Onderzoek via Bevolkingsonderzoek Nederland

Zoals u mogelijk al heeft vernomen via Bevolkingsonderzoek Nederland, is er een datalek geweest bij Clinical Diagnostics NMDL. Voor meer informatie hierover verwijzen wij u naar de website van Bevolkingsonderzoek Nederland en de communicatie die u mogelijk van Bevolkingsonderzoek Nederland hierover ontvangt. Hieronder treft u nogmaals de voor u relevante informatie aan.

Wat is er gebeurd?
Begin juli is het netwerk van Clinical Diagnostics Nederland getroffen door een cyberaanval. Voor Bevolkingsonderzoek Nederland gaat het hierbij om Clinical Diagnostics NMDL.

Een hacker is binnengedrongen in een deel van de IT-omgeving van Clinical Diagnostics NMDL. Het incident werd snel opgemerkt. Ons IT-beveiligingsteam heeft onmiddellijk technische maatregelen genomen om hun toegang te blokkeren en systemen veilig te stellen. Er is direct een onderzoek gestart om de oorzaak en de impact van het incident in kaart te brengen. Helaas heeft de hacker toegang gehad tot persoonsgegevens die op dit deel van de IT-omgeving opgeslagen waren. Hierbij zijn ook bepaalde persoonsgegevens gekopieerd.

Wij hebben het incident tijdig gemeld bij de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC).

Welke gegevens zijn betrokken bij de cyberaanval?
Zoals u ook via Bevolkingsonderzoek Nederland zal hebben vernomen, zijn bij het datalek persoonsgegevens betrokken van zorgverleners en patiënten die onderzoek hebben laten verrichten bij Clinical Diagnostics NMDL.

• Van patiënten is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:
  • Naam, geslacht en geboortedatum;
  • Adres;
  • Gegevens over het onderzoek en testuitslagen;
  • Burgerservicenummer (BSN);
  • Gegevens aanvrager.
    
• Van zorgverleners is toegang verkregen tot de volgende gegevens waarvan bepaalde gegevens ook zijn gekopieerd:
  • Naam instelling / zorgorganisatie;
  • Naam zorgverlener;
  • AGB-code;
  • Adres en contactgegevens, en / of;
  • Gegevens over het aangevraagde onderzoek.

Mogelijk hebben wij uw gegevens ook van andere zorgverleners ontvangen. Als dat zo is zult u daar in een persoonlijke brief over worden geïnformeerd.

Belangrijk:  Aangezien wij geen bankgegevens, wachtwoorden of identiteitsdocumenten verwerken, zijn dergelijke gegevens niet betrokken bij deze cyberaanval.

Wat kunt u doen:
Het is belangrijk extra waakzaam te zijn voor mogelijk misbruik van deze gegevens. Veelvoorkomende vormen van fraude zijn phishing en helpdeskfraude.

Phishing is een vorm van online oplichting waarbij criminelen proberen mensen ertoe te verleiden persoonlijke informatie af te staan, zoals wachtwoorden of bankgegevens. Dit doen zij door zich voor te doen als een betrouwbare bron – vaak via valse e-mails of websites. Helpdeskfraude kan bestaan uit een telefoontje of een ontvangen bericht met het verzoek contact op te nemen of bepaalde acties uit te voeren (aanpassing wachtwoord of gegevens).

Tips om uzelf te beschermen:

• Wees voorzichtig met e-mails, sms’jes of telefoontjes die u vragen om persoonlijke informatie of om op links te klikken.
• Controleer altijd wie de afzender is van communicaties. Let op vreemde e-mailadressen of telefoonnummers.
• Bekijk tips van de Autoriteit Persoonsgegevens over wat u zelf kunt doen.
• Denkt u slachtoffer te zijn van identiteitsfraude? Neem dan contact op met het Centraal Meldpunt Identiteitsfraude.

Wat doet Clinical Diagnostics NMDL nu?

• We hebben op korte termijn extra maatregelen getroffen binnen ons hele netwerk om het risico op herhaling van dergelijke incidenten te vermijden. Daarnaast wordt momenteel een audit uitgevoerd van alle relevante systemen.
• De teams van Clinical Diagnostics NMDL blijven deze zaak en alle gerelateerde activiteiten nauwlettend volgen en werken samen met gespecialiseerde partijen om mogelijke risico’s zo goed mogelijk te beperken.
• Wij helpen u graag door u zo goed mogelijk te informeren, u te adviseren welke maatregelen u zelf kunt nemen en u te ondersteunen bij vragen en problemen. Op die manier willen wij de kans op misbruik zo klein mogelijk maken.

We beseffen dat dit datalek veel zorgen en vragen oproept bij betrokkenen. Indien uw gegevens betrokken zijn bij de cyberaanval ontvangt u in de komende weken van Bevolkingsonderzoek Nederland een brief via de post. Als u vragen hebt of hulp nodig hebt, neem dan gerust contact met ons op per mail via:

• Voor betrokkenen of algemene vragen: privacy@clinical-diagnostics.nl.
• Voor pers en media: pers@clinical-diagnostics.nl.

We raden aan om deze pagina regelmatig te raadplegen voor de laatste updates.
Wij bieden onze excuses aan voor de onrust die het datalek veroorzaakt. Wij helpen u graag door u zo goed mogelijk te informeren. Voor vragen of verzoeken kunt u ons bereiken op het e-mailadres: privacy@clinical-diagnostics.nl.

Met vriendelijke groet,
Team Clinical Diagnostics NMDL

FAQ – Veel gestelde vragen BVO

Hieronder een lijst met de meest gestelde vragen en antwoorden, deze lijst wordt periodiek aangepast.

Over Clinical Diagnostics NMDL

• Wat is Clinical Diagnostics NMDL?
  Clinical Diagnostics NMDL is een medisch laboratorium. We onderzoeken weefsel en cellen, bijvoorbeeld als de huisarts een uitstrijkje laat doen. We doen dit voor huisartsen, zorginstellingen en overheden. Clinical Diagnostics NMDL is onderdeel van Clinical Diagnostics Nederland.
• Welke onderzoeken voert Clinical Diagnostics NMDL uit?
  Een huisarts kan een uitstrijkje naar het laboratorium sturen. Clinical Diagnostics onderzoekt dan:
  • Cervixcytologie: Onderzoek van baarmoederhals-uitstrijkjes op HPV en (voor)stadia van baarmoederhalskanker.

Over de cyberaanval

• Wat is er gebeurd?
  Begin juli ontdekten wij een cyberaanval. Een hacker is binnengedrongen in een deel van onze IT-omgeving. De hacker heeft daardoor toegang gehad tot persoonsgegevens en heeft bepaalde persoonsgegevens ook gekopieerd.
  
• Hoe kon dit gebeuren?
  Een gespecialiseerd IT-bedrijf helpt bij het onderzoek hoe dit precies heeft kunnen gebeuren. We willen weten hoe ze binnen zijn gekomen, om dit in de toekomst te kunnen voorkomen.
  
• Doen jullie iets om dit in de toekomst te voorkomen?
  Ja, we hebben onze beveiliging verbeterd en nemen extra maatregelen om ons computersystemen te beschermen tegen dit soort aanvallen.
  
• Wanneer is het incident ontdekt?
  We hebben de cyberaanval begin juli ontdekt. Toen hebben we meteen actie ondernomen om verdere schade te voorkomen.
  
• Waarom zit er zoveel tijd tussen het ontdekken van de cyberaanval en het informeren van betrokkenen?
  Er zat inderdaad een paar weken tussen het moment van het datalek en het bekendmaken ervan. Dat kwam doordat we eerst onze systemen veilig moesten maken, technisch en forensisch onderzoek hebben gedaan, de schade voor betrokkenen wilden beperken en de getroffen gegevens hebben onderzocht. Deze stappen waren nodig om goed te kunnen communiceren met de getroffen organisaties en personen.
  
  Wij zoeken nauwkeurig uit welke gegevens van welke personen in de betreffende systemen aanwezig waren. Ook controleren en actualiseren wij de adresgegevens, zodat de kans dat een brief bij een verkeerde persoon wordt bezorgd zo klein mogelijk is. Wij begrijpen dat dit wachten onzekerheid kan geven, maar we willen zoveel mogelijk voorkomen dat iemand ten onrechte of juist helemaal niet geïnformeerd wordt.
  
  Er wordt nu met de hoogste prioriteit gewerkt aan het informeren van zorgverleners en overige getroffen patiënten. Dit doen we zoveel mogelijk in samenspraak met de zorgverleners die de onderzoeken bij ons hebben aangevraagd, zodat we zeker weten dat de gegevens die wij hebben overeenkomen met de gegevens die de zorgverlener heeft.
  
• Hoe weet ik zeker dat de brief of de e-mail van jullie komt (en niet nep is)?
  Als u een brief heeft gehad, is deze afkomstig van Bevolkingsonderzoek Nederland. Wij reageren alleen op e-mails die u ons toestuurt. Onze e-mails eindigen op @clinical-diagnostics.nl. Twijfelt u? Controleer ons e-mailadres dan goed. Klik niet zomaar op links in een e-mail. Als u twijfelt kunt u onze officiële berichten terugvinden op onze website www.clinicaldiagnostics.nl of ons mailen via privacy@clinical-diagnostics.nl. We helpen u graag verder.

Over welke gegevens gaat het

• Welke gegevens zijn bekeken en gekopieerd?
  We weten dat bij de cyberaanval persoonsgegevens zijn betrokken van zorgverleners en patiënten die medisch onderzoek hebben laten verrichten. 
  • Van patiënten gaat het over de volgende gegevens:
    • Naam, geslacht en geboortedatum;
    • Adres;
    • Gegevens over het onderzoek en de testuitslagen;
    • Burgerservicenummer (BSN);
    • Gegevens van de aanvrager (bijvoorbeeld de huisarts);
  • Van zorgverleners is toegang verkregen tot de volgende gegevens, waarbij bepaalde gegevens ook zijn gekopieerd:
    • Naam instelling / zorgorganisatie;
    • Naam zorgverlener;
    • AGB-code;
    • Adres en contactgegevens, en / of;
    • Gegevens over het aangevraagde onderzoek.
      
  • Belangrijk:  Wij verwerken geen bankgegevens, wachtwoorden of identiteitsdocumenten, deze gegevens zijn niet betrokken.
    
• Is de Autoriteit Persoonsgegevens op de hoogte gesteld?
  Ja, we hebben het datalek binnen de wettelijke termijn gemeld bij de Autoriteit Persoonsgegevens.

Mijn persoonsgegevens

• Zijn mijn gegevens bekeken of gekopieerd?
  Uit ons onderzoek blijkt dat iemand toegang heeft gehad tot persoonsgegevens. Sommige van deze gegevens zijn ook gekopieerd. Bevolkingsonderzoek Nederland stuurt een brief per post aan alle mensen van wie de gegevens zijn geraakt.
  
• Waarom bewaren wij deze gegevens?
  Wij zijn volgens de Wet Geneeskundige Behandelovereenkomst (WGBO) verplicht om medische gegevens gedurende 20 jaar te bewaren. In sommige gevallen geldt een langere bewaartermijn, bijvoorbeeld bij specifieke aandoeningen of wanneer dit noodzakelijk is voor goede zorg. De reden hiervoor is dat medische gegevens soms langere tijd nodig zijn voor vervolgonderzoek, behandeling of het kunnen beantwoorden van medische vragen. Voor meer informatie over de verwerking van gegevens verwijzen wij naar onze privacyverklaring op de website: https://clinical.dev1.sowieso.biz/nl/privacy-statement/
  
• Waarom heb ik nog geen brief of bericht gekregen?
  Bevolkingsonderzoek Nederland stuurt brieven, voor zover als mogelijk, naar alle mensen van wie het bekend is hun gegevens betrokken zijn en waarvan adresgegevens beschikbaar zijn. Als u denkt dat u betrokken bent, maar nog niets heeft gehoord, neem dan gerust contact met ons op via: privacy@clinical-diagnostics.nl
  
• Zijn mijn andere gegevens nu veilig?
  We hebben aanvullende beveiligingsmaatregelen getroffen en monitoren de situatie zorgvuldig. We blijven ons voortdurend inzetten om de beveiliging van onze systemen en uw gegevens zo goed mogelijk te waarborgen.
  
• Waar moet ik zelf op letten?
  De hackers hebben toegang gehad tot persoonsgegevens. Sommige van deze gegevens zijn ook gekopieerd, zoals we uitleggen in ons nieuwsbericht. Het is belangrijk extra waakzaam te zijn voor mogelijk misbruik van deze gegevens. Veelvoorkomende vormen van fraude zijn phishing en helpdeskfraude.
  
  Phishing is een vorm van online oplichting waarbij criminelen proberen mensen ertoe te verleiden persoonlijke informatie af te staan, zoals wachtwoorden en bankgegevens. Dit doen zij door zich voor te doen als een betrouwbare bron – vaak via valse e-mails of websites. Helpdeskfraude kan bestaan uit een telefoontje of een ontvangen bericht met het verzoek om contact op te nemen of bepaalde acties uit te voeren (aanpassing wachtwoord of gegevens).
  
• We adviseren u om extra op te lettenop het volgende:
  • Let goed op bij het openen van links in e-mails, sms’jes en app-berichten. U kunt een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Controleer het telefoonnummer en check wat er na het @-teken van een e-mailadres staat; dit hoort het gebruikelijke e-maildomein te zijn.
  • Wordt u gebeld door een telefoonnummer dat u niet bekend is? Wees dan zeer voorzichtig. U kunt bijvoorbeeld vragen naar de naam van de medewerker en naar het bedrijf waar diegene werkt. Twijfelt u of de beller daar echt werkt? Zoek dan online het algemene telefoonnummer op van dit bedrijf en controleer of echt door hen bent gebeld. Blokkeer het onbekende nummer. Bel niet het nummer terug dat in uw scherm verschijnt; oplichters kunnen doen alsof u wordt gebeld door de organisatie
  • Controleer regelmatig of er geen onverwachte transacties plaatsvinden via uw zorgverzekering.
  • Wilt u weten welke maatregelen u zelf nog meer kunt nemen? Lees op de website van de Autoriteit Persoonsgegevens wat u kunt doen:  https://autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/slachtoffer-van-een-datalek-dit-kunt-u-doen    
  • Wanneer u denkt daadwerkelijk slachtoffer te zijn van identiteitsfraude, adviseert de Autoriteit Persoonsgegevens u om dit te melden bij het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte te doen bij de politie. https://www.rvig.nl/cmi  

• Wat kan ik doen als ik denk dat mijn gegevens zijn misbruikt?
  U kunt contact opnemen met het Centraal Meldpunt Identiteitsfraude (CMI) en hiervan aangifte doen bij de politie.
  
• Als het zeker is dat mijn gegevens zijn bekeken of gekopieerd, hoor ik dat dan nog?
  Patiënten: Betrokken mensen ontvangen per post een brief van Bevolkingsonderzoek Nederland. In deze brief wordt uitgelegd dat hun persoonsgegevens mogelijk betrokken zijn bij het incident, en wordt geadviseerd welke stappen zij kunnen nemen om zichzelf te beschermen.
  
• Kan mijn Burgerservicenummer (BSN) misbruikt worden?
  Uw BSN kan gebruikt worden voor identiteitsfraude. We adviseren u extra op te letten en als u denkt dat uw gegevens misbruikt zijn, kunt u contact opnemen met het Centraal Meldpunt Identiteitsfraude (CMI).
  
• Heeft dit invloed op mijn testresultaten of medische zorg?
  Nee, dit heeft geen invloed op uw testresultaten of medische zorg.
  
• Gaat het ook om mijn uitslagen of diagnose?
  Ja, het kan zijn dat gegevens over uw test of uitslag betrokken zijn.
  
• Mag het laboratorium mijn gegevens bewaren?
  Wij zijn volgens de Wet Geneeskundige Behandelovereenkomst (WGBO) verplicht om medische gegevens gedurende 20 jaar te bewaren. In sommige gevallen geldt een langere bewaartermijn, bijvoorbeeld bij specifieke aandoeningen of wanneer dit noodzakelijk is voor goede zorg. De reden hiervoor is dat medische gegevens soms langere tijd nodig zijn voor vervolgonderzoek, behandeling of het kunnen beantwoorden van medische vragen.
  
• Kan ik mijn gegevens laten verwijderen?
  In bepaalde gevallen kunnen wij (een deel van) uw persoonsgegevens laten verwijderen als u daarom verzoekt. Vaak zijn wij echter op grond van de wet verplicht uw gegevens voor een bepaalde tijd te bewaren. U kunt met ons contact opnemen via privacy@clinical-diagnostics.nl als u hierover vragen heeft.

Meer informatie en hulp

• Wie kan mij voorzien van meer informatie?
  We begrijpen dat u zich zorgen kunt maken. Als u contact met ons wilt opnemen, kunt u gerust een bericht sturen naar privacy@clinical-diagnostics.nl
  
• Kan ik ook telefonisch contact opnemen?
  Voor dringende vragen kunt u telefonisch contact opnemen met ons speciale telefoonnummer via 088-4500818.
  Voor alle andere vragen adviseren wij u vriendelijk om contact met ons op te nemen via e-mail. Zo kunnen wij uw vraag goed bekijken en een duidelijk antwoord geven.
  
• Kan ik hulp krijgen als mijn gegevens zijn misbruikt?
  Ja, als u getroffen bent en raden wij u om extra op te letten. Als u denkt dat uw gegevens zijn gebruikt, kunt u contact opnemen met het Centraal Meldpunt Identiteitsfraude (CMI).
  
• Waar vind ik nieuwe informatie?
  Dit vindt u terug op onze website. Aan de datum bovenaan kunt u zien wanneer het voor het laatst is bijgewerkt.
  
• Waar kan ik een klacht indienen?
  Als u ontevreden bent over hoe wij met deze situatie omgaan, kunt u een klacht bij ons indienen via privacy@clinical-diagnostics.nl. Wilt u in dit bericht uw naam, uw contactgegevens en de reden van uw klacht zetten. Wij nemen uw klacht serieus en geven zo snel mogelijk een reactie.
  
• Hoe snel krijg ik antwoord op mijn e-mail?
  Wij doen ons best om uw vragen zo snel mogelijk te beantwoorden. We willen alle vragen zorgvuldig beantwoorden en u goed helpen.

Proces

Welke maatregelen zijn genomen?
Na het datalek hebben we direct de volgende zaken ondernomen:

• We hebben het datalek binnen de wettelijke termijn gemeld bij De Autoriteit Persoonsgegevens (AP). Daarnaast hebben wij ook een melding gedaan bij het Nationaal Cyber Security Centrum (NCSC).
• Direct nadat we het datalek hebben ontdekt, zijn de getroffen systemen geïsoleerd en is intensieve controle van de systemen gestart.
• IT-experts hebben onderzoek gedaan naar de vraag hoe de hacker het systeem is binnengedrongen.
• We hebben onze systemen met behulp van IT-experts verder beveiligd om een aanval te voorkomen.
• Door ons ingeschakelde deskundigen hebben vastgesteld dat de eerder gepubliceerde informatie van het dark web is verwijderd.
• Wij hebben een extern gespecialiseerd bureau opdracht gegeven om het dark web in de gaten te houden en ons te waarschuwen als de gepubliceerde informatie weer op het dark web verschijnt. De externe IT-experts zoeken op het web of er verwijzingen naar gekopieerde gegevens voorkomen. Die monitoring heeft geen treffers opgeleverd. 
• Voor zover mogelijk informeren wij iedereen van wie de gegevens betrokken zijn.