Veel hebben in het nieuws het datalek meegekregen van Clinical Diagnostics waarbij persoonsgegevens van patiënten zijn buitgemaakt. Ook kennen veel mensen waarschijnlijk wel iemand in hun directe omgeving die de brief heeft ontvangen. Dit maakt dat het incident toch wel erg dichtblij komt.

Na rommelige weken vol bedreigingen van hackergroep Nova – die dreigde de buitgemaakte gegevens alsnog op het darkweb te publiceren omdat de organisatie volgens hen de afspraken had geschonden door de politie in te schakelen – werd afgelopen week bekend dat de groep de data toch niet openbaar zal maken en zelfs zou verwijderen. Goed nieuws dus, al blijft de vraag in hoeverre je criminelen kunt vertrouwen.

Het verdienmodel van ransomwaregroepen is in feite gebaseerd op vertrouwen. Bedrijven betalen vaak niet alleen om hun systemen weer te kunnen gebruiken, maar ook om te voorkomen dat hun gegevens op het darkweb belanden. De hack bij de KNVB in 2023 is hiervan een goed voorbeeld: door te betalen namen zij dit risico weg.

Door na betaling alsnog te dreigen de gegevens te publiceren, tastte NOVA dit fundament aan. Hoewel er geen directe bronnen zijn die bevestigen dat andere ransomware groepen hier openlijk kritiek op hebben geuit, ligt het voor de hand dat hun geloofwaardigheid in het criminele ecosysteem schade oploopt. Het ondermijnt namelijk het gezamenlijke verdienmodel: hoe minder slachtoffers erop vertrouwen dat betalen zinvol is, hoe kleiner de kans dat iemand in de toekomst nog betaalt. Voor rivaliserende groepen is het daarom aantrekkelijk om zich juist te profileren als “betrouwbaarder” alternatief en NOVA in diskrediet te brengen.

Van datalek naar identiteitsfraude

We moeten er dus maar op vertrouwen dat de data daadwerkelijk is verwijderd. Maar wat als de gegevens achteraf toch worden doorverkocht? Een gewaarschuwd mens telt voor twee. De afgelopen weken kreeg ik veel vragen over welke maatregelen je kunt nemen en wat criminelen met de buitgemaakte gegevens kunnen doen. Veel nieuwsmedia melden dat je er weinig tegen kunt doen, behalve alert blijven, omdat je BSN niet te veranderen is.

Ik vroeg me dan ook af: wat zou ik doen als ik die hacker was? Persoonlijk zou ik proberen een kopie van iemands identiteitsbewijs los te krijgen. Met een kopie ID, gecombineerd met reeds gestolen persoonsgegevens en het BSN, kan een crimineel immers veel verdergaande fraude proberen te plegen.

Criminelen combineren vaak gegevens uit verschillende datalekken. Met de info uit Clinical Diagnostics kunnen zij eerder gelekte wachtwoorden, e-mailadressen of telefoonnummers koppelen. Dit vergroot de kans op succesvolle aanvallen, bijvoorbeeld via credential stuffing of spearphishing.

Mogelijke aanvalsmethoden om een kopie ID te bemachtigen zijn.

• Gerichte phishing: mails of sms’jes die lijken te komen van het laboratorium of een zorgverzekeraar, met het verzoek een ID te uploaden “ter verificatie”.
• Vishing (telefonische social engineering): een nep-medewerker belt en vraagt je een kopie van je ID door te sturen, zogenaamd voor onderzoek of bevestiging.
• Malafide websites / nepportalen: slachtoffers worden doorgestuurd naar een valse inlogpagina waar ze gevraagd worden een ID te uploaden.
• Afpersing: dreigen gevoelige medische gegevens te publiceren tenzij je een ID verstrekt.
• Misbruik van vertrouwen: criminelen gebruiken de gelekte info om je gerust te stellen (“we hebben uw dossier, maar missen nog een kopie ID”).

Welke aanvallen kan je verwachten?

Als de aanvaller de persoonsgegevens, BSN en een kopie ID heeft buitgemaakt, is het belangrijk om te begrijpen welke aanvallen je kunt verwachten. Het gaat daarbij niet alleen om directe hacks, maar vooral om misbruik van je identiteit via social engineering en fraude.

1. Identiteitsmisbruik – Met een kopie ID en een BSN kan identiteitsfraude gepleegd worden bij instanties die het niet zo nauw nemen met de regels, zoals het aanvragen van leningen of het afsluiten van abonnementen.
2. Accountgerichte aanvallen – Een veelgebruikte techniek is account recovery: criminelen proberen via de klantenservice van een bank, crypto-exchange of webshop toegang te krijgen tot je account. Met een kopie ID als “bewijs” kan dit verrassend effectief zijn. Ook aankopen op krediet of achterafbetaling op jouw naam zijn realistische scenario’s.

Wat kun je zelf doen?

De kans bestaat dus dat slachtoffers in de toekomst alsnog te maken krijgen met een mix van phishing, telefonische social engineering en financieel misbruik. Wees daarom altijd alert. Enkele tips:

• Bewaar de brief betreft het datalek als bewijs.
• Dien nooit een volledige kopie ID in en zeker niet via onbeveiligde kanalen; gebruik bijvoorbeeld de KopieID-app van de rijksoverheid of maak het BSN en pasfoto onleesbaar.
• Monitor actief je bankafschriften en kredietregistratie bij het BKR (mijnkredietregistratie.nl).
• Stel een alert in via volgjezorg.nl
• Zet waar mogelijk tweefactorauthenticatie aan, zeker voor financiële, medische en gevoelige persoonlijke websites of diensten.
• Wees alert op telefoontjes, post of mails die om “extra verificatie” vragen.
• Meld fraude altijd bij het Centraal Meldpunt Identiteitsfraude (CMI).

Conclusie

Hoewel het datalek voor de slachtoffers hopelijk met een sisser is afgelopen, laat het wel zien hoe groot de impact kan zijn wanneer medische en persoonlijke data samenkomt met identiteitsdocumenten. Voor slachtoffers is dit soort fraude vaak moeilijk recht te zetten en het kan leiden tot langdurige financiële én reputatieschade. Het onderstreept het belang van zorgvuldig omgaan met identiteitsgegevens en persoonlijke data. Voor instellingen en bedrijven is het een moment van reflectie: hoe goed is onze beveiliging eigenlijk geregeld?