Medische gegevens waardevol voor criminelen?
Vanwege de spraakmakende hack bij het bevolkingsonderzoek duiken er weer berichten op over de vermeende grote waarde van medische gegevens voor criminelen. Vanuit mijn instelling om niet alles wat ik lees zomaar te geloven, vraag ik me hier ook af: “Is dat echt zo?”
Om te beginnen, als die data dan zoveel waard is, waarom moet de hacker zich dan inspannen om losgeld te krijgen? Waarom zou hij niet gewoon zijn gegevens verkopen en met stille trom en gevulde buidel vertrekken?
Wat zou een crimineel nou precies kunnen met die waardevolle gegevens? Stel je hebt 1.000 dossiers, hoe ga je te werk om daar geld uit te poeren? Allemaal mailtjes voorbereiden met spookfacturen die onmiddellijk betaald moet worden. Zou kunnen. Criminelen doen dat nu al op grote schaal. Zou dat veel beter werken met medische facturen? Ik betwijfel dat. In Nederland betaal je je medische rekeningen niet zelf. De eerlijke hardwerkende crimineel kan hier volgens mij geen belegde boterham aan verdienen.
Nog een theorie is het afpersen van mensen met het publiceren van hun medische doopceel. Echter in Nederland schamen we ons niet al teveel voor onze kwalen. Ik verwacht niet dat iemand bereid is 50 euro te betalen om te voorkomen dat zijn medicatiehistorie wordt gepubliceerd. Een goede afpers-procedure vereist bovendien aandacht en tijd. Dit lijkt mij ook geen kansrijk crimineel verdienmodel.
Zijn het dan de zorgverzekeraars die die data gebruiken om uitgebreide profielen van klanten samen te stellen en aan de hand daarvan ze te bestoken met reclame? Of erger nog, klanten op grond van hun gestolen dossier te weigeren. Dat zou betekenen dat Achmea, CZ, VGZ of Menzis een afdeling heeft die zich bezighoudt met acquisitie van gestolen gegevens op het darkweb om ze in hun eigen datawarehouse te laden. Dat lijkt me sterk. Hoe hou je dat geheim en wat gebeurt er met je verzekeringsbedrijf als dat uitlekt?
Het zijn vaak securitybedrijven die de mythe van waardevolle medische gegevens in standhouden. Daarbij wordt niet zelden kort door de bocht geredeneerd. Als iemand bij een gemeente gegevens op verzoek levert aan een crimineel voor 100 euro per vraag, dan betekent dat niet dat een gestolen dataset van 300.000 mensen 30 miljoen waard is. Toch worden dit soort redeneringen omfloerst gebruikt om een beeld te schetsen dat er bendes op pad zijn om de lucratieve medische gegevens te stelen. Als dat zo was dan heeft een IT medewerker van een zorg-serviceprovider dagelijks gegevens ter waarde van miljoenen onder de vingers. Zijn er al veel IT medewerkers benaderd met de vraag of ze een USB stick willen vullen voor een mooi rond bedrag? Mij is dat niet bekend, en het is te hopen dat er integere IT medewerkers zijn die van zo’n verzoek aangifte doen.
Natuurlijk is het wel degelijk zeer ernstig dat gegevens op straat liggen. We hebben de dure plicht om de privacy te beschermen van de mensen wiens gegevens ons toevertrouwd worden. Het is een schande als we daar laks mee omgaan. De reputatieschade heeft de houder over zichzelf afgeroepen. Bij flagrante laksheid dient er een boete worden uitgedeeld. Maar de berichten over de grote waarde van een medisch dossier kennen weinig onderbouwing.
Lees ook:
