In Frankrijk is een omvangrijk datalek met zeer gevoelige medische gegevens van naar schatting 11 tot 15 miljoen personen aan het licht gekomen. Volgens een onderzoek van de Franse televisiezender France 2 was een grote database met vertrouwelijke informatie vrij toegankelijk. De gegevens, ingevoerd door zorgverleners in het softwarepakket van aanbieder Cegedim, bevatten naast persoonsgegevens zoals naam, geboortedatum, telefoonnummer en adres mogelijk ook privacygevoelige opmerkingen in vrije tekstvelden, variërend van medische diagnoses tot persoonlijke of familiale situaties.
De authenticiteit van de gegevens is door meerdere betrokkenen bevestigd. Ook enkele vooraanstaande politici en medewerkers op het gebied van nationale veiligheid zouden in de database voorkomen. Het cyberveiligheidsincident wordt door de verantwoordelijke softwareleverancier Cegedim erkend, maar het bedrijf benadrukt dat uitsluitend administratieve gegevens zijn uitgelekt en gestructureerde medische dossiers niet zijn ingezien. Ruim 1.500 van de 3.800 artsen die het betreffende systeem gebruiken zouden getroffen zijn. De onderneming zegt samen te werken met de autoriteiten, de privacywaakhond CNIL en de betreffende artsen, die op hun beurt verplicht zijn patiënten te informeren.
Er bestaat nog onzekerheid over de exacte omvang van het datalek en over de mate waarin gegevens daadwerkelijk zijn verspreid. Onafhankelijke verificatie van de getoonde volumes ontbreekt, aangezien één ethische hacker melding maakt van grotere aantallen en van verdergaande gevoelige inhoud dan door Cegedim is bevestigd. Het onderzoek van de autoriteiten loopt nog, waarbij ook de Franse minister van Volksgezondheid om opheldering en aanvullende waarborgen heeft gevraagd. In een verklaring wijst het ministerie erop dat het incident een externe dienstverlener betreft en niet veroorzaakt is door de eigen IT-systemen van de staat.
Het Franse zorgdomein werd het afgelopen jaar al geconfronteerd met een stijgend aantal cyberincidenten. Hierbij werd Cegedim Santé in september 2024 nog door de CNIL beboet voor ontoereikende bescherming van medische data binnen een ander softwarepakket. De definitieve impact en volledige toedracht van de huidige datalek blijven onderwerp van onderzoek. Vooralsnog worden extra zekerheidmaatregelen en transparantie verlangd vanuit de bevoegde instanties.
Reacties ()
Log in om mee te doen aan het gesprek en een reactie achter te laten!