De hackersgroep Nova dreigt met het online zetten van de medische gegevens van bijna een half miljoen Nederlandse vrouwen, die eerder dit jaar werden buitgemaakt bij een hack op laboratorium Clinical Diagnostics, dat in opdracht van Bevolkingsonderzoek Nederland onder meer uitstrijkjes analyseert voor bevolkingsonderzoek naar baarmoederhalskanker. Op hun website op het dark web stellen de hackers dat het laboratorium gemaakte afspraken zou hebben geschonden.

Welke afspraken zijn geschonden is onduidelijk, maar vermoed wordt dat het inschakelen van de politie de aanleiding is. De criminelen hebben een aftelklok geplaatst: als binnen elf dagen geen groot bedrag wordt betaald, zeggen zij de data alsnog te publiceren.
Volgens RTL Nieuws heeft Clinical Diagnostics al losgeld betaald aan de hackers, in de hoop verdere verspreiding van gegevens te voorkomen. Om hoeveel geld het gaat is onbekend, maar de criminelen zouden miljoenen hebben geëist. Het laboratorium bevestigt de hack, maar wil niets zeggen over eventuele betalingen.

Grote zorgen

De buitgemaakte data zijn omvangrijk. Het gaat om persoonlijke gegevens van zeker 485.000 vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker, via hun huisarts of met een zelftest. Ook gegevens uit andere onderzoeken – waaronder huid-, urine- en wondvochtonderzoek – zijn gestolen. In totaal zouden de hackers 300 gigabyte hebben buitgemaakt. Daarvan is inmiddels een deel, zo’n 100 megabyte met gegevens van ruim 53.000 patiënten, gepubliceerd op het dark web.
De hack roept grote zorgen op vanwege de gevoeligheid van de informatie. Zo zouden er ook namen en adressen in voorkomen van vrouwen die verbleven in blijf-van-mijn-lijfhuizen.

Onderzoek Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is intussen een onderzoek gestart naar de gang van zaken bij Clinical Diagnostics. Organisaties zijn wettelijk verplicht binnen 72 uur na ontdekking van een datalek melding te maken bij de toezichthouder en de betrokkenen zo snel mogelijk te informeren. Clinical Diagnostics zegt het datalek tijdig te hebben gemeld, maar de AP bevestigt dat niet.
Wel is duidelijk dat de hack al een maand geleden plaatsvond, terwijl samenwerkende organisaties pas vorige week werden geïnformeerd. De 485.000 betrokken vrouwen hebben nog geen bericht ontvangen. Volgens Bevolkingsonderzoek Nederland kunnen zij op zijn vroegst op 19 augustus een brief verwachten.
De toezichthouder wil niet vooruitlopen op het onderzoek, maar benadrukt dat bij ernstige overtredingen van de AVG boetes tot 20 miljoen euro of 4 procent van de wereldwijde omzet kunnen worden opgelegd.
Voor de betrokken vrouwen is de onzekerheid groot. Huisartsen klaagden dat zij via de media van de hack moesten vernemen en veel patiënten wachten nog steeds op duidelijkheid over hun gegevens.