De recente ransomware-aanval op het Rijswijkse laboratorium Clinical Diagnostics, onderdeel van Eurofins, heeft de medische wereld op scherp gezet. De hackersgroep Nova heeft vertrouwelijke gegevens buitgemaakt van maar liefst 485.000 vrouwen die tussen 2022 en 2025 deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker. Daarbij gaat het niet alleen om namen, adressen en burgerservicenummers, maar ook om gevoelige medische uitslagen van uitstrijkjes en zelftesten.
De omvang van het datalek blijkt nog groter: volgens hackers omvat het gestolen bestand ongeveer 300 GB aan informatie, waarvan slechts zo’n 100 MB inmiddels publiek op het darkweb is verschenen.
Onder druk van deze situatie heeft het laboratorium vermoedelijk losgeld betaald, naar verluidt een bedrag in de miljoenen euro’s, om te voorkomen dat de rest van de data openbaar gemaakt zou worden. Er zou sprake zijn geweest van een schending van afspraken, mogelijk omdat de politie werd ingeschakeld, waardoor de dreiging opnieuw escaleerde.
De betaling lijkt op korte termijn effectief: na betaling verdwenen eerder gelekte bestanden van tienduizenden Nederlanders snel weer van het darkweb. Cybersecurity-experts merken echter op dat zulke betalingen niet altijd garantie bieden dat alle data verwijderd worden.
Toch kiezen organisaties er soms voor om te betalen, vooral wanneer het om extreem gevoelige informatie gaat, zoals medische gegevens. Hackers weten dat instellingen in de zorg liever betalen om hun reputatie en de privacy van betrokkenen te beschermen. Daarnaast hanteren zij vaak standaardformules, zoals 1 à 2 % van de jaaromzet of het vermogen, om de hoogte van losgeld te bepalen.
Waarom dit zo gevaarlijk is
- Voortbestaan van risico na betaling
Zelfs na betaling blijft het risico op publicatie bestaan. De betaling kan criminelen juist aanzetten tot het loslaten van meer voorwaarden of toekomstige eisen. - Impact op getroffenen
Betrokkenen kunnen vaak niet zelf zien of hun gegevens zijn misbruikt, en leven met een voortdurende angst voor identiteitsfraude, chantage of phishing met zeer geloofwaardige sociale manipulatie. - Schending van meldplicht (AVG/GDPR)
Volgens de privacywet moeten datalekken binnen 24 uur gemeld worden. In dit geval werd het lek pas na ongeveer een maand openbaar gemaakt, wat in strijd is met de regelgeving en slachtoffers extra risico’s oplevert. - Ouder patroon
Het is geen incident op zich: ook in 2019 betaalde Eurofins hackers losgeld om gestolen gegevens terug te krijgen.
Conclusie
Het betalen van losgeld lijkt op korte termijn effectief om verdere schade te beperken, maar:
- het biedt géén garantie dat alle gestolen data verwijderd worden,
- het legt organisaties financieel bloot en verhoogt de kans op herhaalde aanvallen,
- het creëert een precedent waarin criminelen zulke kwetsbare incidenten kunnen blijven uitbuiten.
Anderzijds is het begrijpelijk waarom een organisatie die met levensbelangrijke medische gegevens werkt, kiest voor deze noodgreep. Maar het onderstreept ook de dringende behoefte aan betere cybersecurity, strengere protocollen bij datalekken, en een grondige evaluatie van hoe we omgaan met ongekend gevoelige data.