In een recente cyberaanval op MediCheck, een bedrijf dat controleartsen inzet om de gezondheid van werknemers te evalueren, zijn meer dan 50.000 gevoelige medische documenten van Belgische patiënten gelekt op het darkweb. Dit incident heeft grote gevolgen voor de getroffen individuen en roept vragen op over de verantwoordelijkheid van MediCheck en de risico’s die dergelijke datalekken met zich meebrengen. In dit artikel bespreken we de gebeurtenissen rondom deze hack, de mogelijke aansprakelijkheid van het bedrijf, de impact op de slachtoffers, en welke stappen patiënten kunnen nemen om zich te beschermen.
Het MediCheck-datalek – Wat is er gebeurd?
Begin oktober werden gevoelige medische gegevens van duizenden Belgische patiënten openbaar gemaakt op het darkweb door een hackerscollectief genaamd Killsec. Deze groep hackers wist via een ransomware-aanval toegang te krijgen tot de systemen van MediCheck, een bedrijf dat zieke werknemers controleert voor bedrijven als bpost, H&M en Lidl. MediCheck automatiseert het contact met patiënten en het verwerken van medische rapporten van controleartsen via een platform dat ontworpen is om HR-afdelingen te ontlasten.
De cybercriminelen wisten vertrouwelijke informatie te bemachtigen, waaronder namen, adressen, en medische verslagen van patiënten en controleartsen. Deze documenten bevatten gevoelige gegevens zoals symptomen (bijvoorbeeld spierpijn en duizeligheid) en voorgeschreven medicatie. Aanvankelijk probeerde Killsec de data te gijzelen in ruil voor losgeld, maar toen de onderhandelingen met MediCheck mislukten, publiceerden ze de gegevens op het darkweb, waar ze voor iedereen toegankelijk werden.
Dit incident is verontrustend omdat het niet alleen gaat om identiteitsgegevens, maar ook om zeer persoonlijke en medische informatie, wat de impact voor de betrokkenen nog groter maakt.
Verantwoordelijkheid en beveiligingsfouten – Is MediCheck verwijtbaar?
Een belangrijke vraag die in dit soort situaties naar voren komt, is of het getroffen bedrijf, in dit geval MediCheck, verwijtbaar is. MediCheck stelt dat ze passende beveiligingsmaatregelen hadden getroffen, maar heeft tegelijkertijd toegegeven dat er "veel geleerd is" van deze aanval en dat ze nu hun beveiligingsprotocollen aanscherpen. Ze hebben al aangekondigd dat er voortaan elk kwartaal een security-audit zal plaatsvinden en dat ze intensiever samenwerken met het Centrum voor Cybersecurity België.
Dit roept echter de vraag op of de eerdere beveiligingsmaatregelen van MediCheck wel afdoende waren. In veel gevallen blijken bedrijven slachtoffer te worden van aanvallen doordat hun systemen verouderd of slecht beveiligd zijn. Dit kan te maken hebben met onvoldoende gebruik van encryptie, het ontbreken van tweefactorauthenticatie, of het niet tijdig updaten van software. Hoewel MediCheck niet expliciet in de fout lijkt te zijn gegaan, toont deze hack wel aan hoe belangrijk het is om voortdurend te investeren in cybersecurity, zeker wanneer je werkt met zulke gevoelige informatie.
In hoeverre MediCheck juridisch aansprakelijk is, zal waarschijnlijk afhangen van de mate waarin ze hun plichten op het gebied van gegevensbescherming hebben nageleefd. In België is er strenge wetgeving rondom de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming (AVG), en als blijkt dat MediCheck hierin te kort is geschoten, kan dat juridische gevolgen hebben.
Gevolgen voor patiënten – Wat zijn de risico's?
Voor de betrokken patiënten kunnen de gevolgen van deze hack enorm zijn. Medische gegevens behoren tot de meest persoonlijke en vertrouwelijke informatie die iemand bezit. Wanneer deze informatie op het darkweb terechtkomt, kunnen de gevolgen vergaand zijn, waaronder:
-
Identiteitsdiefstal: Hackers kunnen de gelekte persoonlijke gegevens gebruiken om zich voor te doen als de patiënt in andere frauduleuze activiteiten, zoals het openen van rekeningen op hun naam of het plegen van andere vormen van financiële fraude.
-
Discriminatie of reputatieschade: Gevoelige medische informatie kan leiden tot discriminatie op de werkplek of in sociale situaties. Patiënten wiens ziekte of symptomen nu openbaar zijn, kunnen hierdoor getroffen worden.
-
Medische gevolgen: In sommige gevallen kan het lekken van medische gegevens zelfs gevolgen hebben voor de zorg die iemand krijgt. Als informatie over gebruikte medicijnen of eerdere diagnoses openbaar is, kunnen kwaadwillenden deze informatie misbruiken om op illegale wijze toegang te krijgen tot medicijnen of behandelingen.
-
Psychologische impact: Het idee dat je medische geschiedenis zomaar online staat voor iedereen om in te zien, kan psychologisch zeer belastend zijn. Slachtoffers kunnen gevoelens van onveiligheid en kwetsbaarheid ervaren, omdat ze geen controle hebben over hoe deze Hoe nu verder? Advies voor slachtoffers en preventie voor de toekomst
Nu de gegevens op het darkweb staan, is het voor patiënten belangrijk om te weten wat ze kunnen doen om zich te beschermen tegen verdere schade. Hier zijn enkele stappen die slachtoffers van het MediCheck-datalek zouden moeten overwegen:
-
Monitoren van verdachte activiteiten: Slachtoffers moeten nauwlettend hun bankafschriften en andere financiële activiteiten in de gaten houden om tekenen van identiteitsdiefstal te detecteren. Ook kunnen ze overwegen om een melding te maken bij hun bank of een fraudewaarschuwing te laten instellen bij kredietverstrekkers.
-
Waarschuwen van instanties: Het is belangrijk om melding te maken van het datalek bij de Gegevensbeschermingsautoriteit (GBA) en bij eventuele andere instanties die betrokken kunnen zijn, zoals de politie bij vermoedens van identiteitsdiefstal.
-
Beveiliging van accounts versterken: Slachtoffers moeten hun wachtwoorden voor online accounts die mogelijk gelinkt zijn aan de gelekte gegevens direct veranderen. Tweefactorauthenticatie instellen waar mogelijk is een extra beveiligingslaag die hen kan beschermen tegen ongeautoriseerde toegang.
-
Schade beperken: In sommige gevallen kan het nuttig zijn om juridische hulp in te schakelen om te bepalen of er schadevergoedingen mogelijk zijn of om verdere preventieve maatregelen te nemen, zoals het laten blokkeren van gelekte identiteitsgegevens.
Voor de toekomst is het van cruciaal belang dat bedrijven die gevoelige gegevens verwerken, zoals MediCheck, hun beveiligingsmaatregelen blijven aanscherpen en dat overheden strikte regels blijven handhaven om dergelijke incidenten te voorkomen. Regelmatige audits, zoals MediCheck nu van plan is te doen, kunnen helpen om kwetsbaarheden in systemen vroegtijdig op te sporen en te verhelpen voordat ze door cybercriminelen kunnen worden uitgebuit.
Begrippenlijst: Sleutelwoorden uitgelegd
- Ransomware: Schadelijke software die toegang tot computersystemen blokkeert of gegevens gijzelt totdat er losgeld wordt betaald aan de aanvaller.
- Darkweb: Het verborgen deel van het internet dat alleen toegankelijk is met speciale software en vaak wordt gebruikt voor illegale activiteiten, zoals de verkoop van gestolen gegevens.
- Identiteitsdiefstal: Het gebruik van iemands persoonlijke informatie om zich voor te doen als die persoon, vaak met het doel om frauduleuze handelingen te verrichten, zoals het openen van bankrekeningen of het aanvragen van leningen.
- Tweefactorauthenticatie (2FA): Een extra beveiligingslaag waarbij naast een wachtwoord een tweede verificatiemethode vereist is, zoals een sms-code of vingerafdruk.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.