedt aan gedupeerden.
Inmiddels zijn meerdere initiatieven ontplooid waar mensen terechtkunnen om een schadeclaim in te dienen. Zo heeft de Stichting Collectieve Consumentenbelangen (VCC), vertegenwoordigd door DHKV Advocaten, een collectieve schadeclaim in voorbereiding. Daarbij hebben zich tot dusver 68.000 personen aangesloten.
Onderzoek
De criminelen hebben na de hack een deel van hun buitgemaakte gegevens gepubliceerd op het darkweb. Daarop heeft Clinical Diagnostics losgeld betaald om erger te vorkomen. Omdat de politie te nadrukkelijk werd betrokken naar de wens van de criminelen, volgde opnieuw een poging tot afpersing. Die laatste misdaad lijkt niet te hebben geloond. Hackersgroep Nova beweert nu hun buitgemaakte data te hebben verwijderd.
Politie en OM zijn een strafrechtelijk onderzoek gestart naar het datalek en de diefstal. Ook de Inspectie Gezondheidszorg en Jeugd en de Autoriteit Persoonsgegevens doen onderzoek. Clinical Diagnostics voldeed aan NEN 7510.
