Print 🖨 PDF 📄 eBook 📱

faciliteerde

Faciliteerde databasestructuur Rijswijks lab de giga datadiefstal?

Veel opzien baarde de afgelopen dagen de hack bij het Rijswijkse laboratorium Clinical Diagnostics. Daarbij zijn persoonsgegevens en laboratoriumuitslagen van meer dan een half miljoen personen gestolen door hackersgroep Nova. Grotendeels betreft het onderzoeken in het kader van het bevolkingsonderzoek op baarmoederhalskanker. Naar enkele dagen later bleek, ging het ook om laboratoriumonderzoek van huid, urine, penis, anus en wondvocht, o.a. vanwege SOA-onderzoek. Het betreft  naam, geslacht, geboortedatum, adres, BSN van de deelnemende persoon en de naam van de zorgverzekeraar. Ook aanvraaggegevens zijn gestolen: organisatienaam, AGB-code van de aanvragende zorgverlener, contactgegevens en gegevens over het aangevraagde onderzoek. Op het 20.00u journaal van de NOS toonde de verslaggever een Excelbestand, dat afkomstig was van het Dark Web. Wat opvalt is dat eigenlijk de volle breedte aan data van een patiënt die bij een onderzoeksaanvraag/-uitslag aan bod komen gehackt is. Dat roept vragen op inzake de databasearchitectuur en toegangsbeheer.

Organisatie

Het lab Clinical Diagnostics in Rijswijk, onderdeel van het Franse concern Eurofins Clinical Diagnostics, bestaat uit twee onderdelen: Clinical Diagnostics NMDL en Clinical Diagnostics LCPL. LCPL staat voor Leids Cytologisch en Pathologisch Laboratorium, ooit opgericht door patholoog Mathilde Boon. Het Nederlands Moleculair Diagnostisch Laboratorium (NMDL) was een dienstverlenend laboratorium voor de eerste- en tweedelijns gezondheidszorg, met een specialisatie in moleculaire virologie, moleculaire bacteriologie, en moleculaire pathologie en oncologie. In 2018 nam Eurofins beide laboratoria op in haar organisatie. Gezamenlijk bedienen de twee laboratoria ruim 900.000 vrouwen in het zuidelijke deel van de Randstad. Het LPCL is als laboratorium actief in de eerstelijns gezondheidszorg dat huisartsen bedient op het gebied van (cervix) cytologie, histologie en moleculaire diagnostiek. Meer specifiek gaat dit om onderzoek naar baarmoederhalskanker, huidpathologie en opsporing van seksueel overdraagbare aandoeningen en infecties.

Tekortkomingen

Na lezing van bovenstaande alinea’s valt het op dat de gestolen data afkomstig moeten zijn uit beide laboratoria. Uit de omvang van wat per patiënt gestolen is aan data is op te maken dat er geen scheiding moet zijn geweest tussen enerzijds de persoonsgegevens(naam, adres, woonplaats) plus de gegevens van de aanvragers en anderzijds de opgeslagen medische gegevens(aanvraag en uitslag van onderzoek). Dat ziet eruit als een ernstige en verwijtbare tekortkoming.

Het ziet er niet naar uit dat de hackers deze bestanden gescheiden hebben gestolen en naderhand samengevoegd. Zeer aannemelijk is het dat alle identificerende data plus de aanvraag en uitslaggegevens samengevoegd toch ergens op één systeem in het lab zich bevonden, op een niveau boven de twee onderafdelingen NMDL en LCPL.

Bestaande normen

Voor veilige opslag/gebruik van zorgdata dient men een aantal zaken te regelen. Dat is 1) toegang tot de applicatie waarmee men de data bekijkt., 2) toegang tot de database en 3) toegang tot de specifieke data. Er bestaan internationale normen daarvoor. Op basis van eisen uit de internationale ISO 18308-norm moeten identificerende patiëntgegevens in een aparte database (Patiënt IndexFile=PIF) gezet worden. Daarbij regelt de internationale ISO 13606-norm de autorisatie volgens die vereisten. De PIF linkt d.m.v. een dossiernummer naar de onderliggende onderzoeksgegevens. Zonder toegang tot de PIF is lastig te bepalen over welke patiënt het gaat. Daarenboven kunnen alle of specifieke gegevens en de dataschijven versleuteld worden. Ook kan men op basis van die ISO-normen d.m.v. data-attributen bepalen welke personen wel of geen toegang tot specifieke of alle data hebben. Of welke functies toegang tot specifieke data hebben. Het betreft   heel wat meer dan alleen toegang tot de applicatie.

Hack

Al met al lijkt het erop dat de ICT-infrastructuur van het lab gecombineerd met falend toegangsbeheer mede de omvang van de datadiefstal gefaciliteerd heeft. Ondanks genoemde beveiligingsaspecten blijft hacking mogelijk. Door social engineering bijvoorbeeld. Bij social engineering-aanvallen worden mensen gemanipuleerd om informatie te delen die ze niet zouden moeten delen, software te downloaden die ze niet zouden moeten downloaden, websites te bezoeken die ze niet zouden moeten bezoeken, geld naar criminelen te sturen of andere fouten te maken die de persoonlijke of organisatorische veiligheid in gevaar brengen. Als dan op enig moment ergens op het ICT-systeem de volledige database onversleuteld aanwezig is, kan een hacker die buit maken.

Niet uitgesloten kan worden dat onderdelen van de ICT-infrastructuur niet op tijd beveiligingsupdates gekregen hebben. We zagen dat zeer recent bij het Openbaar Ministerie dat offline ging, na compromitteren door hackers, omdat een beveiligingsupdate(patch) voor Citrix-apparatuur niet op tijd geïnstalleerd was.

W.J. Jongejan, 18 augustus 2025

Een woord van dank aan de heren J. Wieleman en G.Freriks voor hun inbreng bij dit artikel.

Afbeelding van Wilfried Pohnke via Pixabay

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.