Massaclaim in de maak na datalek baarmoederhalsonderzoek? ‘Dan kunnen vrouwen zich aansluiten’

„Ik kan me voorstellen dat er een zaak komt voor een massaclaim”, zegt Ritsema van Eck. Hij is universitair docent aan de Rijksuniversiteit Groningen en gespecialiseerd in privacy en gegevensbescherming in publieke ruimtes & Europees datarecht. „Of zo’n zaak er komt hangt erg af van de precieze omstandigheden. Was het bedrijf laks in beveiliging of was het gewoon een heel goede hack? Maar als zo’n claim er komt kunnen vrouwen zich aansluiten.”

Hackers hebben bij Clinical Diagnostics in Rijswijk (waar uitstrijkjes en zelftests van mensen worden onderzocht in opdracht van Bevolkingsonderzoek Nederland) gegevens gestolen van meer dan 485.000 vrouwen die meededen aan het bevolkingsonderzoek naar baarmoederhalskanker. Dat onderzoek is bedoeld om vroegtijdig baarmoederhalskanker op te sporen, te behandelen of zelfs te voorkomen. Het datalek zorgt voor veel onrust. Onder de slachtoffers zijn ook duizenden vrouwen uit Groningen en Drenthe.

De hackers hebben persoonsgegevens zoals namen, adressen en woonplaatsen buitgemaakt. Maar ook geboortedata, BSN-nummers, testuitslagen en namen van zorgverleners.

De data, die in handen zijn van cybercriminelen, kunnen bijvoorbeeld worden gebruikt om mensen slachtoffer te laten worden van héél specifieke phishing. Hoe meer gegevens een oplichter heeft, hoe gerichter en verleidelijker ze een brief of mail kunnen schrijven waarin ze je bijvoorbeeld uitnodigen ergens in te loggen of een wachtwoord te overhandigen.

Ruim 405.000 mensen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker kregen deze week een brief thuis omdat hun gegevens zijn gelekt bij de hack. Zij kregen de waarschuwing om extra alert te zijn op fraude.

„In zijn algemeenheid vrees ik dat je inderdaad niet gek veel kan doen, zoals ook al in de brief stond”, zegt Ritsema van Eck. Het is dus niet zo dat je bij instanties aan kunt geven dat zij extra alert moeten zijn omdat jouw gegevens deel uitmaken van een datalek. „Je zult vooral zelf op moeten passen. Komt die brief of dat mailtje wel echt van wie het lijkt te komen? Dat kun je bij twijfel even nabellen.”

Waarom het lab zoveel persoonlijke gegevens bijhield, is ook voor Ritsema van Eck niet helemaal duidelijk. Medische gegevens moeten in de regel twintig jaar worden bewaard door een hulpverlener. „Ik zou denken dat het lab alleen de test doet de uitslag opstuurt, en dat iemand anders ‘de hulpverlener’ is. Het lijkt erop dat ze dat voor langere tijd hebben opgeslagen. Maar dat lijkt me niet per se nodig voor het werk dat ze doen. Wellicht is er een goede reden voor, maar dat kan ik zo van buitenaf niet goed inschatten.”

Van 80.000 mensen ontbrak informatie, waardoor Bevolkingsonderzoek Nederland hun nog geen zekerheid kon geven. De instantie heeft extra informatie opgevraagd bij het laboratorium.

De Inspectie Gezondheidszorg en Jeugd (IGJ) gaat onderzoek doen naar het laboratorium Clinical Diagnostics in Rijswijk. Het onderzoek van de IGJ richt zich op de informatiebeveiliging, meldt de inspectie vrijdag.

Het moment en de aanpak van het onderzoek stemt de IGJ ‘nauw af’ met de Autoriteit Persoonsgegevens (AP). De privacytoezichthouder kondigde vorige week al aan de datadiefstal te onderzoeken. Mede naar aanleiding van de risico’s die zichtbaar werden door deze hack, gaat de IGJ ook breder kijken naar informatiebeveiliging bij laboratoria.

RTL Nieuws publiceerde vrijdagmiddag een artikel waarin staat dat de hackers van het laboratorium beloven dat er maar een klein deel van de gestolen privé- en medische gegevens op het dark web is gepubliceerd, en dat dat deel inmiddels verwijderd is. RTL Nieuws heeft bevestigd dat deze data niet meer daar te vinden zijn. Al blijft het de vraag of de cybercriminelen zich aan hun belofte houden.