De Inspectie Gezondheidszorg en Jeugd onderzoekt de informatiebeveiliging van laboratorium Clinical Diagnostics na een cyberaanval waarbij gegevens van honderdduizenden vrouwen werden gestolen. Het onderzoek richt zich op naleving van securitynormen in de zorgsector.
Naast het specifieke onderzoek naar Clinical Diagnostics plant de IGJ extra aandacht voor informatiebeveiliging bij alle laboratoria. De securitylekken bij dit laboratorium maken risico’s zichtbaar die mogelijk breder spelen in de sector.
Het Rijswijkse laboratorium verwerkte uitstrijkjes en zelftesten van deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker. Hackers kregen toegang tot de systemen en stalen gegevens van 485.000 vrouwen. Het datalek werd pas een maand na ontdekking gemeld aan betrokken partijen, wat tot scherpe kritiek leidde.
Samenwerking met privacytoezichthouder
De IGJ stemt het onderzoek af met de Autoriteit Persoonsgegevens, die al een apart onderzoek voert onder de GDPR. Beide toezichthouders bekijken verschillende aspecten van het cyberincident dat Clinical Diagnostics trof. De impact reikt verder dan alleen gestolen data – het incident ondermijnt het vertrouwen in de zorgsector.
Clinical Diagnostics betaalde naar verluidt losgeld aan de hackersgroep, maar dit voorkomt niet dat de zaak grondig wordt onderzocht. Ruim 405.000 deelneemsters ontvingen inmiddels een brief over het datalek met waarschuwingen voor mogelijk misbruik van hun gegevens.
Verschil tussen GDPR en NEN 7510
Zorgaanbieders die data verwerken in zorginformatiesystemen moeten kunnen aantonen dat ze werken volgens de NEN 7510-norm. Deze richtlijn stelt eisen aan informatiebeveiliging in de zorg. Organisaties moeten risico’s in kaart brengen en passende maatregelen treffen, zowel organisatorisch als technisch.
De GDPR richt zich op het algemene omgaan met persoonsgegevens, terwijl de NEN 7510 specifieke beveiligingseisen stelt voor zorginformatiesystemen. Beide regelingen vullen elkaar aan bij het beschermen van patiëntgegevens.
De IGJ houdt toezicht op naleving van de NEN 7510-norm binnen de zorgsector. Dit omvat het beoordelen of zorgorganisaties adequate beveiligingsmaatregelen hebben ingericht. Het onderzoek moet duidelijkheid scheppen over hoe het cyberincident kon plaatsvinden en welke verbeteringen nodig zijn.