Informatiepagina cyberincident augustus 2022

De Nederlandse tandartspraktijken van Colosseum Dental werden in augustus 2022 het slachtoffer van cybercriminaliteit. Het ging hierbij om een aanval met zogeheten ransomware, ook wel gijzelsoftware genoemd. Als gevolg hiervan werden onze computerbestanden versleuteld. Er werd ook een betaling van losgeld geëist om de toegang tot onze computerbestanden te kunnen herstellen. De aanvaller claimde ook gegevens te hebben gekopieerd en deze te publiceren indien wij zouden weigeren om in te gaan op de eisen van de aanvaller. In reactie hierop maakten wij onder begeleiding van externe deskundigen afspraken met de aanvaller over het kunnen herstellen van onze gegevens en het niet-openbaar maken van eventueel gekopieerde gegevens.

Zoals wij nader uitleggen in deze vragenrubriek, kan op basis van het verrichte onderzoek niet worden uitgesloten in hoeverre gegevens daadwerkelijk zijn ingezien of gekopieerd. Daarom hechten wij er uit voorzorg aan om met betrokkenen proactief te communiceren over dit incident.

In samenwerking met externe deskundigen is er de afgelopen weken onderzoek verricht naar de mogelijke gevolgen van dit incident voor de bescherming van persoonsgegevens. Het gaat hierbij om zowel patiënt- als (kandidaat-)medewerkersgegevens, waaronder medische gegevens en gegevens uit het personeelsdossier. Dit onderzoek leidde echter niet tot voldoende zekerheid over de mate waarin persoonsgegevens als gevolg van dit incident ongeautoriseerd zijn verwerkt.

Vanwege de onzekere uitkomst van het onderzoek naar deze inbreuk hechten wij er uit voorzorg aan om huidige en oud-patiënten en huidige en oud-(kandidaat)medewerkers te informeren dat hun persoonsgegevens mogelijk zijn ingezien of gekopieerd als gevolg van deze inbreuk, maar dat hierover geen nader uitsluitsel kan worden verkregen.

Deze informatievoorziening richting betrokkenen is nauwkeurig afgestemd met de Autoriteit Persoonsgegevens, die wij in augustus 2022 direct na ontdekking over het incident hebben geïnformeerd.

Nee. Hoewel wij geen volledig uitsluitsel kunnen geven, verwachten wij niet dat patiënt- en medewerkersgegevens op straat komen te liggen als gevolg van dit incident. Wij baseren deze verwachting op het advies dat wij hierover op voorhand hebben ingewonnen bij externe deskundigen. Zij beschikken over bijzonder veel ervaring met dit type cybercriminaliteit en hebben ons intensief begeleid in dit traject. Zoals aangegeven hebben wij onder begeleiding van deze externe deskundigen afspraken gemaakt met de aanvaller over het niet-openbaar maken van eventueel gekopieerde gegevens. De ervaring leert dat aanvallers een groot belang hechten aan het nakomen van dit soort afspraken, omdat een schending van een dergelijke afspraak een ernstige afbreuk doet aan de betrouwbaarheid van dit soort cybercriminelen en daarmee de betalingsbereidheid van getroffen organisaties zou aantasten.

Wij communiceren met betrokkenen toch proactief over dit incident omdat wij niet volledig op beloftes van criminelen willen afgaan, ondanks dat de vele ervaringen van onze externe deskundigen vertrouwenwekkend lijken. Op deze manier stellen wij betrokkenen bijvoorbeeld in staat om – ondanks onze risico-inschatting  – extra alert te blijven op tekenen van mogelijk misbruik van hun persoonsgegevens.

De volgende praktijken zijn bij dit incident betrokken:

Wordt uw tandartsenpraktijk hierboven niet genoemd? Dan kunt u aannemen dat uw persoonsgegevens niet zijn betrokken bij dit incident.

Onze IT-systemen waren op diverse manieren beveiligd om ons zoveel mogelijk tegen cybercriminaliteit  te beschermen. Kennelijk hebben die maatregelen dit incident niet voorkomen, zoals dat ook bij andere beveiligde bedrijven helaas en met regelmaat gebeurt tegenwoordig. We laten ons daarom adviseren door externe beveiligingsdeskundigen om te achterhalen op welke punten onze beveiliging kan worden aangepast om het risico op het ontstaan van dit soort incidenten in de toekomst verder te verkleinen. Daarnaast hebben wij reeds een aantal directe maatregelen getroffen aan de hand waarvan wij het gebruik van onze IT-systemen op een verantwoorde wijze konden hervatten.

Nee, wij zullen geen nadere details over dit incident geven; juist ook vanwege die ICT-veiligheid zou het onverstandig zijn om verdere details te delen buiten ons gevormde specialistische onderzoeks- en adviesteam.

Er zijn in het belang van de bescherming van gegevens van alle betrokkenen onder begeleiding van externe deskundigen afspraken gemaakt met de aanvaller over het herstel van de toegang tot de gegevens en het verwijderen en niet-openbaar maken van eventueel gekopieerde gegevens. Meer details hierover maken wij niet bekend.

Ja, de Autoriteit Persoonsgegevens is op de hoogte gesteld van het incident binnen de geldende wettelijke termijn van 72 uur nadat het incident was ontdekt, namelijk op 5 augustus 2022.

Ja, onze formele aangifte wordt binnenkort ingediend.

Colosseum Dental is een tandartsenketen met tandartsenpraktijken door heel het land.  Deze tandartsenpraktijken worden door Colosseum Dental centraal ondersteund door een zogeheten Dental Service Center, bijvoorbeeld in het kader van IT-oplossingen. Dit Dental Service Center treedt op als een zogeheten verwerker ten behoeve van de desbetreffende tandartsenpraktijk. Uw tandartsenpraktijk is verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens. Colosseum Dental neemt een uitvoerende taak op zich in het kader van de communicatie met betrokkenen over dit incident.

In samenwerking met externe deskundigen is er de afgelopen weken onderzoek verricht naar de mogelijke gevolgen van dit incident voor de bescherming van persoonsgegevens. Het gaat hierbij om zowel patiënt- als (kandidaat-)medewerkersgegevens, waaronder medische gegevens en gegevens uit het personeelsdossier. Dit onderzoek leidde echter niet tot voldoende zekerheid over de mate waarin persoonsgegevens als gevolg van dit incident ongeautoriseerd zijn verwerkt.

Bent u patiënt, oud-patiënt of een huidige dan wel oud-(kandidaat)medewerker van een betrokken praktijk (zie "Welke Nederlandse tandartspraktijken zijn betrokken bij dit incident?")? Gezien de onzekere uitkomst van het onderzoek hechten wij eraan om u te informeren dat uw persoonsgegevens mogelijk zijn ingezien of gekopieerd als gevolg van deze inbreuk.

Belangrijk: wij kunnen helaas niet bevestigen of uitsluiten dat uw persoonsgegevens als gevolg van dit incident daadwerkelijk onbevoegd zijn ingezien of gekopieerd. De oorzaak hiervan is, dat het daartoe uitgevoerde onderzoek onvoldoende duidelijkheid en zekerheid verschaft. Nadere individuele vragen hierover kunnen daarom helaas ook niet inhoudelijk door ons worden beantwoord.

Bent u patiënt, oud-patiënt of een huidige dan wel oud-(kandidaat)medewerker van een betrokken praktijk (zie "Om welke praktijken gaat het precies?")? Gezien de onzekere uitkomst van het onderzoek hechten wij eraan om u te informeren dat uw persoonsgegevens mogelijk zijn ingezien of gekopieerd als gevolg van deze inbreuk.

Wij verwachten niet dat patiënt- en medewerkersgegevens op straat komen te liggen als gevolg van dit incident. Wij baseren deze verwachting op het advies dat wij hierover hebben ingewonnen bij externe deskundigen. Zij beschikken over bijzonder veel ervaring met dit type cybercriminaliteit. Zoals aangegeven hebben wij afspraken gemaakt met de aanvaller over het niet-openbaar maken van eventueel gekopieerde gegevens. De ervaring leert dat aanvallers een groot belang hechten aan het nakomen van dit soort afspraken, omdat een schending van een dergelijke afspraak een ernstige afbreuk doet aan de betrouwbaarheid van dit soort cybercriminelen en daarmee de betalingsbereidheid van getroffen organisaties zou aantasten.

Wij communiceren met betrokkenen toch proactief over dit incident omdat wij niet volledig op beloftes van criminelen willen afgaan, ondanks dat de vele ervaringen van onze externe deskundigen vertrouwenwekkend lijken. Op deze manier stellen wij betrokkenen bijvoorbeeld in staat om – ondanks onze risico-inschatting  – extra alert te blijven op tekenen van mogelijk misbruik van hun persoonsgegevens. Specifiek vragen wij uw aandacht voor het volgende:

• Blijf altijd alert op onverwachte of verdachte telefoontjes, e-mails of sms-berichten waarin u wordt gevraagd informatie over uzelf te verstrekken, vooral als iemand bijvoorbeeld beweert contact te zoeken namens uw bank.
• Als u merkt dat u mogelijk te maken heeft met identiteitsfraude of soortgelijke ongewenste voorvallen, meld dit dan direct bij de politie en vraag hen advies over eventuele voorzorgsmaatregelen of risicobeperkende maatregelen die u kunt nemen.

Meer informatie over frauderisico en het beperken hiervan is ook beschikbaar via de door de overheid gefaciliteerde website www.fraudehelpdesk.nl. 

Bent u patiënt of oud-patiënt? Dan kan het gaan om alle gegevens die wij in het kader hiervan verwerken. Behalve uw naam- en contactgegevens en medische informatie kan het hierbij bijvoorbeeld ook gaan om uw Burgerservicenummer en bankrekeningnummer.

Bent u (oud-) medewerker of kandidaat-medewerker? Dan kan het gaan om alle gegevens die wij in dat kader van u verwerken, zoals gegevens uit het personeelsdossier. Behalve uw naam- en contactgegevens kan het hierbij bijvoorbeeld ook gaan om een kopie van uw legitimatiebewijs, uw bankrekeningnummer en uw arbeidsvoorwaarden. 

Wij bewaren gegevens van oud-patiënten en oud-medewerkers in het kader van wettelijke bewaarplichten. Denk bijvoorbeeld aan de bewaarplicht voor medische dossiers en de bewaarplicht op grond van belastingwetgeving.  

Voor een antwoord op deze vraag verwijzen wij u naar de desbetreffende instantie. Colosseum Dental en haar tandartsenpraktijken verstrekken hierover geen advies, omdat het niet onze expertise is en er ook persoonlijke afwegingen en sectorafwegingen vanuit banken of overheden meespelen. Meer informatie over frauderisico en het beperken hiervan is ook beschikbaar via de door de overheid gefaciliteerde website www.fraudehelpdesk.nl.

Als u merkt dat u mogelijk te maken heeft met identiteitsfraude of soortgelijke ongewenste voorvallen, meld dit dan direct bij de politie en vraag hen advies over eventuele voorzorgsmaatregelen of risicobeperkende maatregelen die u kunt nemen. Meer informatie over frauderisico en het beperken hiervan is ook beschikbaar via de door de overheid gefaciliteerde website www.fraudehelpdesk.nl.

Er is geen aanleiding om te veronderstellen dat er sprake is geweest van een dergelijke wijziging. 

Nee, wij hebben geconcludeerd dat alle geraakte gegevens succesvol zijn hersteld.

In samenwerking met externe deskundigen is er na het incident onderzoek verricht naar de mogelijke gevolgen van dit incident voor de bescherming van persoonsgegevens, dit om betrokkenen adequaat te kunnen informeren. Deze informatievoorziening richting betrokkenen is nauwkeurig afgestemd met de Autoriteit Persoonsgegevens, die wij in augustus 2022 direct na ontdekking over het incident hebben geïnformeerd.

In overleg met de Autoriteit Persoonsgegevens hebben wij vastgesteld welke betrokkenen wij wel/niet rechtstreeks konden bereiken op basis van adequate en beschikbare contactgegevens. Toen duidelijk werd dat wij zonder onevenredige inspanning inderdaad niet iedereen rechtstreeks zouden kunnen bereiken, is besloten om tevens een openbare mededeling te doen over dit incident. Deze werkwijze is in lijn met de wettelijke regels die gelden voor het melden van dit soort incidenten.

U kunt een e-mail sturen naar vragen@colosseumdental.nl. Let op: omdat deze Q&A regelmatig wordt geüpdatet en mogelijk alsnog een antwoord geeft op een eerder door u gestelde vraag, adviseren wij u om deze website tussentijds te blijven raadplegen.

Wordt uw vraag niet beantwoord in de Q&A? Dan doen wij ons best om uw e-mail zo spoedig mogelijk te beantwoorden.