info@route443.eu

+31 (0)85 303 46 43

CONTACT

De illusie van controle over onze medische gegevens

Recente gebeurtenissen tonen aan hoe kwetsbaar onze medische gegevens zijn voor datalekken. In augustus 2025 bleek bijvoorbeeld dat bij een hack van medisch laboratorium Clinical Diagnostics persoonlijke data van naar schatting 485.000 vrouwen was gestolen. Alsof dat nog niet erg genoeg was, kwamen ook patiëntgegevens van ziekenhuizen en huisartsen in handen van criminelen, inclusief zeer gevoelige laboratoriumtest-resultaten. Een deel van deze informatie dook zelfs op het dark web op (een moeilijk toegankelijke uithoek van het internet) waarmee de gegevens feitelijk oncontroleerbaar zijn geworden.

Datalek bevolkingsonderzoek baarmoederhalskanker

 

Al snel werd duidelijk dat de omvang van dit datalek veel groter was dan aanvankelijk gemeld. Van honderden patiënten stonden de gegevens letterlijk online. Hoewel de hackers de link naar die data later weer offline haalden, is het onzeker of de gestolen informatie inmiddels niet allang verder is verspreid. Met andere woorden: zodra data op straat ligt, krijg je het nooit meer volledig terug onder controle.

 

Verspreid over talloze plekken in de zorg

Dit incident staat niet op zichzelf. We leven in een wereld waarin onze persoonlijke gegevens op veel plekken zijn opgeslagen. Denk maar eens na hoeveel verschillende zorgverleners in de loop van je leven dossiers over je bijhouden:

  • Huisarts: jouw medische voorgeschiedenis, klachten en verwijzingen.
  • Ziekenhuis/Specialisten: verslagen van onderzoeken, diagnoses en behandelingen.
  • Verloskundige: informatie over zwangerschappen, echo’s en bevallingen.
  • Tandarts: gegevens over gebitscontroles, foto’s en ingrepen.
  • Apotheek: een volledig overzicht van alle medicijnen die je gebruikt hebt.
  • Therapeut (psycholoog, fysiotherapeut e.a.): behandelplannen en sessieverslagen.
  • Zorgverzekeraar: declaraties van zorgkosten, waarmee indirect zichtbaar is welke zorg je hebt ontvangen.

Onze medische gegevens zijn dus verspreid over talloze databases en archieven. Die verspreiding heeft voordelen, zorgverleners kunnen zo samenwerken en je beter helpen. Maar elke schakel is ook een potentiële zwakke plek. Hoe weet je zeker dat ál die partijen even veilig omgaan met jouw data? Het eerlijke antwoord is: dat weet je niet. Je vertrouwt erop. En juist dat vertrouwen kan een harde klap krijgen wanneer ergens in de keten iets misgaat.

 

Van uitzonderingen naar alledaagse risico’s

De harde realiteit is dat grote datalekken in de zorg niet langer uitzonderlijk zijn, maar een alledaags risico. Nog vóór het recente lab-incident zagen we een reeks andere voorbeelden in Nederland. In coronatijd raakte door een groot lek bij de GGD de privé-informatie van miljoenen Nederlanders op straat. Namen, adressen, Burgerservicenummers en andere persoonlijke details werden zelfs op illegale marktplaatsen te koop aangeboden. Uiteindelijk werd bevestigd dat gegevens van duizenden mensen daadwerkelijk waren gestolen en verhandeld, maar de vrees bij miljoenen anderen bleef: ligt mijn informatie ook in verkeerde handen?

Het is geen toeval dat juist de zorgsector kwetsbaar is. Uit cijfers van de Autoriteit Persoonsgegevens blijkt dat de gezondheidszorg steevast in de top staat qua datalek-meldingen. Bovendien komen hacking- en phishingincidenten relatief vaak in de zorg voor. We hebben hier immers te maken met data die goud waard is voor kwaadwillenden, en met een ICT-omgeving waarin veel mensen toegang moeten hebben tot gevoelige informatie om hun werk te kunnen doen. Dat is een gevaarlijke combinatie: één fout mailtje openen of één gestolen wachtwoord kan al voldoende zijn om een heel patiëntenbestand te kapen.

Zo’n datalek is niet alleen een technisch probleem, het is ook een persoonlijke nachtmerrie. Gestolen medische data heeft concrete gevolgen: criminelen kunnen die informatie gebruiken om identiteitsfraude te plegen of om uiterst gerichte phishing-aanvallen op te zetten. Hoe gevoeliger en persoonlijker de gegevens, hoe geloofwaardiger een phishingmail kan lijken, en hoe groter de kans dat iemand erin trapt. Daarnaast worden gestolen gegevens ingezet voor afpersing: hackers houden een organisatie onder druk om losgeld te betalen, met de dreiging dat anders alle patiëntendossiers openbaar worden gemaakt. In zo’n scenario worden onze intiemste gezondheidsgegevens een speelbal in de onderhandelingen tussen criminelen en een ziekenhuis of lab.

Maar buiten deze directe gevaren is er ook immateriële schade. Het idee dat jouw meest persoonlijke informatie ineens op straat ligt, is ontzettend beangstigend. Zo’n privacyschending voelt als een inbreuk op je waardigheid. Patiënten moeten erop kunnen vertrouwen dat hun geheimen veilig zijn bij een arts, tandarts of lab. Als dat vertrouwen wordt geschonden, raakt dat aan iets fundamenteels in de relatie tussen zorgverlener en patiënt. Het kan ervoor zorgen dat mensen gaan twijfelen of ze nog wel open durven zijn bij hun dokter, of misschien zelfs afzien van belangrijk onderzoek uit angst voor digitale gevolgen.

 

Praten, regelen, maar weinig voorkomen

Er wordt in Nederland veel gesproken en geregeld over datalekken. Organisaties krijgen te horen: “U moet een datalek melden”, “U heeft een Privacyofficer nodig”, “Als dit gebeurt dan moet U…”. Maar opvallend genoeg is er géén centraal meldpunt waar je kunt aangeven dat een organisatie overduidelijk een veel te zwakke beveiliging heeft, nog voordat er daadwerkelijk een datalek plaatsvindt.

Want denk er eens over na: wie wordt er eigenlijk écht geraakt door een datalek of cyberaanval? Meestal is het niet de verantwoordelijke zelf. De pijn wordt gedragen door de mensen van wie de gegevens op straat liggen, namelijk, de patiënten, klanten of burgers. Terwijl de organisatie misschien vooral last heeft van reputatieschade of een boete.

Een centraal meldpunt voor zwakke beveiliging zou een verschil kunnen maken. Het zou burgers en bedrijven de mogelijkheid geven om vooraf alarm te slaan, zodat er ingegrepen kan worden vóórdat er onherstelbare schade ontstaat.

 

Een voorbeeld uit de praktijk

Onlangs zat ik in de wachtkamer bij mijn tandarts, verbonden met het gastennetwerk. Als Cybersecurity professional was ik nieuwsgierig hoe veilig dat netwerk eigenlijk was. Tot mijn verbazing ontdekte ik dat ik vanaf dat gastennetwerk direct toegang had tot een server genaamd “EPD-Server” – het elektronisch patiëntendossier van de praktijk. Zonder ook maar een ingewikkelde hack uit te voeren, was ik binnen een paar klikken (ok, en met een paar van mijn security tools) midden in een systeem dat strikt vertrouwelijk had moeten zijn.

De oorzaak bleek een hopeloos verouderd besturingssysteem, met bekende kwetsbaarheden waarvoor allang oplossingen beschikbaar waren. Het voelde alsof ik een kantoor binnenliep waarvan de kluisdeur wagenwijd openstond: kinderlijk eenvoudig, maar o zo verontrustend.

Toen ik dit meldde, reageerde de praktijk aanvankelijk verbaasd: “Dat kan niet, ik heb daar iemand voor die dat allemaal regelt.” Maar toen ik het liet zien, sloeg de schrik toe en is het probleem daarna ook snel opgelost.

Dit voorval is geen incident, maar een symptoom van een bredere cultuur van gemakzucht rond IT-beveiliging in de zorg en andere sectoren. Zolang systemen “het gewoon doen”, wordt er zelden kritisch gekeken naar updates of structurele risico’s. En dat terwijl de gegevens die in zulke systemen staan behoren tot de meest gevoelige die er zijn.

 

Vertrouwen versus controle

Moeten we dan maar weigeren om onze gegevens te delen en ons afsluiten van moderne zorg? Dat is geen reële optie. Zonder het delen van data is er geen goede medische hulp. We moeten dus vertrouwen op de beveiliging en integriteit bij al die partijen die onze gegevens verwerken. Maar dat vertrouwen mag geen blind geloof zijn.

We bevinden ons in een spanningsveld tussen vertrouwen en controle. Aan de ene kant kunnen we niet alles zelf controleren; we geven dus onvermijdelijk een stukje macht uit handen. Aan de andere kant moeten we eisen dat organisaties alles doen om die verantwoordelijkheid waar te maken, en dat we als burgers ook middelen hebben om in te grijpen als dat vertrouwen onterecht blijkt.

Controle over eenmaal gelekte data terugkrijgen is zo goed als onmogelijk. De digitale tandpasta krijg je dan ook niet terug in de tube. De echte controle moet dus ervoor plaatsvinden: in preventie, beveiliging en bewustzijn.

 

Een onzekere balans

Volledige controle over onze medische gegevens is een illusie. Maar dat betekent niet dat we machteloos zijn. Misschien is het tijd voor een cultuur waarin we niet alleen reageren op datalekken, maar actief ingrijpen bij zwakke plekken. Waarbij niet alleen de gevolgen worden gemeld, maar ook de oorzaken.

Want pas als we die omslag maken, kunnen we zeggen dat vertrouwen in onze zorginstellingen meer is dan een mooi idee – het wordt dan een verantwoordelijkheid die elke dag opnieuw wordt waargemaakt. En wie weet komt er ooit dat centrale meldpunt 😉

 

Autheur: Edwin van den Broek

Route443 services

DIGITAL DEFENSE REVIEW

In een tijd waarin digitale bedreigingen voortdurend evolueren, is het essentieel om uw digitale landschap grondig te begrijpen en te beveiligen. Een Digital Defense Review is hierbij een onmisbaar instrument. Als uw toegewijde cybersecurity-dienstverlener willen we benadrukken waarom een Digital Defense Review van cruciaal belang is en hoe het aanzienlijke waarde toevoegt voor u, onze klant.

CYBER Projecten

In de wereld van cybersecurity is implementatie van strategieën en adviezen van cruciaal belang. Onze Projectenafdeling vormt de ruggengraat van deze uitvoering, in nauwe samenwerking met onze Strategieafdeling.

SOC++

Bij Route443 begrijpen we dat effectieve cybersecurity verder gaat dan detectie en reactie. Onze SOC++ dienst biedt een uitgebreide, proactieve benadering die verder kijkt dan de traditionele Security Operations Centers (SOC). Een van onze belangrijkste specialisaties is identiteitsbeveiliging, omdat we weten dat 90% van de cyberaanvallen begint met het compromitteren van een identiteit.

Cyber CONSULTANCY

Onze Consultancy Afdeling is de plek waar de best opgeleide security specialisten op alle niveaus en kennisgebieden samenkomen om onze klanten te ondersteunen, te adviseren en bij te staan bij interne security projecten.

CYBER STRATEGIE

In de snel evoluerende wereld van cybersecurity speelt de strategieafdeling van Route443 een cruciale rol. Deze afdeling fungeert als het kloppende hart dat continu de vinger aan de pols houdt bij de nieuwste ontwikkelingen in de cyberwereld.

CISO AS A SERVICE

In het huidige digitale landschap is cybersecurity een absolute prioriteit. Maar niet elke organisatie heeft de middelen om een fulltime Chief Information Security Officer (CISO) in dienst te nemen. Dit is waar CISO as a Service om de hoek komt kijken.

CYBER EXPERIENCE CENTER

In een wereld waarin digitale dreigingen steeds geavanceerder worden, is het essentieel dat organisaties niet alleen investeren in technologie, maar ook in de bewustwording en ontwikkeling van hun medewerkers. Route443 speelt hierop in met de ontwikkeling van een Cyber Experience Center, een innovatieve hub waar cybersecurity-expertise, onderzoek en educatie samenkomen.

Cyber Academy

In de snel veranderende wereld van cybersecurity is het essentieel dat professionals beschikken over actuele kennis en vaardigheden. De Route443 Academy biedt een innovatieve aanpak voor het opleiden van medewerkers, waarbij leren en werken hand in hand gaan.