Data van ruim 485.000 vrouwen bevolkingsonderzoek baarmoederhalskanker gelekt na hack bij extern laboratorium

Extern diagnostisch laboratorium

'Het datalek vond plaats bij een extern diagnostisch laboratorium. De ICT-omgeving van Bevolkingsonderzoek Nederland is niet in gevaar geweest of gecompromitteerd geraakt. Naast persoonsgegevens zijn ook verwijzingen van huisartsen/zorgverzekeringsgegevens gelekt', aldus Bevolkingsonderzoek Nederland

Bevolkingsonderzoek Nederland gaat alle betrokkenen persoonlijk informeren

Nader onderzoek is ingesteld om helder te krijgen hoe dit kon gebeuren. Betrokkenen moeten alert zijn op misbruik van hun gegevens
Het lek heeft geen invloed op de uitslag van onderzoeken.

Criminele hackers

Gegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker zijn door criminele hackers ontvreemd nadat zij toegang hebben weten te krijgen tot een deel van de ICT-systemen van laboratorium Clinical Diagnostics NMDL, een dochter van Eurofins in Rijswijk. Bij dit laboratorium worden uitstrijkjes en zelftesten van deelnemers getest in opdracht van Bevolkingsonderzoek Nederland, dat deze onderzoeken uitvoert in opdracht van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). Voor zover nu bekend hebben de hackers toegang gehad tot de persoonsgegevens van deelnemers aan het bevolkingsonderzoek. Het gaat daarbij om persoonsgegevens zoals naam, adres, geboortedatum, BSN-nummer, mogelijk testuitslagen en de naam van de zorgverleners van de deelnemers. Bevolkingsonderzoek Nederland laat weten het 'vreselijk' te vinden dat dit is gebeurd.  

Enorm geschrokken

Elza den Hertog, voorzitter van de Raad van Bestuur van Bevolkingsonderzoek Nederland: “Wij zijn enorm geschrokken van dit datalek en we begrijpen dat deelnemers die via ons hebben deelgenomen aan bevolkingsonderzoek hier natuurlijk ook heel erg van schrikken. Aan hen wil ik graag zeggen dat het ons ontzettend spijt dat dit is gebeurd. Meedoen aan het bevolkingsonderzoek baarmoederhalskanker is voor veel deelnemers sowieso al spannend. En dan krijg je nu te horen dat daarbij mogelijk ook nog je persoonsgegevens zijn gelekt. Als Bevolkingsonderzoek Nederland stellen we hoge eisen aan zorgvuldigheid en gegevensbeveiliging van de deelnemers aan de bevolkingsonderzoeken en daarover maken we altijd afspraken met de laboratoria die testen uitvoeren. Dat dit nu bij een van de laboratoria waarmee wij werken toch zo is misgegaan, betreuren we zeer. Er is daarom een onafhankelijk onderzoek gestart naar hoe dit heeft kunnen gebeuren en hoe we dit soort incidenten in de toekomst zoveel mogelijk kunnen voorkomen.”

Dienstverlening vanuit Clinical Diagnostics NMDL tijdelijk opgeschort

Bevolkingsonderzoek Nederland heeft de dienstverlening vanuit Clinical Diagnostics NMDL tijdelijk opgeschort totdat er zekerheid is dat verwerking van nieuwe testresultaten in de ICT omgeving van Clinical Diagnostics NMDL veilig kan plaatsvinden. Bevolkingsonderzoek Nederland heeft, samen met experts van ministerie van VWS en in overleg met Clinical Diagnostics NMDL, een onafhankelijk extern onderzoek naar de veiligheid van de systemen opgestart. U kunt gewoon blijven deelnemen aan het bevolkingsonderzoek baarmoederhalskanker. De testen worden in een ander laboratorium onderzocht.

Betrokken deelnemers ontvangen brief  

Bevolkingsonderzoek Nederland is op 6 augustus inhoudelijk door het laboratorium (Clinical Diagnostics NMDL) geïnformeerd dat tussen 3 en 6 juli een hack heeft plaatsgevonden. Sinds Bevolkingsonderzoek Nederland over de hack geïnformeerd is, stelt zij alles in het werk om zo snel mogelijk inzicht te krijgen in wat er precies is gebeurd met de gegevens van de deelnemers aan het bevolkingsonderzoek. Omdat het hier gaat om een grote groep deelnemers en om gevoelige medische gegevens, moet dit zeer zorgvuldig gebeuren en zal hiervoor enige tijd nodig zijn. Betrokken deelnemers ontvangen in de komende weken een brief van Bevolkingsonderzoek Nederland zodra er over hun betrokkenheid meer duidelijkheid is. Zodra die duidelijkheid er is, wordt de brief verstuurd. Vanwege de impact kiest Bevolkingsonderzoek Nederland ervoor om hiermee nu al naar buiten te treden in de media. Dat gebeurt in overleg met het RIVM en het ministerie van VWS.  

Geen invloed op de uitslag onderzoeken

Het datalek heeft geen invloed op de uitslagen die deelnemers aan het bevolkingsonderzoek baarmoederhalskanker al hebben ontvangen of nog zullen ontvangen. Deelnemers die al onderzoek hebben laten doen, hoeven dus niet opnieuw deel te nemen.  

Onderzoek reikwijdte datalek

Bevolkingsonderzoek Nederland onderhoudt nauw contact met het RIVM en het ministerie van VWS. Ook is er melding gedaan bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast loopt er op dit moment een uitgebreid onderzoek naar de exacte gevolgen van deze hack en de veiligheid van de systemen. Dit onderzoek moet bijvoorbeeld uitwijzen hoe de hackers de systemen bij Clinical Diagnostics NMDL zijn binnengekomen en hoe dit in de toekomst zo goed mogelijk voorkomen kan worden.  

Tijdelijk geen testen meer bij Clinical Diagnostics NMDL

In afwachting van de uitkomsten van dit onderzoek heeft Bevolkingsonderzoek Nederland besloten tijdelijk geen testen uit te laten voeren door Clinical Diagnostics NMDL. Andere laboratoria nemen deze testen over.  

Andere bevolkingsonderzoeken

Clinical Diagnostics NMDL verwerkt voor Bevolkingsonderzoek Nederland alleen het testmateriaal van het bevolkingsonderzoek baarmoederhalskanker. Data van deelnemers van de bevolkingsonderzoeken borstkanker en darmkanker zijn niet bij dit datalek betrokken, omdat die testen in andere laboratoria worden uitgevoerd.  

Altijd alert blijven op fraude

Het is mogelijk dat kwaadwillenden illegaal verkregen persoonsgegevens misbruiken. Daarom is het belangrijk dat iedereen altijd alert is op mogelijke fraude. Bij de hack zijn van een beperkte groep deelnemers e-mailadressen of telefoonnummers betrokken. Toch is het voor alle betrokkenen die per brief worden geïnformeerd goed om alert te blijven op elke mogelijke vorm van misbruik van persoonsgegevens. Op de website van de Rijksoverheid staat precies wat deelnemers kunnen doen als ze denken dat  hun gegevens misbruikt worden door kwaadwillenden.