Afgelopen februari kwam een schokkend datalek aan het licht. Op een rommelmarkt bij het Belgische Weelde stuitte de 62-jarige Robert Polet uit Breda op een enorme hoeveelheid gevoelige gegevens. Hij kocht voor vijf euro per stuk een aantal tweedehands harde schijven van 500 GB en ontdekte thuis tot zijn verbijstering dat deze schijven vol stonden met medische gegevens van honderden Nederlanders. Het ging om complete patiëntendossiers: namen en adressen, geboortedata, gegevens van huisartsen en apotheken, voorgeschreven medicijnen en zelfs burgerservicenummers (BSN).

Polet, een ervaren computerhobbyist, besefte meteen de ernst van de situatie. De gelekte medische data bleken te stammen uit de periode 2011 tot 2019. Hij controleerde niet alleen de zichtbare bestanden, maar voerde ook een diepe scan uit om eventuele gewiste gegevens terug te halen. Daarbij trof hij nog meer informatie aan die ooit verwijderd leek, maar nog steeds op de schijven aanwezig was. Met andere woorden: zelfs data die vermoedelijk gewist was, kon hij herstellen.

In dit artikel kun je meer lezen over het incident, en ontdek wat je kan doen als je bij een datalek betrokken denkt te zijn en hoe je jouw privégegevens zo goed mogelijk kunt beschermen.

Een verontrustende melding: Datalek had heel anders uit kunnen pakken

Polet vond in de documenten onder meer vertrouwelijke patiëntgegevens uit verschillende delen van het land, waaronder de regio’s Utrecht, Houten en Delft. Geschrokken door de ontdekking – “Mijn zus of ik hadden hier ook zomaar tussen kunnen staan,” zei hij – besloot hij direct actie te ondernemen. Hij meldde het datalek bij de Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, en nam contact op met enkele betrokken huisartsenpraktijken, apotheken en zorginstellingen om hen te waarschuwen.

Dankzij het feit dat hij ervoor koos het datalek te melden, is het incident publiek bekend geworden. Robert Polet benadrukte dat het een geluk bij een ongeluk is dat de schijven bij een ethische vinder zijn beland en niet bij criminelen. Al kan deze datalek niet meer teruggedraaid worden, er zijn methoden om gevoelige data te beschermen en het risico verlagen dat deze in de verkeerde handen vallen.

Uit correspondentie met een getroffen zorginstelling bleek dat de data afkomstig zijn van het bedrijf Nortade ICT Solutions uit Breda. Nortade was een ICT-dienstverlener voor de zorgsector die software en serverbeheer voor huisartsen en apotheken deed. Het bedrijf bestaat inmiddels niet meer – de website is offline en bij de Kamer van Koophandel is niets meer te vinden. Nortade is hoogstwaarschijnlijk failliet gegaan en heeft zijn inboedel moeten liquideren.

Verantwoordelijkheid en aansprakelijkheid

Volgens dataspecialist Stefan Kasbergen, die is gespecialiseerd in datavernietiging, had Nortade de harde schijven officieel moeten wissen of vernietigen. Normaal gesproken worden oude gegevensdragers professioneel gewist en voorzien van een certificaat van vernietiging. In dit geval is dat niet gebeurd. Waarom niet? Kasbergen vermoedt dat dit een kostenkwestie was: “Je kunt als bedrijf kiezen om het netjes te laten vernietigen en daarvoor te betalen, of je verkoopt ze aan een ‘refurbisher’ en krijgt er geld voor. Je kunt wel nagaan waar vaak voor wordt gekozen,” legt hij uit. Met andere woorden, in plaats van te betalen voor veilige vernietiging, is waarschijnlijk gekozen voor de goedkope route: de hardware verkopen.

De harde schijven zijn vermoedelijk via een faillissementsverkoop of boedelverkoop in handen van een opkoper gekomen en zo verder terechtgekomen op de rommelmarkt. Kasbergen zegt dat een curator (faillissementsbeheerder) vaak probeert toch nog wat geld te verdienen aan de bezittingen van een failliet bedrijf. In dit scenario heeft de curator of opkoper waarschijnlijk niet eens beseft dat er nog privacygevoelige data op de schijven stonden, of zij hebben het risico genegeerd.

Formeel ligt de verantwoordelijkheid bij de partij die ervoor had moeten zorgen dat de gegevensdragers volledig waren gewist: het failliete ICT-bedrijf of de curator die de hardware beheerde. In de gezondheidszorg geldt bovendien een extra streng regime (NEN 7510 in Nederland), juist vanwege de gevoeligheid van medische gegevens. Zorginstellingen zijn eindverantwoordelijk voor de data van hun patiënten. Wanneer zij externe partijen inschakelen voor beheer en opslag, moeten ze via overeenkomsten (zogeheten “verwerkersovereenkomsten”) vastleggen dat die partijen aan alle beveiligingseisen voldoen.

Preventie van toekomstige datalekken

De AP ziet erop toe dat organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG benadrukt dat bedrijven persoonsgegevens veilig moeten bewaren en afvoeren. Bij een datalek dat voor betrokkenen risico’s meebrengt, moet een organisatie bovendien direct melding doen bij de AP en in sommige gevallen de slachtoffers informeren. Dat die stappen in dit geval niet proactief zijn genomen, zal ongetwijfeld worden meegenomen in het lopende onderzoek. Bij ernstige overtredingen kan de AP hoge boetes opleggen.

In het datalek spreekt de AP van een potentieel ernstig incident, vooral omdat het om hooggevoelige gegevens gaat. Hoewel er nog geen definitief totaaloverzicht is, staat vast dat het lek omvangrijk genoeg is om een groot onderzoek te rechtvaardigen.

Deskundigen op het gebied van datavernietiging benadrukken dat bedrijven verplicht zijn om oude IT-apparatuur met gevoelige data zorgvuldig te wissen of te slopen. Alleen door professionele software of fysieke vernietigers in te zetten, kan worden gegarandeerd dat gegevens niet achterhaalbaar zijn. Een simpele formattering is doorgaans onvoldoende, omdat bestanden vaak nog te herstellen zijn.

Encryptie speelt hier eveneens een rol. Zou de data op de harde schijven sterk versleuteld zijn geweest, dan was de kans klein dat een willekeurige koper de informatie zou kunnen inzien. Natuurlijk hoort encryptie niet de enige maatregel te zijn; ook versleutelde harde schijven moeten uiteindelijk goed gewist of vernietigd worden. Toch zou encryptie in veel gevallen de impact van een lek kunnen beperken, omdat de data zonder de juiste sleutel vrijwel onleesbaar zijn.

Risico’s achter het lek

Een datalek in de zorg weegt extra zwaar, omdat medische informatie tot de meest gevoelige categorie persoonsgegevens behoort. De toegang tot burgerservicenummers, adresgegevens en details over iemands medische geschiedenis kan namelijk leiden tot verregaand misbruik door criminelen. Dit varieert van identiteitsdiefstal tot het afsluiten van leningen op andermans naam. Patiënten hebben recht op privacy en discretie rond hun gezondheid. Als die vertrouwelijkheid wordt geschonden, zijn de gevolgen meer dan puur financieel.

Slachtoffers kunnen dus te maken krijgen met chantage of discriminatie wanneer medische details openbaar worden, maar ook identiteitsfraude ligt op de loer. Zodra criminelen persoonlijke gegevens zoals een BSN of geboortedatum bemachtigen, kunnen ze die combineren met andere gestolen informatie en zich voordoen als hun slachtoffer. Zo is het mogelijk om namens iemand anders aankopen te doen, creditcards te bemachtigen en zelfs verzekerings- of leningfraude te plegen.

Bij datalekken zoals deze ontstaat ook het risico op doelgerichte phishing. Een crimineel beschikt dan al over bepaalde persoonsgegevens en kan daardoor veel geloofwaardiger overkomen. Hij of zij stuurt iemand bijvoorbeeld een e-mail of sms die lijkt te komen van een betrouwbare instantie, met verwijzing naar bepaalde medische behandelingen. Het slachtoffer ziet eigen gegevens bevestigd worden en denkt: “Dit moet echt zijn.” Vervolgens wordt geklikt op een link of geeft het potentiële slachtoffer wachtwoorden en extra gegevens prijs. Dit soort doelgerichte oplichting is zeer lastig te herkennen en kan tot grote schade leiden.

Wat kun je zelf doen als je betrokken bent bij een datalek

Wanneer je vermoedt dat jouw informatie in de gelekte data zit, is het raadzaam om alert te blijven. Controleer regelmatig je bankrekeningen en creditcardafschriften op onbekende transacties. Als je wachtwoorden op meerdere plekken hetzelfde zijn, overweeg dan om die direct te wijzigen. Zelfs als niet expliciet blijkt dat jouw e-mailadres of BSN is uitgelekt, is het verstandig om strengere beveiligingsmaatregelen te treffen. De kans bestaat namelijk dat criminelen je gegevens combineren met informatie uit andere bronnen, waardoor later alsnog identiteitsfraude plaatsvindt.

Neem bij concrete aanwijzingen van misbruik contact op met je bank, verzekeraar, de Fraudehelpdesk en eventueel de politie. Wees terughoudend met het verstrekken van persoonsgegevens en leer phishingpogingen te herkennen. Technische hulpmiddelen als sterke wachtwoordmanagers en VPN’s kunnen je verdediging versterken.

Het is verstandig om te praten met je zorgverzekeraar of huisarts, zeker als je medische gegevens zijn buitgemaakt. Sommigen bieden ondersteuning of advies over hoe je fraude kunt detecteren en beperken. Je kunt ook een melding doen bij de Fraudehelpdesk of de politie, vooral wanneer je concrete aanwijzingen hebt dat jouw identiteit al misbruikt wordt. Houd je brievenbus en inbox extra goed in de gaten: ontvang je plots facturen, leningen of abonnementen die je nooit hebt aangevraagd, dan kan dat een teken zijn dat anderen zich voordoen als jou.

Zo kun je identiteitsdiefstal voorkomen

Identiteitsdiefstal is een van de grootste gevaren na een datalek. Om dit te voorkomen, is het cruciaal dat je zeer bewust omgaat met je persoonsgegevens. Deel zo min mogelijk details op sociale media, zeker geen adres of geboortedatum. Wanneer je documenten opstuurt naar instanties, zorg dan dat je het BSN onleesbaar maakt als het niet strikt noodzakelijk is. Overweeg ook het gebruik van sterke, unieke wachtwoorden voor al je online accounts. Tweestapsverificatie (een combinatie van wachtwoord en extra code, bijvoorbeeld via sms of een authenticator-app) maakt het moeilijker voor hackers om binnen te dringen, zelfs als een wachtwoord toch ergens uitlekt.

Wees daarnaast zeer voorzichtig met verdachte telefoontjes, sms’jes en e-mails waarin je gevraagd wordt om gevoelige informatie. Oplichters spelen vaak in op de actualiteit en kunnen de informatie uit het gelekte bestand gebruiken om geloofwaardig over te komen. Als een bericht of telefoontje op het eerste gezicht betrouwbaar lijkt maar je gevoel zegt dat er iets niet klopt, neem dan contact op met de officiële klantenservice van de vermeende afzender. Zo kun je nagaan of het verzoek echt is.

Een Virtual Private Network (VPN) kan voor particulieren en organisaties een extra beveiligingslaag bieden. Het versleutelt de internetverbinding en verbergt het IP-adres, wat nuttig is als iemand hackers of pottenkijkers wilt ontmoedigen. Hoewel een VPN dit specifieke lek niet ongedaan kan maken (de medische gegevens zijn immers al op de schijven terechtgekomen) kan het wel helpen voorkomen dat criminelen nog meer informatie over iemands digitale identiteit verzamelen. Een VPN maakt het lastiger om iemand te volgen of communicatie af te luisteren, zeker wanneer gebruik wordt gemaakt van openbare wifi-netwerken. In combinatie met bewust online gedrag kan een VPN als waardevol hulpmiddel ingezet worden.

Wat we van het datalekincident kunnen leren

Uiteindelijk moet een incident als dit organisaties aansporen om zorgvuldiger om te gaan met gevoelige informatie. Het naleven van de AVG, het inzetten op encryptie en het strikt handhaven van procedures rondom datavernietiging kunnen nieuwe lekken voorkomen. Medische gegevens zijn immers het laatste waarvan je wilt dat ze op straat belanden. Zorginstellingen, ICT-partners en faillissementscuratoren dragen hierin een gezamenlijke verantwoordelijkheid.

Voor patiënten en burgers blijft de les dat oplettendheid en goede digitale hygiëne essentieel zijn om persoonlijke gegevens te beschermen. Het is een goed idee om bewust(er) om te gaan met oude telefoons, computers en externe schijven. Wanneer je een apparaat verkoopt of weggooit, wis dan de data op een professionele manier. In sommige gevallen is fysieke vernietiging van de schijf de beste oplossing, bijvoorbeeld als je zeker weet dat er zeer gevoelige informatie op staat. Het lijkt misschien overdreven, maar zoals dit voorbeeld aantoont, kan een klein beetje nalatigheid leiden tot grote potentiële risico’s voor anderen.

Dat harde schijven met medische gegevens voor slechts vijf euro op een rommelmarkt te koop lagen, laat zien dat er nog altijd grote gaten zitten in de wijze waarop organisaties data beheren en vernietigen. Hoewel de directe oorzaak ligt bij een gebrekkige afvoer van oude ICT-apparatuur, is dit ook een wake-up call voor iedereen die persoonlijke data toevertrouwt aan derden. Je hoopt dat jouw privacy altijd in veilige handen is, maar de praktijk wijst uit dat je als individu of patiënt beter zelf ook alert kunt blijven. Een goede stap in de juiste richting van online bescherming door een premium VPN te nemen, waarmee je je gegevens op al je apparaten kunt beveiligen en anoniemer online gaat.