Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen

De criminelen achter de hack op Clinical Diagnostics beloven geen verdere gestolen gegevens te publiceren. Nova, de groep die verantwoordelijk is voor de hack van het laboratorium, zegt dat alle gestolen data is verwijderd. Eerder deze week dreigde de groep nog om de data te publiceren.

“Ik wil patiënten geruststellen dat hun gegevens zijn verwijderd door de eerste deal”, schrijft Nova in een update op zijn darknetwebsite. Nova claimt dat de rest van de gegevens inmiddels is verwijderd en heeft het lek afgesloten op zijn website, blijkt op Ransomware.live.

Volgens de hackersgroep is een deel van de gestolen gegevens eerder online gezet als onderdeel van een sample, die inmiddels is verwijderd. In die sample stonden gegevens van 53.516 slachtoffers. RTL Nieuws heeft bevestigd dat die eerder gedeelde gegevens nu zijn verwijderd van de Nova-website, hoewel ze eerder dus wel rondgingen op het darkweb.

Nova dreigde eerder deze week nog de gestolen gegevens te publiceren, omdat Clinical Diagnostics volgens hen ‘de deal’ had gebroken, zonder daar verder op in te gaan. Eerder deze maand bleek dat het laboratorium losgeld heeft betaald aan Nova, zo bevestigde de hackersgroepering destijds tegenover RTL, hoewel onduidelijk was om welk bedrag dat ging. Het is ook niet duidelijk of het bedrijf nu opnieuw losgeld heeft betaald om de gegevens te laten verwijderen.

Opvallend genoeg schreef de hackersgroep in eerste instantie het besluit te hebben genomen 'uit sympathie voor de patiënten' en 'na overleg met leden', vermoedelijk doelend op andere cybercriminelen die gebruikmaken van Nova's ransomware. Dat meldt de NOS. Die zin werd na enkele minuten verwijderd uit de blogpost van Nova, maar het is niet geheel duidelijk waarom.

Mogelijk klaagden afnemers van de ransomware over de handelswijze van Nova, waarbij na een betaling alsnog werd gedreigd met publicatie van gestolen data, zegt een expert van cybersecuritybedrijf Northwave tegenover de NOS. Als slachtoffers er niet op kunnen vertrouwen dat hun data wordt verwijderd na betaling, dan is er ook geen reden om dat losgeld te betalen.

Vorige week werd bekend dat er bij een cyberaanval op Clinical Diagnostics Nederland persoonsgegevens, waaronder burgerservicenummers en medische informatie van honderdduizenden vrouwen, gestolen waren. Het laboratorium uit Rijswijk onderzocht onder andere uitstrijkjes en zelftests in opdracht van Bevolkingsonderzoek Nederland, bijvoorbeeld voor baarmoederhalskanker en andere onderzoeken. Bevolkingsonderzoek Nederland heeft inmiddels brieven over het incident gestuurd naar 405.000 slachtoffers.

Clinical Diagnostics-lek verwijderd door Nova
Hackersgroep Nova claimt op zijn darknetwebsite de Clinical Diagnostics-data te hebben verwijderd.

Door Daan van Monsjou

Nieuwsredacteur

22-08-2025 • 15:34

120

Submitter: MerijnV93

Lees meer

Reacties (120)

Sorteer op:

Weergave:

Klinkt heel nobel, netjes en menslievend van deze groep.

En het is te hopen dat ze dit ook écht gedaan hebben.

Vraag is alleen, hoe geloofwaardig is het dat het ook echt gebeurd is? We hebben het immers wel over een criminele groep. Of je die nu op hun woord of blauwe ogen moet/kunt vertrouwen heb ik toch echt wel wat vraagtekens bij.
Ik heb vanuit mijn werk meerdere keren met dergelijke groepen onderhandeld. De grote groepen zijn net formele organisaties, inclusief bijbehorende standaard afdelingen (sales/marketing, bijvoorbeeld de RaaS promoten, operations, een leidinggevende, marktonderzoekers). Dat maakt ook dat ze een bepaalde naam hoog te houden hebben. Indien zij gegevens zeggen te verwijderen en het niet doen, zal niemand meer hun losgeld betalen. Hun geloofwaardigheid komt anders in het geding.

Dus eerlijk gezegd verwacht ik dat ze het wel degelijk verwijderd hebben of dit zullen doen.
Het probleem is dat je het niet kan weten, dat ze het niet lekken na betaling geloof ik wel. Dan betaald niemand meer. Maar ze kunnen die data best bewaren zonder dat iemand het weet.

Als ze willen stoppen kunnen ze alsnog een keer het rijtje langsgaan om geld te innen. Om vervolgens de stekker eruit te trekken.
Of wellicht als onderpand/wisselgeld als ze ooit opgepakt zouden worden.
Maar ze kunnen die data best bewaren zonder dat iemand het weet.
Gegarandeerd dat ze dat doen, en waarschijnlijk ook nog eens aan bv de Chinese/Russische staat verkopen, waar het wordt toegevoegd aan de dossiers van mensen waar ze interesse in hebben.

En het niet alsof die dat aan de grote bel gaan hangen, geheimhouding is voor beide partijen van belang.
Ik kan dit vanuit werkcontext bevestigen. Meermaals aangetoond..
Precies. Die clubjes opereren een paar maanden onder die naam en daarna weer onder een andere naam. Geen enkele manier om de personen zelf te kunnen volgen natuurlijk. Er is dus GEEN ENKELE reden waarom ze die data daadwerkelijk zullen wissen. Die staat over een jaartje of zo gewoon weer in de verkoop tot dat die zo vaak verkocht is dat het gratis te downloaden is voor alles en iedereen.
Ik lach me rot hier... Van de week zeiden ik en @Bor ditzelfde onder het eerdere artikel hierover en kregen we ik weet niet hoeveel mensen over ons heen dat dat onzin was en het zijn criminelen die houden zich toch niet aan afspraken en weet ik veel... En vandaag staat het hier ineens vol met mensen die weer allemaal wel dit standpunt geven. Hangt van de stand van de maan af of zo 8)7 _o-
Ik kan me prima voorstellen dat de data alsnog ergens in cold storage met encryptie etc bewaard blijft.

Nee, ik verwacht niet dat ze het een maand later alsnog online zetten. Maar dat het achter de hand gehouden wordt voor een echt benauwd moment?
Hangt van de stand van de maan af of zo 8)7 _o-
Welkom op Tweakers, met bijna een miljoen verschillende leden, meningen, en niveaus. :) Het hangt van de publicatiedag en -tijd af wie het leest, wie reageert, en wat de gemiddelde samenstelling van het reagerende publiek is.

Ik meen ergens gelezen te hebben dat je over het algemeen in de (met name dinsdag- en woensdag) ochtend gemiddeld het hoogste niveau, en zondagavond en 's nachts het laagste niveau kunt verwachten. Een hittegolf verlaagt ook meetbaar het niveau. Net als de periode na de switch naar zomertijd.

[Reactie gewijzigd door Sando op 23 augustus 2025 12:24]

"Meetbaar" is interessant. Overigens stuur ik dit om 22.05 op zondag.
"Meetbaar" is interessant.
Je doelt op "Een hittegolf verlaagt ook meetbaar het niveau"?

- Online Hate Speech Increases During Extreme Hot and Cold Weather, Study Shows
- Heat Strongly Influences Negative Sentiments: evidence from a Latin American country
Overigens stuur ik dit om 22.05 op zondag.
"Gemiddeld" wil natuurlijk niet zeggen dat iederéén negatief wordt. Maar mijn docent zei altijd: Wie de schoen past trekke hem aan. ;)
Tja, negativiteit is niet helemaal hetzelfde als 'niveau'?
Tja, echt kritisch is men allang niet meer en het fantaseren over een mogelijke andere uitkomst dan dat via de media word beschreven, word meteen door een leger van media-opvolgende-figuren in de kiem gesmoord.
Jammer, want soms zijn andere inzichten / meningen, juist belangrijk of interresant.

R.I.P Internet.
Je kunt het wel mooi laten klinken, maar het zijn afpersers, criminelen. Daar zou je niet mee moeten onderhandelen, die geef je niets, maar vervolg je. En ja, ik snap dat dat niet makkelijk is. Maar als we maar toe blijven geven, dan los je het probleem nooit op. Dan onderdruk je enkel - deels - de symptomen.
Dat is inderdaad wat veel mensen denken die er geen kennis van hebben.

Maar onderhandelen gaat niet om het bedrag aan losgeld te verlagen, maar om zeker te stellen dat zij geen informatie delen op bijvoorbeeld het dark web.
Dat kun je nooit zeker stellen. De enige garantie die je krijgt (soort van, want puur gebaseerd op hun reputatie) is dat de hackersgroep de informatie niet deelt uit hun naam en op dit moment.

Elke andere garantie berust op goedgelovigheid.

Mijns inziens zouden bedrijven alles in het werk moeten stellen om te voorkomen dat data gelekt kan worden, door bijvoorbeeld penetration scans en white hackers. En als er toch gegevens gelekt worden, dat die informatie zo snel mogelijk in waarde daalt, bijvoorbeeld door nieuwe klantnummers/BSN-nummers uit te geven en klanten hun wachtwoord verplicht te laten resetten.

En in het geval van gelekte bedrijfsgeheimen, hoeveel zijn die geheimen waard voor het bedrijf als ze dus te lekken zijn? Blijkbaar niet zo veel, of er zit een verkeerde persoon op de plek van security officer.
Wat zijn jouw ervaringen? Hoe heb jij dit in het verleden aangepakt? Met name op momenten dat bedrijven met wanhoop en handen in het jaar zitten omdat de productie gestopt is en je graag de gegevens terug wil hebben.

Reageren vanuit onderbuik is niet altijd goed, en in deze situatie moet je dit vooral aan de experts overlaten.
Dat is niet relevant. Als je gaat onderhandelen met een inbreker en zijn spullen koopt, ben je schuldig aan heling. Hier zou dat vergelijkbaar moeten zijn. Geen onderhandelingen voeren met dit soort tuig. Nu blijven de bedrijven dit in stand houden en werken dus mee aan criminaliteit.


En kom alsjeblieft niet aan met dat dit vooral aan "de experts" overgelaten moet worden. Ik heb op allerlei vlakken al teveel zogenaamde experts meegemaakt die prutswerk leveren.


En dat onderbuikgevoel zoals jij dit noemt is gewoon je gezonde boerenverstand gebruiken. Bedrijven die betalen voeden dit soort criminaliteit.
Mee eens dat betalen in veel gevallen de criminaliteit aanwakkert, maar zelfs als alle legale/publieke/"normale" partijen hier niet meer aan mee werken zijn er nog steeds shady partijen die geïnteresseerd kunnen zijn in deze data. Rusland/China werd al genoemd, maar misschien ook wel inlichtingendiensten of (via de achterdeur) verzekeraars. Vanuit de hackers gezien is een logische, opportunistische stap. De data heb je al. Kun je er 2 BTC voor krijgen in China, of 11 in Nederland?
Dat kan wel zijn, maar je maakt het circuit een stuk kleiner en kunt - de niet staats gerelateerde organisaties - keihard aanpakken c.q. onderzoeken instellen bij twijfel. Zeker verzekeraars. Al kun je dat natuurlijk ook al ondermijnen door andere regels op te stellen in zijn algemeenheid voor verzekeraars en hoe ze mensen al dan niet weigeren.
Het is niet in China "of" in Nederland, maar "en"; dat is het probleem...

[Reactie gewijzigd door Cerberus_tm op 24 augustus 2025 22:08]

Wat zijn jouw ervaringen? Hoe heb jij dit in het verleden aangepakt? Met name op momenten dat bedrijven met wanhoop en handen in het jaar zitten omdat de productie gestopt is en je graag de gegevens terug wil hebben.
Op zo'n moment is het al te laat en is er sprake van damage control. Wat ik probeer aan te geven is dat je als bedrijf moet voorkomen dat je in zo'n situatie terechtkomt, door beter op je security te zitten maar bovenal te zorgen dat je alleen gegevens bewaard die nodig zijn voor de bedrijfsvoering. Daar gaat het hier spaak omdat er zat mogelijkheden zijn om als partij niet de beschikking te hebben over BSN-nummers, maar de regelgeving daar niet op is aangepast.
Reageren vanuit onderbuik is niet altijd goed, en in deze situatie moet je dit vooral aan de experts overlaten.
Ik ben geen expert, maar ik wil wel graag de vrijheid om mijn mening te geven. Dank u.
Bor Coördinator Frontpage Admins / FP Powermod @magician200023 augustus 2025 10:45
Daar zou je niet mee moeten onderhandelen, die geef je niets, maar vervolg je.
Dat zal vast en zeker ook gebeuren wanneer ze ten eerste weten wie het zijn en dan deze personen ook nog eens uitgeleverd krijgen (vanuit landen die veelal niet meewerken ik die kans niet zo groot). De praktijk is helaas dat de pakkans behoorlijk laag is.
Dan kunnen we dus ook alle andere wet- en regelgeving wel aan onze laars lappen, want ook daar is de pakkans behoorlijk laag. Dat is serieus een drogreden om dan maar te betalen.
De gegevens achterhouden en over 4 jaar alsnog je slachtoffers onder druk zetten om te betalen klinkt als een mooie exitbonus.
De criminelen hebben mogelijk last van hun reputatie als ze publiceren nadat er is betaald. Maar stiekem de Russische inlichtingendiensten een kopietje laten trekken zal de reputatie niet schaden. Als de criminelen buitgemaakte wachtwoorden (niet dit incident) gebruiken om verder in te breken op andere plekken komt niemand daar waarschijnlijk achter dus zal de reputatieschade wel meevallen. Etc. Etc. Ik vindt het gemak waarmee mensen het belang van criminelen om niet openlijk hun eigen reputatie te schaden extrapoleren naar het vertrouwen dat ze dan niet ook stiekem andere dingen doen met de data erg ongemakkelijk.
Echt onzin. Vaak is het gewoon een persoon die dit doet en bezit. Dit bericht leest als een Rian van Rijbroek bericht waarbij standaard de Russen de schuld kregen. Deze gast is gewoon betaald en heeft nu de gegevens offline gegooid. Nooit en ten nimmer zijn ze verwijderd. Het zijn criminelen.

[Reactie gewijzigd door xzaz op 23 augustus 2025 18:18]

Jij denkt dat ransomwaregroepen bestaan uit 1 persoon? Opmerkelijke aanname. En wat is jouw achtergrond waardoor je deze stelling kunt verdedigen? Gebruik je Google skills en bekijk hoeveel mensen gelieerd aan ransomwaregroepen op zijn gepakt afgelopen 3 jaar.

Dit leest als iemand die één keer een aflevering van CSI heeft gekeken en sindsdien denkt dat hij digitaal forensisch expert is.
LockBit 2 personen, REvil 5 personen, Diskstation 1 persoon, 8Base 4 personen. Formele organisaties...
Sja, maar geloof jij formele organisaties als Google en Facebook ook als ze zeggen dingen verwijderd te hebben of andere dingen juist 'niet' te doen?
Mooi voorbeeld van een vals dilemma. Het heeft niets te maken met ransomewaregroepen.
Het grote verschil is dat er relatief weinig mensen een verzoek tot verwijderen data doen. Invergelijking met van hoeveel mensen ze data hebben. Er is daarom geen reden om niet te voldoen aan dat verzoek. Als een instantie er achter komt dat het niet verwijderd is, hebben ze een groter probleem.
Misdaad loont toch wel
En vergeet niet dat dit soort organisaties zelfs helpdesken hebben waar reguliere bedrijven nog wat van kunnen leren.
Wel of niet verwijderd, het ik toch ook te gek voor woorden dat een club data steelt, geld eist en vervolgens heel vriendelijk zegt dat ze de data hebben verwijderd. In welke kromme wereld leven wij eigenlijk.
Klopt, het is een grote criminele schande en ik spoor elke organisatie erop aan het ook te melden bij de politie. Want hoewel het zo lijkt, doen zij er echt wel wat mee. Sterker nog, de Nederlandse opsporingsdiensten zijn de laatste jaren steeds vaker betrokken bij Europese en wereldwijde acties om dit te stoppen.
Tot ze een keer tegen de lamp lopen en alle gestolen data nog blijken te hebben. Dat ze de data niet willen misbruiken wil niet zeggen dat ze niet just in case de data gewoon nog hebben.

Dat en soortgelijk zie je ook in andere grote organisaties, onder andere de politie en de Belastingdienst..

[Reactie gewijzigd door TWeaKLeGeND op 23 augustus 2025 14:20]

Dus eerlijk gezegd verwacht ik dat ze het wel degelijk verwijderd hebben of dit zullen doen.
Als jij hier beroepsmatig mee te maken hebt zou je toch moeten beseffen dat dat je dat nooit kan controleren. Ik snap dus niets van je bewering. Niet publiceren is een ding maar waarom zouden deze criminelen de data wissen?
Heb je mijn andere reacties toevallig gelezen? Daar benoem ik de geloofwaardigheid van deze groepen. Doen ze niet wat ze beloven, zal geen enkel slachtoffer meer betalen.
Nobel? Ze zijn toch gewoon betaald?

En als ze dat niet doen (verwijderen) , dan gaat niemand in de toekomst meer betalen.

[Reactie gewijzigd door renecl op 22 augustus 2025 15:47]

En als ze dat niet doen (verwijderen) , dan gaat niemand in de toekomst meer betalen.
Dat zou mooi zijn. Eén hackersgroep die niet doet wat ze beloven, niemand betaald meer losgeld en binnen een paar maanden bestaat ransomware niet meer. Ik zou bijna een hackersgroep beginnen om zo een einde aan dit soort praktijken te maken.

Ik ben bang dat het niet zo makkelijk gaat helaas.
Nee, Ransomeware is makkelijk te stoppen. Verbied onherleidbare betalingen.
Dat is makkelijker gezegd dan gedaan. Daarmee zou je ook contante betalingen, ruil-handel, natura-betalingen, enz. moeten verbieden.
Zolang het losgeld en de straf op overtreding van dat verbod om losgeld te betalen minder is dan de gevolgen van het verliezen of openbaar maken van de data, mag jij raden wat bedrijven met zo'n verbod doen.
RTL Nieuws heeft bevestigd dat die eerder gedeelde gegevens nu zijn verwijderd van de Nova-website, hoewel ze eerder dus wel rondgingen op het darkweb.
Misschien is dit ook niet helemaal waterdicht, maar maakt het wel wat betrouwbaarder wat ze zeggen.
Niet meer online maar wordt wel verkocht aan geïnteresseerden.......
Precies, je hebt 0 garantie dat die gegevens niet alsnog ergens anders beschikbaar komen of worden doorverkocht.
Zou het niet vooral uit eigen belang zijn? Stel dat ze dit echt hebben gedaan en de volgende keer iemand anders te pakken hebben, dan kunnen ze opnieuw losgeld vragen. Als ze echter naast de betaling toch de data online zouden zetten, verliezen ze hun geloofwaardigheid en zal niemand nog bereid zijn te betalen.
Wat je al aangeeft, als je toezegt de data te vernietigen/toegang terug te geven over systemen etc. en je doet dit niet als hackers (lees ordinaire inbrekers van digitale alure) dan is er geen enkele reden om te betalen. Geen idee of deze groep ook zo qua opzet en grootte is, maar het zijn vaak hele bedrijven met bijv. een personeels & communicatie afdeling en eigen kantoren in landen waar vervolging vrijwel uitgesloten is.

[Reactie gewijzigd door litebyte op 22 augustus 2025 15:57]

Klinkt heel nobel, netjes en menslievend van deze groep.
uhm, als ze dit al doen, dan is het ook alleen maar omdat het labo effectief losgeld betaald heeft !!!

Ik zou niet weten waarom je zo een soort mensen nog maar in de buurt legt van "nobel" "netjes" en "menslievend" ????
Klinkt heel nobel, netjes en menslievend van deze groep.
Er is geen enkele reden dit er allemaal bij te verzinnen. Hun beweringen zijn enkel wat ze schrijven. Wat ze ook doen het is crimineel koud en in eigen belang. Ze hadden om te beginnen al met hun tengels van andermans systemen af te blijven, van andermans persoonlijke gegevens af te blijven, niet te horen chanteren, de persoonlijke gegevens niet als afpersingsmiddel te gebruiken, de persoonlijke gegevens niet horen te lekken, de gegevens niet publiek horen te maken en niet horen te dreigen toch meer publiek te maken. De personen zijn laaghartig, egoïstisch, sadistisch en geldbelust. Het enige waarvoor ze een moreel besef tonen is om slachtoffers te maken en er zelf voordeel uit te hebben.
Deze hele industrie drijft op vertrouwen. Zodra blijkt dat de criminelen zich niet aan de afspraak houden betaald ook niemand nog het losgeld.

je zag dit al vanaf de begin dagen van de (simpele) ransomware. Hele service desks die mensen hielpen met de decryptie van hun bestanden nadat ze betaald hadden (en ook hulp met het betalen in cryptomunten). Nu ze meer en meer ex filtratie naast encryptie toepassen moeten ze zich wel aan de afspraken houden, anders betaald niemand meer (althans niemand die backup en recovery gewoon op orde heeft).
Dat gaat niet om vertrouwen maar je slachtoffers misleiden. Het is voor slachtoffers en wie daar legaal geld aan wil verdienen namelijk makkelijker om net te doen alsof ze slimmer dan de criminelen zijn en criminelen wel betrouwbaar zijn dan om openlijk te bekennen dat ze geen enkele controle over deze criminelen hebben. Geen van de slachoffers en onderhandelaars heeft ooit kunnen aantonen dat de criminelen wel met de gegevens te vertrouwen zijn. Terwijl ze dat ondertussen als excuus gebruiken om de criminelen financieel te belonen en faciliteren hun criminele handel in stand te houden.
Je zal inderdaad zien dat zodra de huidige aanpak van de criminelen geen geld meer oplevert ze wellicht alle data die gejat is tot dan toe gewoon op straat gooien….
Net geloofwaardig als Google die zegt dat je gegevens echt verwijderd zijn, helemaal niet dus
Eens! Al is het wel zo dat professionele criminelen een standaard hebben. Maar het blijft afwachten of dat dus ook daadwerkelijk het geval is.

Overigens toont het wel weer aan dat bedrijven slechts rouwig zijn om één ding en dat is reputatieschade. Alle vormen van spijtbetuiging of treurnis zijn krokodillentranen.
Klinkt heel nobel, netjes en menslievend van deze groep.
Ze hebben er geld voor gekregen. Hoe nobel, netjes en menslievend is dat?

Dat is gewoon ruwe afpersing, daar is niets nobel aan. Dit is gewoon hun crimineel verdienmodel om het te verwijderen na je veel geld hebt overgeschreven.
Als ze zo nobel, netjes en menslievend waren, zouden ze dit om te beginnen nooit gedaan hebben.


Er is een reden dat je nooit toegeeft aan terorristen en criminelen. Toegeven betekend dat ze door blijven gaan.
Menslievend

Lol

Blijven gewoon een stelletje criminelen snotneuzen

Pluim voor deze mensen Gogogo dark web Nederland staat schijnbaar achter deze nobele praktijken
Nobel, netjes en mensenlievend??

Misbruik maken van systemen om fragiele mensen die hopen tests voor kanker te doen te duperen zodat deze criminelen hun zakken kunnen vullen voor iets waar je geen geld aan hoort te verdienen.

Er is toch geen moment hier waar Nobel, netjes en mensenlievend te pas komen?
Het lijkt dat ze zich realiseren dat wanneer ze, ondanks dat er betaald is, ze toch publiceren dat dat slechte marketing is. Waarom zou het volgende slachtoffer betalen als er toch gepubliceerd wordt.
Altijd tenenkrommend om dit soort toko's te horen praten over deals en 'eer' terwijl mensen hun (medische) data in handen is van dat schorriemorrie. Met echt 0 garanties dat het niet over x jaar alsnog ergens via de donkere krochten van het darknet van eigenaar wisselt.

Denk dat het eens tijd wordt dat we ook BSN's kunnen vernieuwen, om mensen een schone lei te kunnen bieden. Gestolen BSN duikt op? internationale pieptoon af laten gaan en aan de bak. Ohja en ophouden met allerlei data die helemaal niet noodzakelijk zijn voor het uitvoeren van taken bij allerlei toko's te parkeren. Walgelijke praktijken, van beide kanten.

En dan de overheid die een koude summiere brief stuurt. Het is echt 1 grote faal..moe word je er niet van, maar doodmoe. Je privacy is nul meer waard en iedereen haalt z'n schouders op :(
Ik wil niet vervelend doen, maar helaas in dit geval is het wettelijk verplicht om het BSN nummer mee te sturen. En NAW waarschijnlijk ook...
De "Wet BSN in de zorg" verplicht elke medisch specialist electronisch op basis van BSN (en de bijbehorende NAW gegevens) te communiceren met andere medisch specialisten. En een patholoog is een medisch specialist, dus die moet hieraan voldoen. De "Wet Op de Geneeskundige Behandelovereenkomst" verplicht elke medisch specialist elke diagnose op patientniveau vast te leggen en ten minste 20 jaar (of langer indien medisch relevant) beschikbaar te houden voor de patient of medebehandelaars (dossierplicht).

[Reactie gewijzigd door J_van_Ekris op 22 augustus 2025 19:21]

Dank voor de verduidelijking.

Dan blijft alleen maar de vraag over of bij ieder lab onderzoek een patholoog betrokken was of is.
Altijd. Er is altijd een medisch specialist verantwoordelijk. Of dat nou een patholoog is of een microbioloog of klinisch chemicus.

Het blijft een medische handeling in de zin van de wet en kan ook alleen als zodanig geregistreerd en gedeclareerd worden.

Ik word zelfs gecontacteerd door partijen die "alleen mijn registratie nodig hebben". Want dan kunnen ze declareren
IMHO wordt het tijd voor persoonlijke encryptie. Enkel toegestane instanties krijgen een ontseutel recht. Alles moet verplicht AVG compatibel en/of versleuteld zijn.
Dat is een beslissing die er nu eenmaal is omdat er blijkbaar geen andere manier is om 100% zeker te weten dat je met persoon x te maken hebt, er is al genoeg verwarring bij tweelingen met vergelijkbare voorletters en idem geboortedatum :P Of het privacyvriendelijker kan geen idee, maar daarom geef ik dus aan dat er een manier moet komen om je oude BSN te trashen en een nieuwe aan te kunnen vragen. Mensen zijn ook optisch generiek genoeg om met een beetje knutselwerk en een beetje met de haren en lenzen aanrommelen zich ook fysiek voor te doen als een ander, dus tsja.

Maar iets zegt me dat dat net zo makkelijk is te doen als de btw op groenten en fruit naar 0 :X
Vooral het schouder ophalende gedrag en geen verantwoordelijkheid nemen vind ik stuitend.
Klopt, het is bedacht in een tijd dat ransomware nog niet bestond. En daarom zou dit systeem op de schop moeten. Er zijn tegenwoordig zat technologieën waarmee voorkomen kan worden dat privacygevoelige data door teveel handjes gaat.
En dan moet het oude bsn gekoppeld worden met het nieuwe omdat je anders je oude data kwijt bent en dan wordt die database gehackt.

En op je rijbewijs, je paspoort, staat gewoon je bsn. Je levert een kopie in en klaar. Genoeg hotels die nog een kopie maken.

De data is niet het probleem. Die liggen per definitie op straat. Je moet de processen beveiligen waarvoor die data gebruikt worden.

En dat doe je door verificatie. Zoals ik dagelijks doe bij al mijn patiënten. En daar heb je niet minder maar meer data voor nodig. Wat denk je van een tweeling die nog thuis woont?

Ik heb een kleine dertig jaar terug meegemaakt dat we toen de eerste college's computerkunde krijgen als onderdeel van de geneeskunde studie "want het ging heel belangrijk worden". Dus daar kon wel 2 x 3 uur aan besteed worden.

Daar hing toen al een briefje op de deur;

there are two kinds of people:

Those who have lost data and those who will lose data


En dat geldt nog steeds

[Reactie gewijzigd door gaskabouter op 22 augustus 2025 21:20]

De data is niet het probleem. Die liggen per definitie op straat. Je moet de processen beveiligen waarvoor die data gebruikt worden.
Dat is ook mijn beeld. Het BSN is (als opvolger van het SoFi nummer) ooit begonnen als een "betekenisloos nummer", wat puur bedoeld was om gegevens over burgers over meerdere diensten te kunnen relateren. Er mochten op geen enkele manier rechten aan ontleend kunnen worden. Het is intussen verworden tot de supergeheime sleutel die een hacker in staat stelt de meest akelige dingen te doen. Ergens hebben we de afslag gemist denk ik.

De creditcard maatschappijen hebben ditzelfde probleem gehad: creditcardnummers en bijbehorderende velden werden regelmatig afgeluisterd bij winkelbedrijven, en dan volgde er weer een fraudegolf. De structurele oplossing was niet het creditcardnummer maar wéér wijzigen, maar zorgen dat de rechtmatige eigenaar via een vertrouwd kanaal gevraagd wordt om de transactie te bevestigen. Mij lijkt dat een gezondere weg dan dat BSN alleen maar nog geheimer maken.

[Reactie gewijzigd door J_van_Ekris op 22 augustus 2025 22:13]

Maar volgens mij kan je met een BSN op zich ook heel weinig. DigiD is toch wel de standaard inmiddels. We zijn gelukkig ook af van al die aanbieders met eigen inlog procedures. In ieder geval de overheid maar ook veel zorginstellingen.

iDIN zie ik ook steeds vaker. Bsn is eigenlijk niet zo heel relevant meer?
Ja ik vind het walgelijk en gigantisch immoreel dat ze dit durven te misbruiken voor het vullen van de eigen zakken. Ik kan er geen enkel goed woord over kwijt. Dat ze maar op de blaren mogen zitten van hun acties.
Het is raar dat BSN en NAW gegevens bij een derde partij terecht komen. Waarom zelf geen lijst bijhouden en alleen de benodigde gegevens overgedragen gekoppeld aan een unieke identier? En alleen bij de hoofd verstrekker is bekend dat 03667A23-2 bij Mevrouw van Dalen uit Ridderkerk hoort. Of ben ik nou te simpel?
En hoe weet je of je bij de 53.516 mensen van de eerste sample zit?

Die is toch wel op het darkweb geweest dus wie weet hoe vaak dit gedownload is.
Dat vroeg ik mij ook af. Bij mijn vrouw in haar email niet bekent/gelekt dus via https://haveibeenpwned.com/ zal ze niet naar voren komen.
Maar, weten we zeker dat deze database hier al in is opgenomen?

Mijn vrouw heeft ook een brief gehad maar/of komt niet voor in deze database.
Durf ik ook niet te zeggen hoe snel die up to date is.
Hier ben ik ook geïnteresseerd in, valt dit ergens te controleren?
Wordt het niet tijd dat we betalen voor ransomware ook strafbaar maken? Zolang er een verdienmodel blijft, zullen er aanvallen plaatsvinden…
Je zult dan maar als universiteit (hoi Maastricht) geraakt worden door ransomware en een half jaar onderzoeksdata kwijtraken.
Zolang we blijven betalen en de pakkans klein is, zullen er nog veel meer universiteiten losgeld moeten betalen…
Enig idee wat de schade is van zoveel data verliezen? Menig bedrijf kan met een half jaar dataverlies domweg faillisement aanvragen. Dat heeft nogal wat consequenties voor (toe)leveranciers, lopende contracten, medewerkers, en wat dies meer zij. Het klinkt heel heldhaftig, verbieden te betalen, maar ik vraag mij altijd sterk af of mensen in de gaten hebben wat de gevolgen zijn van níet betalen op een goed geplande aanval die voor maanden zo niet jaren dataverlies zorgt. Want dan wordt de clou vooral een lange adem hebben voor criminelen. Een chicken run die je evengoed niet kunt winnen want vroeg of laat wordt iets geraakt dat niet om kán of mag vallen.
Hier in België wisselen we zelfs terroristen uit als ze een Belg ontvoeren...
Nee, dat is victim punishment in optima forma. Dat doe je bij fysieke inbraken of gijzeling toch ook niet?
Je kun het hoogstens als overheden afraden en int. veel zwaarder op inzetten.
Als fysieke gijzelingen massaal voorkwamen, dan zou ik hetzelfde overwegen…
Iedereen toch? In landen waar dat veel voorkomt of kwam is altijd het advies 'niet betalen' van politie en leger, totdat er vingers worden opgestuurd of dat er (letterlijk) deadlines worden gesteld. Er is zelfs meerdere malen door de Nederlandse overheid voor Nederlandse gegijzelden in het buitenland betaald - officieel doet de NL overheid daar nooit uitspraken over.

Als een bedrijf door een digitale gijzeling/data hack kan omvallen (zoals destijds die grote supermarktketen) of dat het enorm veel schade betekent voor klanten doordat alles op straat ligt dan wordt er gewoon betaald. Dat weten dit soort tuig-org. ook.

[Reactie gewijzigd door litebyte op 22 augustus 2025 20:30]

Je kunt minstens nadenken over het minder interessant maken van betalingen.

Nu is het voor bestuurders de makkelijkste keuze, minder gezichtsverlies. Etc.

Je zou zulke betalingen bijvoorbeeld niet aftrekbaar kunnen maken van de winst, een meldplicht kunnen invoeren bij AP en justitie van betaling, etc.

Als we op de huidige manier verder gaan zullen steeds meer bedrijven en consumenten de dupe worden…
@litebyte komt alleen met een tegenargument.
Beide hebben voordelen en nadelen.
Gelukkig is er slechts sprake van een hack, diefstal, chantage, etc, dus kunnen ze gewoon op hun blauwe ogen geloven dat ze zo nobel zijn. :+
Volgens mij begrijpt niet iedereen sarcasme ;)
Denk zet er een :+ achter maar blijkbaar snapt men het alleen met “/s” erachter ofzo.
Of het is gewoon niet grappig. Ten eerste omdat er elke keer bij dit soort berichten dezelfde reacties komen, maar ook omdat het onjuist is.

Zoals ook al eerder gezegd, is het nakomen van afspraken onderdeel van het verdienmodel. Het niet nakomen kost ze het vertrouwen en dus hun geld op lange termijn.
De reden dat ik er niks van geloof, is omdat mijn vrouw; en veel meer vrouwen in de bekenden kring ineens veel last hebben spam calls enz. Die zitten toevallig allemaal in slechts die sample?
Causaliteit en correlatie verwarren komt veel voor. Toch blijft logisch redeneren een betere optie dan zomaar aannemen dat er ineens meer spam komt nadat er een datalek is geweest.

De gegevens aan spammers verkopen lijkt mij sowieso niet een logische redenering. Het zal niet veel opleveren, want mensen zijn zo slordig met hun gegevens zodat het tamelijk goedkoop is om aan adressen te komen.
Bijvoorbeeld door met alle vrienden en bekenden op 'sociale' media te delen dat je gegevens ook wel eens gehackt zouden kunnen zijn.
In het geval van de gestolen gegevens zou je eerder gerichte oplichting verwachten dan zomaar wat spam.
Het grootste lek zijn meestal de mensen zelf.
Natuurlijk blijft de vraag 'is dat echt verwijderd' en zoiets zal je pas veel veel later weten, zal het nu puur leunen op vertrouwen van een criminele groep. Andere kant, zijn er situaties geweest waar na betaling data alsnog werd gelekt? Natuurlijk, zijn criminelen, moet niet betalen, maar zulke dingen gebeuren nu eenmaal en ergens heb ik dan maar liever dat het bij zo'n groep komt, dan de 'legitieme' databrokers die lopende band jouw data verkopen voor weet-ik-veel. Ergens lijkt de grens tussen legitiem en zulke groepen helemaal niet zo hard als het gaat om jouw data/privacy.
als iedereen maar contact met die lui heeft waarom dan de politie niet? en worden ze opgerold
Er moet wel aangifte worden gedaan, dat is vaak een van de eisen, geen contact met de politie. daarnaast opereren ze vaak in landen waar de politie en andere overheden ook je beste vrienden zijn omdat je ze kunt omkopen of omdat ze je letterlijk beschermen.
Wie zaten er in de gelekte sample en hoeveel schadevergoeding krijgen zij?

En krijgen overige slachtoffers toekomstig dezelfde compensatie bij alsnog lekken.

Ik voel een massa claim aankomen als de overheid geen handreiking doet.
Alsof we ze op hun blauwe ogen kunnen geloven, die afpersers. Diezelfde afpersers die totaal geen respect hebben voor hun doelwit.

Laat mij raden. De hackers hebben de data gewist maar net daarvoor zijn ze toevallig gehackt door een andere groep die alles stal. Begint het weer van voor af aan?
Ja, dat weet je maar nooit.
Dus: je data nog beter afschermen, dan kom je niet in deze situatie.

[Reactie gewijzigd door CPV op 22 augustus 2025 16:50]

Is er ook een plek(buiten darkweb) waar je kan zien of iemand bij die 50k slachtoffer zit? Mijn vrouw is ook slachtoffer maar daar is geen email bekend dus de standaard https://haveibeenpwned.com/ zal niet werken.
Daar zit ik ook naar te zoeken, maar nog niks gevonden om daar makkelijk achter te kunnen komen.

Op dit item kan niet meer gereageerd worden.