Beveiliging gehackt Clinical Diagnostics voldeed niet aan verplichte norm

In dit artikel:

De Inspectie Gezondheidszorg en Jeugd (IGJ) stelt dat medisch laboratorium Clinical Diagnostics bij de hack niet voldeed aan de wettelijk voorgeschreven NEN 7510-norm voor informatiebeveiliging in de zorg. Volgens het onderzoek kregen aanvallers vorig jaar via een gehackt gebruikersaccount toegang tot een legacy-omgeving van het lab die nog niet naar een centrale omgeving was overgezet. Die toegang liep via een remote desktopverbinding; voor het betrokken account was geen multifactorauthenticatie (MFA) ingeschakeld, al had het account eerder wel MFA gebruikt. Hoe de kwaadwillenden precies in het account zijn gekomen, kon Clinical Diagnostics niet achterhalen. Het lab zegt dat het account was beveiligd met een wachtwoord van zestien tekens.

Door de inbraak werden gevoelige persoonsgegevens van grote groepen mensen buitgemaakt, onder meer van ongeveer 850.000 vrouwen die meededen aan het bevolkingsonderzoek baarmoederhalskanker, plus patiënten van privéklinieken en huisartsen. Clinical Diagnostics betaalde uiteindelijk losgeld om publicatie van de data te voorkomen.

De IGJ constateerde verder dat het lab geen onafhankelijke audit op informatiebeveiliging had laten uitvoeren en dat risico’s bij gegevensverwerking niet periodiek in kaart waren gebracht. Daardoor ontbrak volgens de inspectie het noodzakelijke inzicht om passende beveiligingsmaatregelen te bepalen. De IGJ heeft het bedrijf opgedragen op korte termijn aantoonbaar te voldoen aan NEN 7510. Onder de Wabvpz kan de IGJ geen strafmaatregelen opleggen; de Autoriteit Persoonsgegevens kan wel sancties opleggen op grond van de AVG.

Aanvullende context: NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg en benadrukt onder meer risicomanagement en maatregelen zoals MFA en regelmatige audits om datalekken te beperken. Legacy-systemen en ontbrekende migratie verhogen het risico op incidenten.