Lab betaalde miljoenen losgeld, maar gedeelte data verscheen online

In dit artikel:

Het Rijswijkse laboratorium Clinical Diagnostics heeft naar eigen zeggen miljoenen euro’s losgeld betaald aan de ransomware‑groep Nova om te voorkomen dat nóg meer gestolen medische gegevens op het dark web belanden. De aanval trof gegevens van ongeveer 485.000 Nederlandse vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker; gestolen dossiers bevatten onder meer namen, adressen, burgerservicenummers en uitslagen van uitstrijkjes en zelftesten. Daarnaast werden bestanden van huid‑, urine‑ en penisonderzoeken buitgemaakt.

De inbreuk werd pas een maand na ontdekking gemeld, iets wat Bevolkingsonderzoek Nederland “schokkend” noemde; het artikel verwijst naar een meldtermijn van 24 uur, al vereist de EU‑GDPR in werkelijkheid doorgaans melding binnen 72 uur. Het late melden vergroot volgens betrokkenen de kans op succesvolle phishing tegen slachtoffers, omdat kwaadwillenden zich kunnen voordoen als betrouwbare derden.

Nova, een relatief nieuwe groep die sinds eind maart actief is en al tientallen organisaties aanviel (waaronder de gemeente Pisa in Italië), bevestigde tegenover RTL Nieuws dat er losgeld is ontvangen. Het precieze bedrag is niet officieel bekend; bronnen melden dat de eis gebaseerd was op 2% van omzet of vermogen (bij Eurofins zou dat neerkomen op rond €1,6 miljoen). Van de in totaal circa 300 GB gestolen data is slechts zo’n 100 MB publiek gezet, met gegevens van 53.516 patiënten, waaronder een minister en een Kamerlid.

Cybersecurityspecialisten achten het waarschijnlijk dat de criminelen na betaling veel data zullen wissen; Bevolkingsonderzoek Nederland heeft de samenwerking met Clinical Diagnostics voorlopig opgeschort totdat zekerheid bestaat over veilige gegevensverwerking.