Let extra op bij elke app en mail die je krijgt: dit moet je doen als je gegevens zijn gelekt
De gegevens van honderdduizenden Nederlanders zijn gestolen bij een hack van het laboratorium Clinical Diagnostics. Het gaat om data als namen, adressen, burgerservicenummers (bsn's) en medische testuitslagen. Wat moet je doen als je gegevens zijn gelekt? We leggen het je uit.
1. Hoe erg is het dat mijn gegevens zijn gelekt door een hack?
Dat je privégegevens zoals je naam, woonadres en geboortedatum zijn gelekt, is vervelend, maar dat komt vaker voor. De hack bij Clinical Diagnostics is bijzonder omdat niet alleen bsn's zijn gelekt, een zeer gevoelig bijzonder persoonsgegeven, maar ook medische informatie, zegt techjournalist van RTL Nieuws Daniël Verlaan.
"Medische informatie kan heel gevoelig zijn, zoals informatie over een penisonderzoek of uitslag van soa-test. Mensen kunnen daardoor af te persen zijn." Een bsn kan worden misbruikt om vertrouwen te winnen bij slachtoffers, want doorgaans verwacht je dat alleen betrouwbare instanties dat nummer in bezit hebben.
Wel goed om te weten: bij deze hack zijn geen kopieën van paspoorten of IBAN-nummers gelekt. Dat zijn gegevens waar criminelen ook heel veel narigheid mee kunnen uithalen.
Wat is er gebeurd?
Door de hack bij Clinical Diagnostics zijn de data van 850.000 patiënten buitgemaakt. Het gaat dan om hun naam, woonadres, burgerservicenummer en medische informatie, zoals uitslagen van het uitstrijkje of de zelftest.
Daarbij gaat het vooral om vrouwen die een onderzoek hebben laten doen naar baarmoederhalskanker met het bevolkingsonderzoek. Daarnaast treft het datalek ook mensen die via een privékliniek of huisarts een onderzoek hebben laten uitvoeren, bijvoorbeeld een onderzoek naar urine, huid of de penis. Op het dark web, het verborgen deel van het internet, werden de gegevens van 53.516 patiënten gedeeld - in totaal zo'n 100 megabyte, zo ontdekte RTL Nieuws. Daarin stonden ook de gegevens van een minister en Kamerlid.
Dat was volgens de criminelen van Nova maar een klein deel van de gestolen data: er zou 300 gigabyte, een veelvoud van het gepubliceerde deel, zijn buitgemaakt. De cybercriminelen dreigen nu ook het resterende deel te publiceren.
2. Ik heb een bericht gekregen dat mijn data zijn gelekt. Wat moet ik doen?
Hoe teleurstellend ook, het korte antwoord is: eigenlijk kun je niet zo veel doen. "Je kunt alleen alert zijn", zegt Verlaan. Dat betekent extra scherp zijn op phisingmails of onbekende nummers die je bellen. Maar ook opletten bij sms'jes of appjes. Vraag jezelf altijd af: kan ik dit wel vertrouwen?
"Doordat je gegevens zijn gelekt, kunnen ze worden misbruikt door cybercriminelen. Een phishingbericht zou ook uit naam van Bevolkingsonderzoek Nederland of een andere medische partij kunnen worden gestuurd. Ze hebben immers medische informatie én je bsn."
"Ook een persoon die bijvoorbeeld zogenaamd namens de Belastingdienst belt kan het juiste bsn noemen", zegt Verlaan. "In het algemeen raad ik aan om altijd zelf telefoonnummers van organisaties op te zoeken via Google en die zelf terug te bellen, of het nou om de bank, de overheid of welke andere partij dan ook gaat."
3. Kan je een nieuw burgerservicenummer krijgen als je bent gehackt?
Nee, dat is op dit moment niet mogelijk. Ook niet bij een datalek. Het bsn wordt door overheidsorganisaties gebruikt om hun taken uit te voeren, zoals de Belastingdienst, en andere belangrijke organisaties, zoals de zorg en banken.
"Het is erg lastig om identiteitsfraude met alleen een bsn uit te voeren", legt Verlaan uit. "Je kan niet bij de Belastingdienst inloggen met alleen een bsn van iemand anders. Maar wat wel kan en gebeurt, is dat het bsn misbruikt wordt in combinatie met andere gegevens om identiteitsfraude te plegen. Er zijn dus zeker wel vormen van fraude mogelijk met een bsn."
4. Mijn gegevens zijn gelekt, wat zijn mijn rechten?
Slachtoffers van een datalek, moeten wettelijk gezien zo snel mogelijk worden geïnformeerd door de organisatie waar de gegevens waren opgeslagen. Ook moet een lek binnen 72 uur zijn gemeld bij de Autoriteit Persoonsgegevens.
De gegevens van Clinical Diagnostics stonden al in juli op het dark web. Afgelopen week kwam het lek naar buiten via Bevolkingsonderzoek Nederland.
Volgens Tim Walree, universitair docent privaatrecht en technologie aan de Radboud Universiteit, informeren veel gehackte organisaties mensen pas zodra ze precies weten wat er is gelekt en van wie. "Ze willen mensen niet onnodig bang maken. Ook vrezen ze claims en media-aandacht."
5. Kan ik een claim indienen als mijn gegevens zijn gelekt?
De angst bij organisaties voor een claim is niet helemaal ongegrond, zegt Walree. Volgens hem is de kans 'vrij groot' dat belangenorganisaties een collectieve claim namens slachtoffers gaan indienen.
De Consumentenbond is een voorbeeld van zo'n partij. Zij zeggen tegen RTL Nieuws momenteel nog niet zo'n claim in voorbereiding te hebben. Ze kregen tot nu toe 'een handvol' vragen binnen over de hack.
De belangrijkste vragen bij een claim zijn of mensen op tijd zijn geïnformeerd over het lek, of er voldoende veiligheidsmaatregelen waren om een hack te voorkomen.
"Dat er sprake is van een datalek betekent niet per se dat er sprake is van onrechtmatig handelen of strijd met de wet", zegt Walree. "Het gaat hier om heel gevoelige data. Dus dan moet de beveiliging ook heel streng zijn. Het is interessant om te onderzoeken of dat hier het geval was."
Slachtoffers moeten altijd bewijs hebben dat ze schade ondervinden. "Als je slachtoffer bent van identiteitsfraude heb je dat al snel", zegt Walree. "Maar als je bijvoorbeeld veel angst hebt door deze hack, heb je daar bewijs van een huisarts of psycholoog voor nodig om in aanmerking te komen."
Door de hack van het laboratorium kwamen veel gevoelige medische gegevens in handen van cybercriminelen. In deze video legt RTL Nieuws-journalist Daniël Verlaan uit waarom cybercriminelen zich richten op zorgorganisaties:
