Groot datalek Bevolkingsonderzoek Nederland

Dit jaar werd bekend hoe onveilig de medische gegevens van vrouwen in Nederland zijn in onze kapitalistische maatschappij. Recent kwam nieuws naar buiten dat gegevens van tussen 715.000 en 941.000 vrouwelijke deelnemers van het bevolkingsonderzoek naar baarmoederhalskanker zijn getroffen door gegevensdiefstal. Het verantwoordelijke laboratorium geeft zelf aan dat het over de gegevens van 850.000 deelnemers gaat. Naast deelnemers van het bevolkingsonderzoek zijn ook ziekenhuispatiënten, zoals van het Leids UMC, gegevens van huisartsenpraktijken, als deelnemers van andere onderzoeken, zoals dat over genitaliën en wondvocht, getroffen. Onder deze groep waren meer mannen. Het betreft gegevens verzameld vanaf 2016 tot heden waarbij nieuwere data vooral uit 2022-2023 komt. Jaarlijks doen zo een 700.000 vrouwen mee aan het bevolkingsonderzoek.

Deze gegevens zijn buitgemaakt bij laboratorium Clinical Diagnostics in Rijswijk en zijn bij de Russische computerkraakgroep Nova terechtgekomen. Deze groep heeft 100 megabytes aan gegevens van 53.000 patiënten als bewijs van de diefstal op een verhuld gedeelte van het internet, het dark web, uitgelekt en aangegeven totaal 300 gigabytes aan gegevens te bezitten. 100 MB kan zoveel zijn als als vijftig miljoen woorden of 28 HD-foto’s; 300 GB staat gelijk aan vijftig miljard woorden of boven de 85.000 HD-foto’s. Zoals men zich voor kan stellen gaat het om een enorme hoeveelheid data. De gegevens bevatten namen, adressen, burgerservicenummers en zeer gevoelige medische informatie. Wat bijzonder shockerend is, is dat de informatie van vrouwen die in blijf-van-mijn-lijfhuizen zitten daarbij zit, waaronder hun opvanglocatie. De samenwerking tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics is voor nu opgeschort. Hoe de gegevens toegeëigend konden worden, is nog niet duidelijk. Het bedrijf zegt: “de oorzaak van de aanval grondig te onderzoeken, de systemen verder te versterken en volledig mee te werken aan alle onderzoeken die zijn gestart door overheidsinstanties.”

Afkoopsom

Nova stelde een ultimatum van 11 dagen met als einddatum de nacht van donderdag 28 op vrijdag 29 augustus 2025. Er is door Clinical Diagnostics 11 bitcoin, omgerekend 1,1 miljoen euro, betaald aan de Nova-groep als afkoopsom. Na betaling gaf Nova aan de data te hebben verwijderd, alhoewel dit niet is vast te stellen. Zulke groepen moeten dit zeggen om zo hun criminele geloofwaardigheid tegenover nieuwe slachtoffers te behouden. De informatie van de groep van 53.000 ligt zo ongeveer blijvend op straat. Bij eerdere incidenten, zoals met de Conti-groep, werd de informatie later alsnog verhandeld.

Clinical Diagnostics is een dochteronderneming van het beursgenoteerde, in Luxemburg gevestigde Eurofins Scientific SE. Eurofins wordt geschat 4 miljard euro waard te zijn. Het moederbedrijf zelf was in 2019 al doelwit van een poging tot losgeld te verkrijgen. Het betrof toen forensische gegevens voor rechtszaken. Net als de dochteronderneming, betaalde Eurofins toentertijd.

Clinical Diagnostics heeft bijna drie weken gewacht met het bekendmaken van de informatiekraak en informeerde daarbij niet de toen geschatte 485.000 gedupeerden. Volgens de privacywetgeving moet het onderzoekslaboratorium moet het bedrijf binnen 72 uur zo een breuk melden bij de Autoriteit Persoonsgegevens.

Ook huisartsen zijn gepasseerd in de informatieketen, waarmee het eerste aanspreekpunt voor de gedupeerde tegelijkertijd met hen op de hoogte werd gesteld. Ook konden de huisartsen niet handelen naar de gestolen gegevens van hun patiënten en van hun eigen gegevens. Enigszins ironisch is dat het melden van breuken vaak gepaard gaan met zwaarder beboet worden, wat een perverse prikkel kan zijn in het (niet) melden van gevallen zoals deze.

Hoge drempel

Het is ongekend dat de intieme en bijzonder gevoelige gegevens, bekend als ‘bijzondere gegevens’ bij de AP, van vrouwen die zij in vertrouwen delen met het bevolkingsonderzoek, wat in naam van de verbreding van de wetenschappelijke kennis en verbetering van de gezondheid van de vrouw wordt gedaan in internationale samenwerkingsverbanden, zo op internet komen. Voor veel vrouwen is de drempel om mee te doen met zo een onderzoek al erg hoog en hiermee zal die drempel hoger komen te liggen, met als gevolg dat de kwaliteit van onderzoeken naar baarmoederhalskanker naar verwachting zullen dalen.

Afgetreden demissionair minister Daniëlle Jansen (NSC) van Volksgezondheid, Welzijn en Sport riep vrouwen op mee te blijven doen aan bevolkingsonderzoeken. Enkele dagen daarna stapte zij samen met haar partijgenoten uit kabinet-Schoof omtrent het eisen van strengere maatregelen tegen Israël. Sindsdien is de positie leeg en wordt deze beheert door Robert Tieman (BBB). Hij is tevens demissionair minister van Infrastructuur en Waterstaat. Voormalige werkte hij bij de Vereniging van de Nederlandse Chemische Industrie (VNCI) en het Verbond van Nederlandse Ondernemingen-Nederlands Christelijk Werkgeversverbond (VNO-NCW) afdeling West. De werkgeversorganisaties trommelen Nederland maar wat graag op voor digitalisering om de concurrentie binnen de EU en van de EU als geheel gunstig te maken voor het kapitaal. (Ten tijde van publicatie is prof. dr. Jan Anthonie Bruijn (VVD) minister van VWS. Bruijn werkt bij het Leids UMC en was voorzitter van de Eerste Kamer. Red.)

Digitale beveiliging schrikbarend

Bij het volledig politieke falen van demissionair kabinet-Schoof komt nu dus deze crisis erbij. Het is wederom een troosteloos bewijs dat digitalisering, private toe-eigening van winst en concurrentie van monopolies niet samengaan voor gewone werkende mensen. Zolang intieme en gevoelige gegevens een bron van winst zijn en zolang meerdere partijen die tegenover elkaar staan baat hebben bij het beschikken over deze gegevens, zullen vrouwen onbeschermd blijven door en tegen bedrijf en overheid. Wat er nu met de gegevens gebeurt, is niet te overzien. Cybercriminelen kijken bewust bij de Kamer van Koophandel naar de jaaromzet van hun doelwit en eisen doelbewust daar 1 tot 2 procent van. Daarbij is de digitale beveiliging bij zorginstellingen vaak schrikbarend slecht. Zorginstellingen moeten met hun steeds meer beperkte budget keuzes maken en laten vaak dit soort beveiliging of goede training erin links liggen. Ook de koppelingen tussen applicaties die gebruikt worden zijn bijzonder vatbaar – een nawee van de COVID-pandemie, waarin bezuinigd is op het goed inrichten van ICT-infrastructuren en in plaats daarvan er snel veel zijn opgezet. Daarbij gaat een laboratorium kwalitatief anders om met medische gegevens dan een zorginstelling. Ook mogen laboratoria formeel niet altijd van (alle) gegevens gebruikmaken, ook al hebben ze er toegang toe.

Vanuit het Openbaar Ministerie en de politie loopt een strafrechtelijk onderzoek naar de Nova-groep. De politie heeft zich kritisch geuit tegenover het betalen van de dwangsom. Volgens hen wordt hiermee het verdienmodel van dit soort criminelen in stand gehouden. Vanuit de Autoriteit Persoonsgegevens loopt een formeel onderzoek tegen Clinical Diagnostics omdat ze mogelijk de privacywetgeving (Algemene verordening gegevensbescherming, AVG) hebben overschreden. Clinical Diagnostics wordt verdacht van het niet op orde hebben van informatiebeveiliging ten opzichte van de wetgeving daarover. De Inspectie Gezondheidszorg en Jeugd (IGJ) is daarbovenop een onderzoek gestart naar de informatiebeveiliging bij het laboratorium. Als klap op de vuurpijl hebben 70.000 slachtoffers toegezegd een massavordering gericht op het vervolgen van de mogelijke nalatigheid van Clinical Diagnostics. De overschrijding van de AVG kan het bedrijf maximaal een boete van 4 procent van hun wereldwijde jaaromzet kosten, tot een maximum van 20 miljoen euro.

Schadepost

Slachtoffers van gegevensdiefstal zijn bijzonder kwetsbaar voor financiële en immateriële schade. Zij worden vaak slachtoffer van verregaande oplichting waarbij elk individueel geval in tussen de 7.500 en 60.000 euro schade kan oplopen. Er kunnen financiële middelen als bankrekeningen en creditcards geactiveerd of gesloten worden – op de schaal van het aantal getroffenen loopt dat dus in de miljarden euro’s. De actoren die deze informatie hebben kunnen zich eenvoudig voordoen als huisarts, zorgverzekeraar of overheidsinstantie naar de slachtoffers. Ook kunnen zij gemakkelijk afgeperst worden wanneer gedreigd wordt met hun medische gegevens. Als onderzoeksinformatie zich op enige wijze naar zorgverzekeraars een weg zouden vinden, kan de getroffene onverzekerbaar worden. De stress en onzekerheid die deze situatie in basis al afroept over zoveel vrouwen is al erg genoeg zonder de mogelijk bijkomende gevolgen van gegevensmisbruik mee te nemen.

Nederland telt bijna 18 miljoen inwoners, waarvan bijna 9 miljoen vrouw. Tot bijna 1 miljoen vrouwen, bijna 1 op de 18 mensen in Nederland, bijna 1 op de 9 vrouwen in Nederland, is getroffen in dit incident. Als gevolg van slecht gegevensbeheer en de winstgevendheid van gegevens in de maatschappij waarin we leven, is de situatie van werkende vrouwen in Nederland nog verder verslechterd. Gevoelige gegevens van vrouwen, waaronder gezondheidsgegevens zijn buitgemaakt en zijn potentieel verhandeld met derde partijen, iets wat de veiligheid van vrouwen nog verder in de knel zet. Dat geld vele malen meer voor vrouwen in blijf-van-mijn-lijfhuizen, waarvan nog onbekend is wat er aan hun veiligheid is gedaan. Het is een misdaad van het kapitalisme , een resultaat van de constante drang naar kostenbesparing en de breed toegepaste opsplitsing van publieke voorzieningen en de wetenschap in particuliere bedrijven. De uiteindelijke verantwoordelijkheid voor de veiligheid van gevoelige data ligt ontegenzeggelijk bij de burgerlijke staat en de EU, die deze uitbesteedde aan een beursgenoteerde onderneming waarvan bekend was dat de moederonderneming eerder doelwit was geweest.

In wiens belang?

Dit incident is het gevolg van de zogenaamde ”digitale transitie” – een van de langetermijnstrategieën van het Europese kapitaal, die als doel heeft om de nieuwe digitale technologieën toe te passen, niet om het levenspeil van de arbeidersklasse te verbeteren, maar om nieuwe markten te openen voor de Europese monopolies, hun winstgevendheid en competitiviteit in de internationale markt te verbeteren en om de repressie op de communistische en arbeidersbewegingen te verhogen, met als resultaat de verdere inbedding van de wurggreep van het kapitaal in zijn steeds erger wordende doodstrijd. Dit heeft ertoe geleid dat bijzonder veel competerende private informatieverwerkers zijn ontstaan die de persoonlijke gegevens van de bevolking bewerkt en vertrouwensbreuken in de hand werkt. Data-veiligheid is in het kapitalisme namelijk een kostenpost en cyberveiligheid is in het algemeen een dure zaak. Door gegevens te digitaliseren en te analyseren via algoritmes en data-modellen, kunnen bedrijven meer winst uit arbeiders persen. Wanneer dit mis gaat, worden nu, zoals bij zoveel incidenten, de kosten en de gevolgen van de crisis bij de werkende klasse neergelegd terwijl het kapitaal de winsten blijft opstrijken.

Tegelijkertijd is de overheid zelf prima in staat om data over de bevolking centraal te verzamelen, veilig houden en voor het belang van het kapitaal te gebruiken en de repressie en bespioneren van de ‘eigen’ bevolking steeds verder te bevorderen in de naam van de ‘veiligheid.’ In andere woorden, wanneer data verwerkt moet worden voor de belangen van het kapitaal, kan dit allemaal soepel en veilig gaan – wanneer er data verwerkt wordt voor de belangen van de wetenschap, de vergemakkelijking van administratieve processen etc. zit de arbeidersklasse vast een eindeloos netwerk van particuliere bedrijfjes die zeker niet bezig willen zijn met deze data veilig houden, maar ze liever zo snel mogelijk ergens verkocht willen hebben.

Dit alles terwijl digitalisering een zeer goed gereedschap kan zijn in het organiseren van arbeid en het toewijzen van middelen in een socialistisch systeem. De dader van deze misdaad is dus niet de digitalisering op zich, maar het kapitaal zelf, wat baat heeft bij deze digitalisering. Het betalen van de losgelden door Eurofins en Clinical Diagnostics gaat meer om het veiligstellen van hun marktposities en winsten, maar ook productiemiddelen en infrastructuur en veel minder om het behoeden van de slachtoffers. Ook hebben vrouwen uit de kapitalistische klasse weinig van doen met de ‘gewone’ zorg waarover de arbeidersklasse dankzij zijn strijd over beschikt, maar kunnen zij private zorg betalen buiten zulke stelsels om.

Het reëel bestaande socialisme laat ons zien hoe de staat, onder leiding van de communistische voorhoedepartij en de arbeidersklasse en volgens de democratisch bepaalde centrale planning wél allerlei voorzieningen en ontwikkelingen voor de werkende mensen en gehele maatschappij kan realiseren. Denk aan het voorzien in banen, huizen, gezondheidszorg en opleidingen. Van bijzondere noot zijn de crèches op de werkplekken waardoor jonge en kolvende moeders nauw contact konden houden met hun kind en op gezonde wijze konden meedraaien op de werkvloer – vrouwen met moederschap én deelname op de werkvloer.

Alleen het socialisme kan de geatomiseerde maatschappij beginnen bijeen te rapen en weer naar een hoger plan tillen, terwijl het kapitalisme misbruik op misbruik levert. Een andere wereld is mogelijk en deze wereld is bewezen, de wereld van het socialisme-communisme.

Dit artikel is mede tot stand gekomen met de hulp van Ties Tichelaar.