De digitale transformatie maakt het voor zorgverleners wereldwijd mogelijk om efficiënter te werken en betere zorg te bieden. Toch brengt het digitaliseren van medische dossiers ook serieuze cyberrisico’s met zich mee. Zodra jouw gegevens worden opgeslagen op systemen die via het internet toegankelijk zijn, bestaat de kans dat ze per ongeluk uitlekken, in handen vallen van kwaadwillende personen of zelfs mensen van binnenuit. Mijn medische gegevens zijn gestolen. Wat nu?

Wat kan er fout gaan?

Medische gegevens bevatten zeer persoonlijke informatie, zoals je naam, adres, ziektegeschiedenis en verzekeringsgegevens. Daarom zijn ze extra beschermd volgens de privacywet (de AVG). Toch kan geen enkel bedrijf volledig garanderen dat je gegevens altijd veilig zijn. Daarom is het belangrijk dat je weet wat je moet doen als je gegevens zijn gelekt, zodat je de schade kunt beperken.

Opmerkelijke incidenten

In de eerste 10 maanden van 2023 werden in de VS de medische gegevens van meer dan 88 miljoen mensen gelekt, volgens de overheid. Dit aantal zal waarschijnlijk nog hoger zijn, als de organisaties die niet onder de privacywet voor patiënten, de HIPAA, vallen, zouden worden meegerekend. Hieronder zullen we nog twee voorbeelden van opmerkelijke incidenten van de afgelopen jaren uitlichten.

  • Change Healthcare werd in februari 2024 getroffen door een grote ransomware-aanval. Naast grote operationele verstoringen, beweerden de aanvallers ook 6 terabyte aan gegevens te hebben gestolen. Ondanks dat het bedrijf een losgeld van 22 miljoen dollar betaalde, probeerden de aanvallers later nogmaals geld af te persen door te dreigen de gegevens te verkopen.
  • Cerebral, een start-up die zich richt op geestelijke gezondheidszorg, lekte per ongeluk de gegevens van 3,1 miljoen mensen online. Dit gebeurde door een fout in hun marketingtechnologie, waardoor er gedurende drie jaar onbedoeld klant- en gebruikersgegevens werden gedeeld met “derde partij platforms” en “onderaannemers”.

Wat staat er op het spel?

Als je medische gegevens worden gestolen, kunnen de gevolgen ernstig zijn. Onder de medische gegevens die mogelijk in gevaar zijn, vallen:

  • Ziektekostenverzekeringsnummers of soortgelijke gegevens
  • Persoonlijk identificeerbare informatie (PII) inclusief burgerservicenummer (BSN), thuisadres en e-mailadres en geboortedatum
  • Wachtwoorden voor belangrijke medische, verzekerings- en financiële accounts
  • Je medische geschiedenis, inclusief behandelingen en voorgeschreven medicijnen
  • Betalingsgegevens zoals creditcard- of bankinformatie

Deze informatie kan door kwaadwillenden worden gebruikt om fraude te plegen, bijvoorbeeld door op jouw naam aankopen te doen, nieuwe leningen af te sluiten of je bankrekening leeg te halen. Ook kunnen ze medische zorg ontvangen op jouw naam of proberen je te chanteren met gevoelige medische informatie.

Wat moet je doen na een datalek?

Als je medische gegevens zijn gestolen, is het belangrijk om kalm te blijven en de volgende stappen te volgen:

  1. Controleer de melding
    Lees de melding, als je die je hebt ontvangen, zorgvuldig door. Let op tekenen van een mogelijke scam, zoals spelfouten, een vreemd afzenderadres, of verdachte links. Als iets niet klopt, kan het een nepbericht zijn.
  2. Achterhaal wat er precies is gebeurd
    Probeer te begrijpen welke informatie precies is gecompromitteerd. Ga ook na of het per ongeluk is gelekt, of criminelen toegang hebben gehad tot je gegevens. En welke informatie is in gevaar? Als je zorgverlener je deze informatie niet duidelijk heeft gegeven, neem dan contact met hen op om dit te verduidelijken.
  3. Houd je accounts in de gaten
    Controleer regelmatig je medische en financiële accounts op verdachte activiteiten. Let op rekeningen voor zorg die je niet hebt ontvangen of waarschuwingen dat je verzekeringslimiet is bereikt. Als financiële gegevens zijn gelekt, monitor dan ook je bankrekening en kaarttransacties.
  4. Meld verdachte activiteiten
    Als je verdachte activiteiten opmerkt, meld dit dan onmiddellijk bij de betrokken zorgverlener of organisatie. Denk er ook aan om je verzekeraar/zorgverlener op de hoogte te stellen.
  5. Bevries je krediet en kaarten
    Afhankelijk van welke persoonlijke informatie is gestolen, wil je misschien een kredietbevriezing activeren. Dit betekent dat kredietverstrekkers je kredietrapport niet kunnen inzien en dus geen nieuwe kredietrekening op je naam kunnen goedkeuren. Dit voorkomt dat kwaadwillenden schulden op je naam kunnen maken. Overweeg ook om je bankkaarten te bevriezen en/of nieuwe uit te laten geven. Dit kan vaak eenvoudig via je bankapp.
  6. Verander je wachtwoorden
    Als je inloggegevens zijn gecompromitteerd, verander dan direct je wachtwoorden. Dit kan voorkomen dat iemand anders toegang krijgt tot je accounts.
  7. Blijf alert
    Als oplichters je persoonlijke en medische informatie in handen krijgen, kunnen ze proberen deze te gebruiken in vervolg-phishingaanvallen. Deze kunnen via e-mail, sms of zelfs telefoongesprekken plaatsvinden. Het doel is om de gestolen informatie te gebruiken om echtheid toe te voegen aan verzoeken om meer persoonlijke informatie, zoals financiële gegevens. Blijf waakzaam. En als iemand je probeert af te persen door te dreigen gevoelige medische gegevens openbaar te maken, neem dan onmiddellijk contact op met de politie.
  8. Overweeg juridische stappen
    Als je gegevens zijn gelekt door nalatigheid van je zorgverlener, heb je mogelijk recht op een schadevergoeding. Een juridisch adviseur kan je helpen bepalen of je in aanmerking komt voor een individuele of groepsrechtszaak.

Wees voorbereid

Omdat medische dossiers op de zwarte markt wel twintig keer meer waard zijn dan creditcardgegevens, is het onwaarschijnlijk dat cybercriminelen hun aanvallen op zorginstellingen snel zullen staken. Het feit dat ze miljoenen aan losgeld kunnen eisen met ransomware maakt de gezondheidszorg extra aantrekkelijk voor aanvallen. Daarom is het essentieel dat je goed voorbereid bent op het ergste scenario. Zorg dat je precies weet welke stappen je moet ondernemen om de schade aan je mentale gezondheid, privacy en financiën zo veel mogelijk te beperken.