De beoordeling of Clinical Diagnostics het grote datalek tijdig heeft gemeld, ligt bij de Autoriteit Persoonsgegevens (AP). Dat schrijft demissionair staatssecretaris Tielen in antwoorden op Kamervragen naar aanleiding van de diefstal van persoons- en medische gegevens van in totaal circa 850.000 mensen. Tielen benadrukt dat data die eenmaal op het dark web staat “in de praktijk bijzonder lastig, zo niet onmogelijk” volledig te verwijderen is. Clinical Diagnostics stelt op de eigen site dat het de AP binnen de wettelijke termijn heeft geïnformeerd.
Datalek
Het medisch laboratorium uit Rijswijk meldde dat begin juli een ransomwaregroep genaamd Nova toegang kreeg tot het netwerk. Op 6 juli verscheen de naam van moederbedrijf Eurofins op de site van de aanvallers. Nova claimde 300 GB aan labdata te hebben buitgemaakt en publiceerde een ‘proof’ van 100 MB.
Op 11 augustus liet Bevolkingsonderzoek Nederland (BVO) weten dat gegevens van 485.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker via Clinical Diagnostics waren ontvreemd; later werd dat aantal bijgesteld naar 715.000 deelnemers. Het bredere totaal aantal betrokkenen komt – los van BVO – uit op ongeveer 850.000 personen.
Juridische plicht en rol AP
Kamerlid Joseph (BBB) vroeg waarom het datalek, dat volgens de aanvallers op 6 juli bekend zou zijn geweest, pas op 6 augustus aan BVO werd gemeld. Tielen verwijst naar de AVG: verwerkingsverantwoordelijken moeten datalekken tijdig melden aan de AP en – waar nodig – aan betrokkenen. “Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP, die een onderzoek is gestart”, aldus de staatssecretaris. Clinical Diagnostics houdt vol dat het de AP binnen de wettelijke termijn op de hoogte stelde en zegt door de AP te worden begeleid bij de afhandeling.
Schadebeperking: informeren en monitoren
Over de vraag wat overheid en organisaties nog kunnen doen als gegevens eenmaal op het dark web staan, is Tielen duidelijk: volledige verwijdering is vrijwel nooit haalbaar. Cruciaal is tijdige en duidelijke informatie aan slachtoffers zodra vaststaat dat hun data is aangetroffen, zodat zij maatregelen kunnen nemen (denk aan extra alertheid op phishing, wachtwoordwijzigingen, en het monitoren van ongewone aanvragen of declaraties).
Gericht beschikbaar stellen
Het BBB-Kamerlid vroeg tevens naar systemen waarbij data pas bij verwijzing beschikbaar komt en volledig gelogd wordt (“gericht beschikbaar stellen”). Tielen zegt met dit patroon bekend te zijn en dat het ook in de laboratoriumketen toepasbaar is. Het kan inzage traceerbaar maken en dataminimalisatie ondersteunen, maar voorkomt geen hack in het lab zelf. Hoe Nova precies binnenkwam, is nog niet bekendgemaakt.
Vervolg
De AP onderzoekt of Clinical Diagnostics heeft voldaan aan de meldplichten en termijnen. Ondertussen blijft voor betrokkenen het advies gelden alert te zijn op misbruik van gegevens. De kernvragen die nog openstaan: hoe konden de aanvallers binnenkomen, welke datasets zijn precies geraakt en wanneer zijn welke partijen waarover geïnformeerd. De beantwoording daarvan is bepalend voor het oordeel van de toezichthouder én voor verbeteringen in de zorg- en laboratoriumketen.