Hoeveel patiëntendossiers werden blootgesteld bij de ManageMyHealth-inbreuk?

Bij de inbreuk werden de dossiers van bijna 100.000 patiënten blootgesteld.

Was de datalek bij ManageMyHealth te voorkomen?

Ja, uit een overheidsonderzoek bleek dat deze volledig te voorkomen was en dat het bedrijf maanden voor de aanval al was gewaarschuwd voor vergelijkbare kwetsbaarheden.

Welke beveiligingsfouten leidden tot de inbreuk?

Uit het onderzoek kwamen systemische tekortkomingen in de beveiligingscontroles naar voren en constateerde men dat het bedrijf niet had gereageerd op eerdere waarschuwingen over vergelijkbare kwetsbaarheden.

Welk type patiëntinformatie is gecompromitteerd?

De blootgestelde dossiers bevatten gevoelige gegevens zoals diagnoses, recepten, contactgegevens en mogelijk verzekerings- of financiële informatie.

Waarom is gestolen zorgdata zo waardevol voor aanvallers?

Zorggegevens zijn permanent en kunnen niet worden geannuleerd zoals een creditcard, waardoor ze jarenlang zeer bruikbaar zijn voor identiteitsdiefstal, frauduleuze verzekeringsclaims en social engineering-aanvallen.

ManageMyHealth-inbreuk: 100.000 patiëntendossiers blootgesteld ondanks eerdere waarschuwingen

Een overheidsonderzoek dat op 27 mei 2026 werd vrijgegeven, bevestigde wat beveiligingsprofessionals vreesden: de datalek bij ManageMyHealth, waarbij de dossiers van bijna 100.000 patiënten werden blootgesteld, was volledig te voorkomen. Het onderzoek bracht aanzienlijke tekortkomingen in de beveiligingscontroles aan het licht en, misschien wel het meest verontrustend, onthulde dat het bedrijf maanden voordat aanvallers er misbruik van maakten al was gewaarschuwd voor vergelijkbare kwetsbaarheden. Voor iedereen die ooit een digitaal gezondheidsplatform met zijn meest gevoelige persoonlijke informatie heeft vertrouwd, roept deze zaak een ongemakkelijke vraag op: wat gebeurt er als dat vertrouwen wordt geschaad?

De ManageMyHealth-inbreuk is niet alleen het verhaal van het falen van één bedrijf. Het herinnert ons eraan dat zorgen over de privacy van persoonlijke gezondheidsgegevens bij datalekken een gedeelde last zijn, een last die instellingen vaak niet voor jou dragen.

Wat het ManageMyHealth-onderzoek heeft vastgesteld: genegeerde waarschuwingen en beveiligingsfouten

Het overheidsonderzoek schetste een vernietigend beeld. De tekortkomingen in de beveiligingscontroles waren niet incidenteel of klein. Ze waren systemisch. Belangrijker nog: het rapport bevestigde dat ManageMyHealth vóór de aanval al was gewaarschuwd voor kwetsbaarheden die vergelijkbaar waren met de kwetsbaarheden die bij de inbreuk werden misbruikt. Op deze waarschuwingen werd niet tijdig gereageerd.

Dit patroon, waarbij bekende risico’s worden gedocumenteerd maar herstelmaatregelen worden uitgesteld of naar een lagere prioriteit verschoven, is een van de meest constante bevindingen in grote onderzoeken naar beveiliging in de gezondheidszorg. De tijdlijn is hierbij van enorm belang. Wanneer een organisatie wordt gewaarschuwd voor een kwetsbaarheid en deze niet dicht, verandert een latere inbreuk van nalatigheid in iets dat meer opzet heeft: de keuze om namens patiënten, die nooit zijn geraadpleegd, een risico te aanvaarden.

Bijna 100.000 patiëntendossiers vertegenwoordigen een enorme hoeveelheid gevoelige gegevens: diagnoses, recepten, contactgegevens en mogelijk verzekerings- of financiële informatie. Die informatie verloopt niet. Zodra die in handen van kwaadwillenden valt, kan deze nog jaren na het eerste incident worden gebruikt voor identiteitsfraude, verzekeringsoplichting of gerichte phishingcampagnes.

Waarom medische dossiers een waardevol doelwit zijn voor aanvallers

Zorggegevens behoren tot de meest waardevolle categorieën persoonlijke informatie op criminele marktplaatsen. In tegenstelling tot een gecompromitteerd creditcardnummer, dat kan worden geblokkeerd en opnieuw kan worden uitgegeven, kan de medische geschiedenis van een patiënt niet worden gewijzigd. Een diagnose is blijvend. Een medicatiedossier is levenslang aan je identiteit verbonden.

Door deze onveranderlijkheid zijn medische dossiers buitengewoon nuttig voor identiteitsdiefstal, frauduleuze verzekeringsclaims en social engineering-aanvallen. Aanvallers kunnen een gestolen medisch dossier combineren met andere uitgelekte datasets om gedetailleerde profielen van personen op te bouwen. Die diepgaande informatie levert een aanzienlijk hogere prijs op dan alleen financiële gegevens.

Voor platforms zoals ManageMyHealth, die medische dossiers van grote patiëntenpopulaties samenbrengen, levert één succesvolle inbreuk voor aanvallers een enorme opbrengst op in verhouding tot de benodigde inspanning. Juist deze asymmetrie — hoge opbrengst voor aanvallers en verwoestende gevolgen voor patiënten — is de reden waarom gezondheidsplatforms beveiliging moeten behandelen als een niet-onderhandelbare infrastructuur en niet als een operationele bijzaak.

Wat bedrijven jou verschuldigd zijn versus wat je zelf moet doen

Juridisch en ethisch gezien zijn organisaties die gezondheidsgegevens verzamelen en opslaan, patiënten een redelijke zorgplicht verschuldigd bij het beschermen van die informatie. Wanneer een bedrijf expliciete waarschuwingen over kwetsbaarheden ontvangt en niets doet, heeft het die verplichting waarschijnlijk geschonden. Overheidsonderzoeken en toezichtsmaatregelen kunnen volgen, maar zij herstellen de schade voor patiënten zelden volledig.

Compensatie, als die er al komt, is traag en vaak ontoereikend in verhouding tot de langetermijnrisico’s die door een blootgesteld medisch dossier ontstaan. Wettelijke aansprakelijkheid werkt retrospectief en adresseert de schade pas nadat die al is opgetreden. Juist in die kloof tussen wat instellingen jou schuldig zijn en wat je daadwerkelijk terugkrijgt, begint je eigen verantwoordelijkheid voor privacy.

Dit is geen victim blaming. Patiënten zouden geen cybersecurity-experts moeten worden om veilig een gezondheidsplatform te kunnen gebruiken. Maar het erkennen van de grenzen van institutionele bescherming is een praktisch uitgangspunt. Zoals de WA DOL datalek-zaak laat zien, hebben zelfs overheidsinstanties met uitdrukkelijke wettelijke verplichtingen het aanpakken van kritieke beveiligingslekken jarenlang bewust uitgesteld. Institutioneel falen is geen uitzondering. Het is een terugkerend patroon waarmee individuen rekening moeten houden in hun eigen privacygewoonten.

Persoonlijke privacyhulpmiddelen die je beschermen wanneer de beveiliging van een bedrijf faalt

De ManageMyHealth-inbreuk bevestigt nog eens dat het zinvol is om je eigen privacymaatregelen toe te voegen bovenop de beveiliging die een platform beweert te bieden. Dit zijn concrete stappen die je kunt overwegen:

Controleer wat je deelt. Voordat je je aanmeldt voor een gezondheidsplatform, kun je nagaan welke gegevensvelden verplicht zijn en welke optioneel. Door alleen de minimaal noodzakelijke informatie te verstrekken, beperk je je blootstelling als dat platform wordt getroffen door een inbreuk.

Gebruik unieke e-mailadressen. Door een apart e-mailadres aan te maken voor accounts in de gezondheidszorg, voorkom je dat aanvallers bij een inbreuk je inloggegevens kunnen gebruiken om toegang te krijgen tot je primaire e-mail, bankzaken of andere gevoelige accounts. Veel e-mailproviders ondersteunen aliassen juist voor dit doel.

Schakel multifactorauthenticatie in overal waar dat wordt aangeboden. Zelfs als de beveiligingscontroles van een platform op infrastructuurniveau falen, creëert MFA een extra barrière tegen het overnemen van accounts met gestolen inloggegevens.

Houd je dossiers actief in de gaten. Als je een melding krijgt van een inbreuk waarbij jouw gezondheidsgegevens betrokken zijn, overweeg dan een fraudemelding of een kredietbevriezing bij de grote kredietbureaus. Let op ongebruikelijke verzekeringsclaims of medische facturatie, een signaal dat jouw gezondheidsinformatie wordt misbruikt.

Gebruik een VPN op gedeelde of openbare netwerken. Hoewel een VPN de gegevens op een gecompromitteerde server niet beschermt, voorkomt het onderschepping van de gegevens die je verzendt, vooral op netwerken waar anderen jouw verkeer kunnen monitoren.

De risico’s voor de persoonlijke gezondheidsprivacy bij datalekken zijn niet theoretisch. Het ManageMyHealth-onderzoek maakt duidelijk dat waarschuwingen worden genegeerd, controles falen en patiënten de prijs betalen. De meest effectieve reactie is om je eigen digitale hygiëne te beschouwen als een parallelle beschermingslaag, onafhankelijk van de beloften van een platform.

Neem deze week de tijd om na te gaan welke gezondheidsapps en -platforms jouw dossiers bewaren, welke gegevens zij opslaan en of je elke beschikbare beveiligingsoptie hebt ingeschakeld. Institutionele verantwoording is belangrijk, maar mag nooit je enige verdedigingslinie zijn.