Begin deze week kreeg een aantal huisartspraktijken, van wie de gegevens in de gelekte database stonden, bericht van PwC over het incident. De gegevens zijn afkomstig van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ). Die organisatie is verantwoordelijk voor het Landelijk Schakelpunt (LSP), dat uitwisseling van medische gegevens tussen zorgorganisaties faciliteert. PwC kreeg de gegevens van aangesloten organisaties versleuteld toegestuurd om de jaarrekening te controleren. Tussen 25 februari en 8 maart zijn die gegevens op de website van PwC toegankelijk geweest voor onbevoegden.

Menselijke fout

“De situatie ontstond door een foutieve instelling als gevolg van menselijk handelen”, zegt Thomas Galestien, woordvoerder bij PwC. “Waar gewerkt wordt, worden fouten gemaakt en helaas is dat hier ook gebeurd.” Volgens Galestien heeft PwC direct actie ondernemen toen de situatie aan het licht kwam. “We hebben meteen alles dicht gezet, security-maatregelen genomen en de situatie in kaart gebracht.”

Nog niet alle slachtoffers op de hoogte

PwC heeft vervolgens betreffende prakijken via een e-mail op de hoogte gesteld, maar nog niet alle slachtoffers zijn over het voorval geïnformeerd. “Dat heeft een technische oorzaak”, zegt Galestien. “We hopen dat vrijdag of anders zaterdag iedereen bericht heeft gehad.”

Aantal getroffenen onbekend

Dat doet vermoeden dat het om een groot aantal slachtoffers gaat. Hoeveel precies willen PwC en VZVZ niet zeggen. “Uit privacy-overwegingen doen we daar geen uitspraken over”, aldus Galestien. “Het is niet aan ons daar wat over te zeggen”, reageert Alf Zwilling, woordvoerder van VZVZ. “We vinden het al erg genoeg dat er een datalek is. We krijgen af en toe vragen of de mail wel echt is: ja, die is echt.”

Meer dan huisartsen alleen

Niet alleen de precieze omvang van het datalek is voorlopig onduidelijk, ook om welk soort instellingen het gaat, willen PwC en VZVZ niet zeggen. Wel laat Zwilling weten dat het “onder andere” huisartsen betreft. Andere zorgaanbieders zijn er dus ook door geraakt. Een breed scala aan zorgaanbieders is op het LSP aangesloten en krijgt daarvoor een vergoeding, waaronder apotheken en ziekenhuizen. Of zij getroffen zijn, blijft voorlopig gissen.

Data in criminele handen?

Nader onderzoek zal moeten uitwijzen of de gegevens in criminele handen zijn gevallen. Als dat het geval is, kunnen zij de data gebruiken bij pogingen de praktijk of instelling digitaal binnen te komen. Dat kan bijvoorbeeld via gerichte phishing-mailtjes, die ransomware of andere criminele activiteiten mogelijk maken.

PwC en VZVZ hebben het incident gemeld bij de Autoriteit Persoonsgegevens (AP). Die wil vooralsnog niet inhoudelijk op de zaak ingaan.