Colosseum Dental heeft contact gehad met degene die verantwoordelijk is voor het beveiligingsincident in augustus. Daarbij zijn afspraken gemaakt over het verwijderen en niet-openbaar maken van privégegevens. De tandartsenketen kan echter niet garanderen dat de hackers geen kopieën achter de hand hebben gehouden.
Dat meldt Colosseum Dental in een persverklaring (1).
Begin augustus was Colosseum Dental het doelwit van een cyberaanval. Daarbij werden computerbestanden versleuteld. Ook de back-ups waren door het incident niet toegankelijk. Ruim 120 tandartspraktijken moesten hierdoor noodgedwongen de deuren sluiten.
Om erger te voorkomen besloot Colosseum Dental om de daders losgeld te betalen. “Alleen op deze manier konden wij op deze korte termijn het risico voor alle betrokkenen minimaliseren en de praktijkvoering relatief snel weer herstellen”, zo verdedigde het bedrijf het besluit. Welk bedrag hiermee gemoeid was, hield het bedrijf voor zich.
Het voorval werd op 5 augustus gemeld bij de Autoriteit Persoonsgegevens. Er is tevens aangifte gedaan bij de politie. Het Eindhovense cybersecuritybedrijf Cyber4Z hielp de tandartsenpraktijken bij de afhandeling van de aanval.
Maandag gaf Colosseum Dental een update over de laatste stand van zaken. Daarin zegt het bedrijf het nog steeds te betreuren dat de zorgverlening tijdelijk stilgelegd moest worden om de IT-systemen te herstellen. Het bedrijf bevestigt dat de toezichthouder en politie zijn geïnformeerd over het incident en dat externe deskundigen het bedrijf begeleiden bij de afhandeling van het voorval.
Colosseum Dental geeft in het persbericht meer details prijs over het onderzoek. De afgelopen weken heeft het bedrijf samen met beveiligingsdeskundigen van buitenaf de mogelijke gevolgen van het incident voor de bescherming van persoonsgegevens in kaart gebracht. Het gaat naar eigen zeggen om medische gegevens en gegevens uit het personeelsdossier van zowel patiënt- als (kandidaat-)medewerkersgegevens. Naast naam- en contactgegevens en medische informatie zijn mogelijk ook bankrekeningnummers en BSN-nummers buitgemaakt.
“In het belang van de bescherming van gegevens van patiënten en (kandidaat-)medewerkers maakten wij afspraken met de aanvaller over het herstel van de toegang tot de gegevens en het verwijderen en niet-openbaar maken van eventueel gekopieerde gegevens”, zo schrijft Colosseum Dental in de persverklaring. “Dit onderzoek leidde echter niet tot voldoende zekerheid over de mate waarin persoonsgegevens als gevolg van dit incident ongeautoriseerd zijn verwerkt.”
Omdat de tandartsenpraktijken niet met zekerheid kunnen zeggen of de hackers privégegevens van klanten en medewerkers hebben ingezien of gekopieerd, krijgen gedupeerden te horen dat dit mogelijk het geval is.
“Wij kunnen helaas niet bevestigen of uitsluiten dat uw persoonsgegevens als gevolg van dit incident daadwerkelijk onbevoegd zijn ingezien of gekopieerd. De oorzaak hiervan is, dat het daartoe uitgevoerde onderzoek onvoldoende duidelijkheid en zekerheid verschaft. Nadere individuele vragen hierover kunnen daarom helaas ook niet inhoudelijk door ons worden beantwoord”, zo valt er te lezen op de FAQ-pagina over het incident.
Alle gegevens in de patiëntendossiers zijn weer volledig hersteld. Klanten die vermoeden dat ze het slachtoffer zijn van identiteitsfraude, krijgen het advies om zich bij de politie te melden. Agenten kunnen hen meer vertellen over eventuele voorzorgs- of risicobeperkende maatregelen.
