Bevolkingsonderzoek Nederland heeft tientallen telefoontjes binnengekregen van vrouwen wier gegevens zijn buitgemaakt via laboratorium Clinical Diagnostics. Gedupeerden zijn vooral ongerust over hoe de gestolen data gebruikt gaan worden.
Voor vrouwen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker wordt deze dagen duidelijk of hun gegevens zijn gehackt. Ruim 405.000 deelnemers krijgen vandaag of morgen een brief op de mat.
Van 80.000 gedupeerden van de hack wordt nog onderzocht of zij tot de groep behoren die deelnam aan het bevolkingsonderzoek of tot de overige slachtoffers, die via hun huisarts of ziekenhuis een lichamelijk onderzoek deden.
'Echt kwalijk'
Tamara Hiddes kreeg vorig jaar voor het eerst een uitnodiging om mee te doen aan het bevolkingsonderzoek en liet een uitstrijkje maken. "Daarom vroeg ik me al af of mijn gegevens erbij zaten", zegt ze tegen de NOS.
Vandaag bleek dat ze een van de honderdduizenden vrouwen is die slachtoffer zijn geworden van het datalek. "Echt kwalijk", vindt ze. "Het zijn onze belangrijkste persoonsgegevens. Ze hebben mijn naam, geboortedatum, testuitslagen, zelfs mijn bsn-nummer. En je weet niet wat ze ermee gaan doen."
Ondanks de tientallen telefoontjes van bezorgde vrouwen is de klantenservice van Bevolkingsonderzoek Nederland niet platgebeld, zegt een woordvoerder. "Het gaat om zo'n 6 tot 7 procent van het totale aantal telefoontjes dat vandaag binnenkwam."
"Mensen zijn uiteraard erg geschrokken en willen vooral hun verhaal en gevoelens delen", zegt ze. "Ook vragen ze om advies waar nu op te letten: hoe een verdacht mailtje of telefoontje te herkennen?" Daarvoor verwijzen de helpdeskmedewerkers naar informatie van de overheid.
Podcast De Dag
De hackers eisen losgeld. Pim Takkenberg van beveiligingsbedrijf Northwave staat bedrijven die gehackt zijn bij. In podcast De Dag legt hij uit hoe zulke onderhandelingen gaan en vertelt hij wat er in het geval van de hack bij Clinical Diagnostics op het darkweb nu gebeurt. Beluister de podcast hier.
Ook Tamara Hiddes is bang dat nepberichten van criminelen met die gegevens niet meer van echt te onderscheiden zijn. "Ik krijg al wel eens een berichtje dat er een pakketje klaarligt of dat er een schuld openstaat, terwijl ik helemaal geen schulden heb. Dan blokkeer je het nummer en dan is het klaar, maar met deze gegevens kan dat niet."
Een ander slachtoffer met wie de NOS sprak wil liever anoniem blijven. De vrouw is "furieus" over de brief, vertelt ze aan de telefoon. "Ik ben juist heel voorzichtig met wachtwoorden, die sla ik op in een boekje dat ik goed heb verstopt." De vrouw vindt het verschrikkelijk dat haar gegevens zijn buitgemaakt en is kwaad over de inhoud van de brief. "Mijn bloed ging borrelen."
"Het zijn mijn gegevens. Het is net alsof je inbrekers de sleutel geeft en zegt: haal maar leeg", vertelt ze emotioneel. Het liefst zou ze zich met andere vrouwen willen verenigen, bijvoorbeeld om een schadevergoeding te eisen. "Ik ben ook echt boos. In eerste instantie op de criminelen, maar ook op het bevolkingsonderzoek, dat ze de boel niet hebben dichtgetimmerd."
Nieuw dreigement hackers
De hackersgroep Nova dreigt in een nieuw bericht met nieuwe aanvallen op Clinical Diagnostics, het laboratorium waar bij een hack medische gegevens van honderdduizenden mensen zijn gestolen. In het bericht herhaalt Nova het dreigement om de gestolen gegevens te publiceren.
Clinical Diagnostics houdt er nu rekening mee dat de hackers daadwerkelijk daartoe overgaan. Tot nu toe ging het bedrijf ervan uit dat de medische gegevens niet online zouden worden gezet.
De organisatie schrijft ook waarom Clinical Diagnostics nu meer geld moet betalen. Het eerder afgesproken bedrag is te laag omdat er op dat moment "geen signalen waren van bemoeienis van de politie", staat in het nieuwe bericht op het darkweb.
Advocaat Sven van Dooren, gespecialiseerd in privacyrecht en technologie, heeft vandaag al drie gedupeerden aan de telefoon gehad. "Ze maken zich zorgen over wat er met hun gegevens gebeurt en wilden weten wat te doen en wat hun rechten zijn."
Volgens hem is het nu nog te vroeg om te kunnen zeggen of een schadevergoeding kan worden geëist. "Eerst moet uitgezocht worden of de privacywet, de AVG, is overtreden en welke schade betrokkenen hebben geleden." Pas dan kan volgens hem worden beoordeeld of er recht bestaat op compensatie. De Autoriteit Persoonsgegevens doet hier onderzoek naar.
In deze special zie je wat criminelen met gestolen data kunnen: