Onderzoek via andere zorgverlener

Wat is er gebeurd?
Begin juli is het netwerk van Clinical Diagnostics Nederland getroffen door een cyberaanval. Het betreft een cyberaanval bij Clinical Diagnostics LCPL, locatie Rijswijk. Er zijn geen andere laboratoria van Clinical Diagnostics Nederland getroffen.

Een hacker is binnengedrongen in een deel van de IT-omgeving van Clinical Diagnostics LCPL. Het incident werd snel opgemerkt. Ons IT-beveiligingsteam heeft onmiddellijk technische maatregelen genomen om hun toegang te blokkeren en systemen veilig te stellen. Er is direct een onderzoek gestart om de oorzaak en de impact van het incident in kaart te brengen. Helaas heeft de hacker toegang gehad tot persoonsgegevens die op dit deel van de IT-omgeving opgeslagen waren. Hierbij zijn ook bepaalde persoonsgegevens gekopieerd.

Wij hebben het incident tijdig gemeld bij de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC).

Wat u moet weten:

  • Begin juli is bekend geworden dat een hacker de IT-omgeving van Clinical Diagnostics LCPL is binnengedrongen.
  • Er is geen ander laboratorium van Clinical Diagnostics Nederland betrokken bij dit incident.
  • Zodra de melding bij ons binnenkwam, zijn onmiddellijk technische maatregelen genomen om verdere risico’s te beperken, waaronder het isoleren van de betrokken omgeving en het intensiveren van monitoring.
  • Als voorzorgsmaatregel werden de werkzaamheden in het getroffen laboratorium Clinical Diagnostics LCPL tijdelijk stilgelegd. Nadat kon worden vastgesteld dat alle systemen veilig konden opereren, zijn de werkzaamheden van Clinical Diagnostics LPCL weer volledig hervat. 
  • Wij hebben het incident direct gemeld bij de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC).

Welke gegevens zijn betrokken bij de cyberaanval?
We weten dat bij de cyberaanval persoonsgegevens zijn betrokken van zorgverleners en patiënten die onderzoek hebben laten verrichten bij Clinical Diagnostics LCPL.

  • Van patiënten is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:
    • Naam, geslacht, geboortedatum en geboorteplaats;
    • Adres;
    • Gegevens over het type onderzoek en testuitslagen;
    • Burgerservicenummer (BSN);
    • Gegevens aanvrager, en / of;
    • Gegevens zorgverzekeraar.
  • Van zorgverleners is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:
    • Naam instelling / zorgorganisatie;
    • Naam zorgverlener;
    • AGB-code;
    • Adres en contactgegevens, en / of;
    • Gegevens over het aangevraagde onderzoek.

Belangrijk:  Aangezien wij geen bankgegevens, wachtwoorden of identiteitsdocumenten verwerken, zijn dergelijke gegevens niet betrokken.

Wat kunt u doen:
Het is belangrijk extra waakzaam te zijn voor mogelijk misbruik van deze gegevens. Veelvoorkomende vormen van fraude zijn phishing en helpdeskfraude.

Phishing is een vorm van online oplichting waarbij criminelen proberen mensen ertoe te verleiden persoonlijke informatie af te staan, zoals wachtwoorden of bankgegevens. Dit doen zij door zich voor te doen als een betrouwbare bron – vaak via valse e-mails of websites. Helpdeskfraude kan bestaan uit een telefoontje of een ontvangen bericht met het verzoek contact op te nemen of bepaalde acties uit te voeren (aanpassing wachtwoord of gegevens).

Tips om uzelf te beschermen:

  • Wees voorzichtig met e-mails, sms’jes of telefoontjes die u vragen om persoonlijke informatie of om op links te klikken.
  • Controleer altijd wie de afzender is van communicaties. Let op vreemde e-mailadressen of telefoonnummers.
  • Bekijk tips van de Autoriteit Persoonsgegevens over wat u zelf kunt doen.
  • Denkt u slachtoffer te zijn van identiteitsfraude? Neem dan contact op met het Centraal Meldpunt Identiteitsfraude.

Wat doet Clinical Diagnostics LCPL nu?

  • Clinical Diagnostics LCPL zal patiënten en zorgverleners die mogelijk geraakt zijn waar mogelijk rechtstreeks informeren.
  • We hebben op korte termijn extra maatregelen getroffen binnen ons hele netwerk om het risico op herhaling van dergelijke incidenten te minimaliseren. Daarnaast voeren we momenteel een volledige IT-beveiligingsreview uit van alle systemen.
  • De teams van Clinical Diagnostics LCPL blijven deze zaak en alle gerelateerde activiteiten nauwlettend volgen en werken samen met gespecialiseerde partijen om mogelijke risico’s zo goed mogelijk te beperken.
  • Wij helpen u graag door u zo goed mogelijk te informeren, u te adviseren welke maatregelen u zelf kunt nemen en u te ondersteunen bij vragen en problemen. Op die manier willen wij de kans op misbruik zo klein mogelijk maken.

Vragen of zorgen?
We beseffen dat dit datalek veel zorgen en vragen oproept bij betrokkenen. Indien uw gegevens betrokken zijn bij het datalek ontvangt u in de komende weken van ons persoonlijk een brief via de post. Als u vragen hebt of hulp nodig hebt, neem dan gerust contact met ons op per mail via:

We raden aan om deze pagina regelmatig te raadplegen voor de laatste updates.
Wij bieden onze excuses aan voor de onrust die het datalek veroorzaakt. Wij helpen u graag door u zo goed mogelijk te informeren. Voor vragen of verzoeken kunt u ons bereiken op het e-mailadres: privacy@clinical-diagnostics.nl.

Met vriendelijke groet,
Team Clinical Diagnostics Nederland

FAQ – Veel gestelde vragen

Hieronder een lijst met de meest gestelde vragen. Deze lijst wordt periodiek aangepast.

Over Clinical Diagnostics LCPL

  • Wat is Clinical Diagnostics LCPL?
    Clinical Diagnostics LCPL is een medisch laboratorium. We onderzoeken weefsel en cellen, bijvoorbeeld als de huisarts een uitstrijkje laat doen. We doen dit voor huisartsen, zorginstellingen en overheden. Clinical Diagnostics LCPL is onderdeel van Clinical Diagnostics Nederland.
  • Welke onderzoeken voert Clinical Diagnostics LCPL uit?
    Een huisarts kan bijvoorbeeld een stukje huid naar het laboratorium sturen. Clinical Diagnostics onderzoekt dan bijvoorbeeld:
    • Histologie: Onderzoek naar stukjes weefsel, bijvoorbeeld van de huid of nagel.
    • Moleculaire diagnostiek: Onderzoek naar soa’s met DNA-techniek.
    • Cervixcytologie: Onderzoek van baarmoederhals-uitstrijkjes op HPV en (voor)stadia van baarmoederhalskanker.

Over de cyberaanval

  • Wat is er gebeurd?
    Begin juli ontdekten wij een cyberaanval. Een hacker is binnengedrongen in een deel van onze IT-omgeving. De hacker heeft daardoor toegang gehad tot persoonsgegevens en heeft bepaalde persoonsgegevens ook gekopieerd.
  • Hoe kon dit gebeuren?
    Een gespecialiseerd IT-bedrijf helpt bij het onderzoek hoe dit precies heeft kunnen gebeuren. We willen weten hoe ze binnen zijn gekomen, om dit in de toekomst te kunnen voorkomen.
  • Doen jullie iets om dit in de toekomst te voorkomen?
    Ja, we hebben onze beveiliging verbeterd en nemen extra maatregelen om ons computersystemen te beschermen tegen dit soort aanvallen.
  • Wanneer is het incident ontdekt?
    We hebben de cyberaanval begin juli ontdekt. Toen hebben we meteen actie ondernomen om verdere schade te voorkomen.
  • Waarom zit er zoveel tijd tussen het ontdekken van de cyberaanval en het informeren van betrokkenen?
    Er zat inderdaad een paar weken tussen het moment van het datalek en het bekendmaken ervan. Dat kwam doordat we eerst onze systemen veilig moesten maken, technisch en forensisch onderzoek hebben gedaan, de schade voor betrokkenen wilden beperken en de getroffen gegevens hebben onderzocht. Deze stappen waren nodig om goed te kunnen communiceren met de getroffen organisaties en personen.
    Wij zoeken nauwkeurig uit welke gegevens van welke personen in de betreffende systemen aanwezig waren. Ook controleren en actualiseren wij de adresgegevens, zodat de kans dat een brief bij een verkeerde persoon wordt bezorgd zo klein mogelijk is. Wij begrijpen dat dit wachten onzekerheid kan geven, maar we willen zoveel mogelijk voorkomen dat iemand ten onrechte of juist helemaal niet geïnformeerd wordt.
    Er wordt nu met de hoogste prioriteit gewerkt aan het informeren van zorgverleners en overige getroffen patiënten. Dit doen we zoveel mogelijk in samenspraak met de zorgverleners die de onderzoeken bij ons hebben aangevraagd, zodat we zeker weten dat de gegevens die wij hebben overeenkomen met de gegevens die de zorgverlener heeft.
  • Hoe weet ik zeker dat een e-mail van jullie komt (en niet nep is)?
    Onze e-mails eindigen op @clinical-diagnostics.nl. Twijfelt u? Controleer ons e-mailadres dan goed. Klik niet zomaar op links in een e-mail. Als u twijfelt kunt u onze officiële berichten terugvinden op onze website www.clinicaldiagnostics.nl of ons mailen via privacy@clinical-diagnostics.nl. We helpen u graag verder.

Over welke gegevens gaat het

  • Welke gegevens zijn bekeken en gekopieerd?
    We weten dat bij de cyberaanval persoonsgegevens zijn betrokken van zorgverleners en patiënten die medisch onderzoek hebben laten verrichten. 
    • Van patiënten is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:
      • Naam, geslacht, geboortedatum en geboorteplaats;
      • Adres;
      • Gegevens over het type onderzoek en testuitslagen;
      • Burgerservicenummer (BSN);
      • Gegevens aanvrager, en / of;
      • Gegevens zorgverzekeraar.
    • Van zorgverleners is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:
      • Naam instelling / zorgorganisatie;
      • Naam zorgverlener;
      • AGB-code;
      • Adres en contactgegevens, en / of;
      • Gegevens over het aangevraagde onderzoek.

Belangrijk:  Wij verwerken geen bankgegevens, wachtwoorden of identiteitsdocumenten, deze gegevens zijn niet betrokken.

  • Is de Autoriteit Persoonsgegevens op de hoogte gesteld?
    Ja, we hebben de cyberaanval binnen de wettelijke termijn gemeld bij de Autoriteit Persoonsgegevens.

Mijn persoonsgegevens

  • Zijn mijn gegevens bekeken of gekopieerd?
    Uit ons onderzoek blijkt dat iemand toegang heeft gehad tot persoonsgegevens. Sommige van deze gegevens zijn ook gekopieerd. Bevolkingsonderzoek Nederland stuurt een brief per post aan alle mensen van wie de gegevens zijn geraakt.
  • Waarom bewaren wij deze gegevens?
    Wij zijn volgens de Wet Geneeskundige Behandelovereenkomst (WGBO) verplicht om medische gegevens gedurende 20 jaar te bewaren. In sommige gevallen geldt een langere bewaartermijn, bijvoorbeeld bij specifieke aandoeningen of wanneer dit noodzakelijk is voor goede zorg. De reden hiervoor is dat medische gegevens soms langere tijd nodig zijn voor vervolgonderzoek, behandeling of het kunnen beantwoorden van medische vragen.
    Voor meer informatie over de verwerking van gegevens verwijzen wij naar onze privacyverklaring op de website.
  • Waarom heb ik nog geen brief of bericht gekregen?
    Er worden brieven gestuurd, voor zover als mogelijk, naar alle mensen van wie we weten dat hun gegevens betrokken zijn en waarvan we de adresgegevens hebben. Als u denkt dat u betrokken bent, neem dan gerust contact met ons op via: privacy@clinical-diagnostics.nl.
  • Zijn mijn andere gegevens nu veilig?
    We hebben aanvullende beveiligingsmaatregelen getroffen en monitoren de situatie zorgvuldig. We blijven ons echter voortdurend inzetten om de beveiliging van onze systemen en uw gegevens zo goed mogelijk te waarborgen.
  • Waar moet ik zelf op letten?
    De hackers hebben toegang gehad tot persoonsgegevens. Sommige van deze gegevens zijn ook gekopieerd, zoals we uitleggen in ons nieuwsbericht. Het is belangrijk extra waakzaam te zijn voor mogelijk misbruik van deze gegevens. Veelvoorkomende vormen van fraude zijn phishing en helpdeskfraude.
    Phishing is een vorm van online oplichting waarbij criminelen proberen mensen ertoe te verleiden persoonlijke informatie af te staan, zoals wachtwoorden en bankgegevens. Dit doen zij door zich voor te doen als een betrouwbare bron – vaak via valse e-mails of websites. Helpdeskfraude kan bestaan uit een telefoontje of een ontvangen bericht met het verzoek om contact op te nemen of bepaalde acties uit te voeren (aanpassing wachtwoord of gegevens).
    We adviseren u om extra op te letten op het volgende:
    • Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. U kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer en check wat er na het @-teken van een e-mailadres staat; dit hoort het gebruikelijke e-maildomein te zijn.
    • Wordt u gebeld door een telefoonnummer dat u niet bekend is? Wees dan zeer voorzichtig. U kunt bijvoorbeeld vragen naar de naam van de medewerker en naar het bedrijf waar diegene werkt. Twijfelt u of de beller daar echt werkt? Zoek dan online het algemene telefoonnummer op van dit bedrijf en controleer of echt door hen bent gebeld. Blokkeer het onbekende nummer. Bel niet het nummer terug dat in uw scherm verschijnt; oplichters kunnen doen alsof u wordt gebeld door de organisatie.
    • Controleer regelmatig of er geen onverwachte transacties plaatsvinden via uw zorgverzekering.
    • Wilt u weten welke maatregelen u zelf nog meer kunt nemen? Lees op de website van de Autoriteit Persoonsgegevens wat u kunt doen:  https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/slachtoffer-van-een-datalek-dit-kunt-u-doen     
    • Wanneer u denkt daadwerkelijk slachtoffer te zijn van identiteitsfraude, adviseert de Autoriteit Persoonsgegevens u om dit te melden bij het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte te doen bij politie.
  • Wat kan ik doen als ik denk dat mijn gegevens zijn misbruikt?
    U kunt contact opnemen met het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte doen bij de politie.
  • Als het zeker is dat mijn gegevens zijn bekeken of gekopieerd, hoor ik dat dan nog?
    Patiënten: We sturen brieven per post, voor zover als mogelijk, naar alle mensen van wie we weten dat hun gegevens betrokken zijn op het adres dat bij ons bekend is. In deze brief leggen we uit dat hun persoonsgegevens mogelijk betrokken zijn bij het incident, en adviseren we welke stappen zij kunnen nemen om zichzelf te beschermen.
    Zorgverleners: De zorgverleners die rechtstreeks onderzoek aanvragen bij Clinical Diagnostics LCPL en waarvan ook gegevens zijn betrokken ontvangen van ons waar mogelijk ook een brief.
  • Kan mijn Burgerservicenummer (BSN) misbruikt worden?
    Uw BSN kan gebruikt worden voor identiteitsfraude. We adviseren u extra op te letten en als u denkt dat uw gegevens misbruikt zijn, kunt u contact opnemen met het Centraal Meldpunt Identiteitsfraude (CMI).
  • Heeft dit invloed op mijn testresultaten of medische zorg?
    Nee, dit heeft geen invloed op uw testresultaten of medische zorg.
  • Gaat het ook om mijn uitslagen of diagnose?
    Ja, het kan zijn dat gegevens over uw test of uitslag betrokken zijn.
  • Is mijn (huis)arts ook geïnformeerd?
    Wij informeren alleen huisartsen die ook rechtstreeks onderzoek aanvragen bij Clinical Diagnostics LCPL. Voor vragen kunt u bij ons terecht via privacy@clinical-diagnostics.nl. De (huis)arts kan de vragen over de cyberaanval niet beantwoorden.
  • Mag het laboratorium mijn gegevens bewaren?
    Wij zijn volgens de Wet Geneeskundige Behandelovereenkomst (WGBO) verplicht om medische gegevens gedurende 20 jaar te bewaren. In sommige gevallen geldt een langere bewaartermijn, bijvoorbeeld bij specifieke aandoeningen of wanneer dit noodzakelijk is voor goede zorg. De reden hiervoor is dat medische gegevens soms langere tijd nodig zijn voor vervolgonderzoek, behandeling of het kunnen beantwoorden van medische vragen.
  • Kan ik mijn gegevens laten verwijderen?
    In bepaalde gevallen kunnen wij (een deel van) uw persoonsgegevens laten verwijderen als u daarom verzoekt. Vaak zijn wij echter op grond van de wet verplicht uw gegevens voor een bepaalde tijd te bewaren. U kunt met ons contact opnemen via privacy@clinical-diagnostics.nl als u hierover vragen heeft.

Voor zorgverleners

  • Moet ik patiënten informeren?
    Indien uw praktijk getroffen is, ontvangt u van ons een bericht. In dit bericht leggen wij uit hoe wij patiënten informeren.
  • Wat kan ik zeggen als patiënten vragen hebben?
    U kunt patiënten verwijzen naar deze Q&A. Daar vinden zij begrijpelijke en aanvullende informatie. Indien hun vragen hier niet worden beantwoord, kunnen ze contact opnemen met ons via privacy@clinical-diagnostics.nl

Meer informatie en hulp

  • Wie kan mij voorzien van meer informatie?
    We begrijpen dat u zich zorgen kunt maken. Als u contact met ons wilt opnemen, kunt u gerust een bericht sturen naar privacy@clinical-diagnostics.nl
  • Kan ik ook telefonisch contact opnemen?
    Voor dringende vragen kunt u telefonisch contact opnemen met ons speciale telefoonnummer via 088-4500818.
    Voor alle andere vragen adviseren wij u vriendelijk om contact met ons op te nemen via e-mail. Zo kunnen wij uw vraag goed bekijken en een duidelijk antwoord geven.
  • Kan ik hulp krijgen als mijn gegevens zijn misbruikt?
    Ja, als u getroffen bent raden wij u aan om extra op te letten. Als u denkt dat uw gegevens zijn gebruikt, kunt u contact opnemen met het Centraal Meldpunt Identiteitsfraude (CMI).
  • Waar vind ik nieuwe informatie?
    Dit vindt u terug op onze website. Aan de datum bovenaan kunt u zien wanneer het voor het laatst is bijgewerkt.
  • Waar kan ik een klacht indienen?
    Als u ontevreden bent over hoe wij met deze situatie omgaan, kunt u een klacht bij ons indienen via privacy@clinical-diagnostics.nl. Wilt u in dit bericht uw naam, uw contactgegevens en de reden van uw klacht zetten. Wij nemen uw klacht serieus en geven zo snel mogelijk een reactie.
  • Hoe snel krijg ik antwoord op mijn e-mail?
    Wij doen ons best om uw vragen zo snel mogelijk te beantwoorden. We willen alle vragen zorgvuldig beantwoorden en u goed helpen.

Proces

  • Welke maatregelen zijn genomen?
  • Na het datalek hebben we direct de volgende zaken ondernomen:
    • We hebben het datalek binnen de wettelijke termijn gemeld bij De Autoriteit Persoonsgegevens (AP). Daarnaast hebben wij ook een melding gedaan bij het Nationaal Cyber Security Centrum (NCSC).
    • Direct nadat we het datalek hebben ontdekt, zijn de getroffen systemen geïsoleerd en is intensieve controle van de systemen gestart.
    • IT-experts hebben onderzoek gedaan naar de vraag hoe de hacker het systeem is binnengedrongen.
    • We hebben onze systemen met behulp van IT-experts verder beveiligd om een aanval te voorkomen.
    • Door ons ingeschakelde deskundigen hebben vastgesteld dat de eerder gepubliceerde informatie van het dark web is verwijderd.
    • Wij hebben een extern gespecialiseerd bureau opdracht gegeven om het dark web in de gaten te houden en ons te waarschuwen als de gepubliceerde informatie weer op het dark web verschijnt. De externe IT-experts zoeken op het web of er verwijzingen naar gekopieerde gegevens voorkomen. Die monitoring heeft geen treffers opgeleverd. 
    • Voor zover mogelijk informeren wij iedereen van wie de gegevens betrokken zijn.