Nederlandse Colosseum Dental betaalt losgeld aan criminelen na ransomwareaanval

by | Aug 9, 2022 | Uncategorized |


R4gnax begin met:

Dat wordt een stuk anders wanneer er bijzondere persoonsgegevens in het spel zijn, […]

Helaas – de AP beboet pas na een eerdere waarschuwing of als het bedrijf een overduidelijk slechte beveiliging had die de AP eenvoudig kan aantonen of waarover (voormalig) personeel uit de school klapt. Kruis of munt (met een grote kans in jouw nadeel).

Mocht de AP toch durven te beboeten, dan verwacht ik dat Colosseum naar de rechter zal stappen – en gelijk zal krijgen.

M.b.t. een BSN zal die rechter constateren dat een BSN een “informatieloos” getal is en bovendien dat de kans op identiteitsfraude met alleen een BSN klein is (d.w.z. niet op een scan van een identiteitsbewijs gelekt is, en “zelfs dan”).

Sowieso is het overheidsbeleid rondom het BSN absurd tweeslachtig: enerzijds moet het zoveel mogelijk “geheim” blijven, terwijl steeds meer partijen het (al dan niet zwak gepseudonimiseerd) mogen gebruiken en uitwisselen. Anderzijds is het niet bedoeld als (remote) authenticatiemiddel; het kennen ervan bewijst geenszins dat jij degene bent aan wie dat nummer gekoppeld is.

M.a.w. geen enkele crimineel zou wat aan jouw BSN moeten hebben. Mocht dat in de praktijk anders zijn, dan mag jij de partij die onterecht dacht dat jij jij was, voor de rechter slepen (de bal ligt dan bij jou).

M.b.t. de gekopiejatte gebitsgegevens en behandelhistorie zal de rechter aanvoeren dat die gegevens niet jouw eigendom zijn en bovendien op de zwarte markt weinig tot geen waarde hebben.

En door het losgeld te betalen heeft Colosseum diens best gedaan om te voorkomen dat jouw gegevens verloren gaan.

Mede daardoor heb jij op dit moment nog geen aantoonbare schade (anders dan een sacherijnig gevoel). Hooguit loop je een risico, maar de kans op meetbare schade en de grootte daarvan zijn net zo voorspelbaar als het weer vandaag over een paar jaar. Kom maar terug als je concrete schade hebt geleden, mits aantoonbaar als gevolg van deze hack (succes daarmee).

De AVG/GDPR is grotendeels bangmakerij met onderbezette overwerkte en budgetarme tandenloze tijgers als handhavers.

Als jij en veel medepatiĆ«nten andere tandartsen (met fatsoenlijke ICT-leverancier) gaan zoeken, zouden de vorige tandartsen Colosseum daarvoor aansprakelijk kunnen stellen – maar daar schiet jij niks mee op (en dat is geen boete van de AP).