De hack bij het laboratorium Clinical Diagnostics NMDL in Rijswijk blijkt veel omvangrijker dan aanvankelijk gemeld. Naast de gegevens van ruim 485.000 vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker, zijn ook medische en persoonlijke gegevens van tienduizenden andere patiënten buitgemaakt. Het gaat onder meer om uitslagen van huid-, urine-, penis-, vagina-, anus- en wondvochtonderzoeken.

Veel breder getroffen

De gestolen data betreft onderzoeken die in opdracht van onder meer het Leids Universitair Medisch Centrum, het Amphia Ziekenhuis en het Alrijne Ziekenhuis werden uitgevoerd. Ook huisartsenpraktijken zijn getroffen, bevestigen de Landelijke Huisartsen Vereniging (LHV) en Stichting Z-CERT, het expertisecentrum voor cyberveiligheid in de zorg. Volgens RTL Nieuws gaat het nu al om gegevens van zeker 53.516 extra patiënten, maar dat aantal ligt waarschijnlijk veel hoger.

Het grootste deel van de buitgemaakte data stamt uit de periode 2022 tot en met 2025, al meldt Bevolkingsonderzoek Nederland dat ook gegevens uit eerdere jaren (tot 2016) kunnen zijn geraakt. De exacte omvang wordt nog onderzocht.

Hackersgroep Nova achter aanval

De cyberaanval is uitgevoerd door Nova, een relatief nieuwe ransomwarebende die sinds maart actief is en wereldwijd al tientallen organisaties platlegde. De groep claimt 300 gigabyte aan data te hebben gestolen en heeft daarvan inmiddels zo’n 100 megabyte gepubliceerd op het moeilijk toegankelijke dark web. Nova dreigt doorgaans met het publiceren van alle gestolen data als losgeld niet wordt betaald.

Clinical Diagnostics bevestigt het slachtoffer te zijn van de aanval, maar wil inhoudelijk nog weinig kwijt zolang het onderzoek loopt. Het laboratorium is onderdeel van Eurofins en voert onder meer SOA-onderzoeken uit, maar het is nog onduidelijk of ook die gegevens zijn buitgemaakt.

Risico op fraude en phishing

In de gelekte bestanden staan naast testuitslagen ook namen, adressen, burgerservicenummers, zorgverzekeringsgegevens en verwijzingen van huisartsen. Kwaadwillenden kunnen deze informatie gebruiken voor identiteitsfraude of gerichte phishingaanvallen. Bevolkingsonderzoek Nederland waarschuwt betrokkenen om alert te blijven op verdachte e-mails, telefoontjes of berichten.

Alle getroffen deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker krijgen uiterlijk 20 augustus een brief met meer informatie. De organisatie benadrukt dat de betrouwbaarheid van de reeds uitgevoerde onderzoeken niet in het geding is en dat herhaling van tests niet nodig is.

Maatregelen en onderzoek

Het datalek is gemeld bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. De samenwerking met Clinical Diagnostics is voorlopig opgeschort; lopende en nieuwe onderzoeken worden nu door andere laboratoria verwerkt.

Een onafhankelijk onderzoek moet uitwijzen hoe de hackers toegang konden krijgen en hoe soortgelijke incidenten in de toekomst kunnen worden voorkomen. Staatssecretaris Tielen (VVD) noemt het lek “zeer betreurenswaardig” en benadrukt dat deelnemers aan bevolkingsonderzoeken moeten kunnen vertrouwen op een veilige omgang met hun gegevens.

KWF Kankerbestrijding en het Integraal Kankercentrum Nederland waarschuwen dat het lek het vertrouwen in bevolkingsonderzoeken kan schaden, terwijl deze cruciaal zijn voor vroege opsporing van kanker. Jaarlijks krijgen in Nederland ongeveer negenhonderd vrouwen de diagnose baarmoederhalskanker; dankzij het bevolkingsonderzoek overlijden er naar schatting driehonderd mensen minder per jaar aan de ziekte.