Medio augustus opent het NOS Journaal van acht uur met het bericht dat er een grote hack heeft plaatsgevonden bij Clinical Diagnostics, een bedrijf dat medische analyses doet en veel privacygevoelige data verwerkt en opslaat. Dit laatste maakt deze casus extra zwaar. Want niet alleen de data van veel vrouwen die deelnamen aan het nationale bevolkingsonderzoek gericht op het voorkomen van baarmoederhalskanker, maar ook die van huisartsen liggen op straat.
Het betreft honderdduizenden mensen. En het gaat om uiterst gevoelige informatie, zoals BSN-gegevens, adressen, telefoonnummers en e-mailadres- sen. En natuurlijk ook informatie over de gezondheid van de onderzochte mensen. Even een duidelijke disclaimer: ik ken de oorzaak van de hack onvoldoende. Maar wij weten allemaal dat de zorgsector met stip op nummer 1 staat van organisaties met de meeste datalekken (bron: Nieuwsuur 2024). En saillant detail: onze overheid staat al jaren op plek 2.
Crisis op crisis
Beide sectoren zijn extra gevoelig voor datadiefstal. Relatief eenvoudig is daar gevoelige data te halen. Als je als opdrachtgever dit risicovolle werk (in termen van privacybescherming) uitbesteedt, dan heeft controle van de datasecurity topprioriteit. Pas als dat oké is, bevestig je alle gemaakte afspraken in een waterdichte overeenkomst en deel je de data. Het lijkt hier alsof de lamme de blinde leidt. En of het dan nog niet ellendig genoeg is, komt er daarna een nieuwe aap uit de mouw: het getroffen bedrijf meldt deze inbreuk op de privacy pas na een maand en nog niet eens aan iedereen. Crisis op crisis dus.
Naast dat hiermee de wet wordt overtreden (een datalek melden moet binnen 24 uur), zijn er meer risico’s. Immers: vanaf het moment dat je weet dat jouw gegevens gelekt zijn, kun je maatregelen nemen. Maar als je dit pas vier weken later hoort, heb je onnodig veel extra risico gelopen.
Elza den Hartog, voorzitter van Bevolkingsonderzoek Nederland, noemt dit in de media een ‘nachtmerriescenario’ en zegt dat het haar enorm spijt. Aardig gezegd en ongetwijfeld oprecht bedoeld, maar waarom horen wij niet wat er gebeurt met Clinical Diagnostics? Of wat men gaat doen om dit te voorkomen? En of er wellicht sancties volgen? Maar nee: wij roepen wat in de media, doen een plas en alles blijft waarschijnlijk gewoon zoals het was. Maar snelle actie was hier echt gewenst.
Hier mag je best spreken van domheid!
Geen crisis op crisis bij dit soort fouten. Transparante en snelle communicatie bij een incident hoort erbij. Hier mag je best spreken van domheid!
Zullen wij medio 2026 weer kijken? Hopelijk staan zorg en overheid dan niet meer op 1 en 2
Richard Franken is directeur van Franken Security Solutions. Daarvoor was hij directeur bij van Aetsveld, The Hague Security Delta, Trigion en Hoffmann bedrijfsrecherche.
Meer blogs van Richard Franken
Volg Security Management op LinkedIn
;
