Inspectie: lab onderzoek baarmoederhalskanker was niet goed genoeg beveiligd

Het laboratorium dat tests uitvoert voor het bevolkingsonderzoek baarmoederhalskanker voldeed ten tijde van de hack vorig jaar niet aan de wettelijke norm voor informatiebeveiliging. Dat concludeert de Inspectie Gezondheidszorg en Jeugd na onderzoek.

Laboratorium Clinical Diagnostics werd vorig jaar juli gehackt. Hierbij werden op grote schaal gevoelige gegevens gestolen, vooral van vrouwen die hadden meegedaan aan het bevolkingsonderzoek baarmoederhalskanker. In totaal ging het om de gegevens van 850.000 mensen.

De inspectie onderzocht of het laboratorium zich hield aan de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Uit het onderzoek blijkt dat het laboratorium zich ten tijde van de hack, maar ook bij een inspectiebezoek afgelopen december, niet hield aan de afspraken over informatiebeveiliging.

Zo was er geen onafhankelijk onderzoek uitgevoerd naar de informatiebeveiliging. Ook bracht het bedrijf niet regelmatig in kaart welke risico’s verbonden waren aan het verwerken van gegevens, wat wettelijk verplicht is. Als het bedrijf zich wel aan de wet had gehouden, was de kans op een hack kleiner geweest, stelt de inspectie.

Clinical Diagnostics heeft de opdracht gekregen om op korte termijn wel de afspraken na te komen, en dat aan te tonen. De inspectie kan naar eigen zeggen geen sancties opleggen, als dat niet gebeurt.

Inmiddels is er een extern onderzoek uitgevoerd, heeft het laboratorium aan de inspectie laten weten. De uitkomst hiervan zou positief zijn.

Ondertussen doet ook de Autoriteit Persoonsgegevens onderzoek bij Clinical Diagnostics. De autoriteit kijkt of het bedrijf zich hield aan de Algemene Verordening Gegevensbescherming (AVG). Als dat niet zo is, zijn er wel sancties mogelijk.

De politie en het Openbaar Ministerie zijn ook een onderzoek begonnen. Begin dit jaar werd duidelijk dat 118 mensen aangifte hadden gedaan. Het is volgens het OM ingewikkeld om een verdachte aan te wijzen. “Sporen zijn complex en kunnen daadwerkelijk van over de hele wereld komen.” Bekend is wel dat de actie kwam van hackersgroep Nova.