-
17:17
-
16:35
-
15:52
-
15:05
-
14:21
-
13:39
-
13:00
-
12:15
-
11:53
Volg ons op Facebook
Privacywaakhond AP start onderzoek naar datalek bij kliniek
De Nederlandse privacywaakhond Autoriteit Persoonsgegevens (AP) is een onderzoek gestart naar de afhandeling van een ernstig datalek bij testlaboratorium Clinical Diagnostics, dat bijna een half miljoen mensen heeft getroffen.
Onder de gehackte gegevens bevonden zich de resultaten van massascreenings voor baarmoederhalskanker van 485.000 vrouwen, persoonlijke identificatienummers en namen en adressen, waaronder die van huisartsen en andere professionals. De persoonlijke gegevens van meer dan 50.000 mensen werden te koop aangeboden op het dark web.
Bedrijven zijn wettelijk verplicht om de AP binnen 72 uur op de hoogte te stellen van een hack. Clinical Diagnostics gaf aan de inbreuk tijdig te hebben gemeld, maar de AP wilde dit niet bevestigen en zei "geen commentaar te geven op een lopend onderzoek".
De kliniek moet haar cliënten ook "zo snel mogelijk" informeren over een datalek. Screeningsorganisatie Bevolkingsonderzoek Nederland werd echter pas vorige week, een maand na het incident, op de hoogte gesteld van het lek.
De vertraging zou verband houden met een omkoping aan de ransomwaregroep Nova om te voorkomen dat er meer gegevens op het dark web zouden verschijnen.
Bovendien is tot nu toe nog geen enkele vrouw op de lijst officieel op de hoogte gesteld door Clinical Diagnostics.
Gecompliceerde regels
Het onderzoek van AP moet uitwijzen of de kliniek de privacyregels heeft overtreden. De definitie van "zo snel mogelijk" hangt af van verschillende factoren, waaronder hoeveel mensen geïnformeerd moeten worden, het soort gestolen gegevens en de beschikbare communicatiemiddelen, vertelde een woordvoerder van AP aan de NOS.
"We hebben nog veel vragen waar we snel antwoord op willen. Wat is er gebeurd? Wanneer is het gemeld? Wat is er in de tussentijd gebeurd?" zei hij.
Clinical Diagnostics heeft laten weten dat degenen die door de hack zijn getroffen, uiterlijk 19 augustus een brief zullen ontvangen. Ook de huisartsen die op de lijst staan, worden officieel geïnformeerd.
Als de kliniek de privacyregels overtreedt, kan ze een boete krijgen tot € 20 miljoen of 4% van de omzet. Afhankelijk van de ernst van de overtreding kunnen bedrijven worden verboden bepaalde categorieën persoonsgegevens te verwerken.
Vrouwen van wie de gegevens zijn gestolen, kunnen het doelwit worden van criminelen en kwetsbaar zijn voor identiteitsfraude.
In een andere sinistere wending ontdekte RTL Nieuws dat sommige vrouwen op de lijst in een vrouwenopvangcentrum woonden. Naast hun namen en ID-nummers staat ook het adres van het opvangcentrum in de gehackte gegevens.