Wanneer vond het datalek bij NYC Health + Hospitals plaats?

Het lek duurde van 25 november 2025 tot 11 februari 2026, een periode van ongeveer 11 weken. Het werd op 24 maart 2026 openbaar bekendgemaakt.

Welke soorten persoonlijke informatie zijn bij het lek blootgesteld?

Blootgestelde gegevens kunnen namen, burgerservicenummers, rijbewijsnummers, medische informatie, ziekteverzekeringsgegevens, factuurinformatie en biometrische gegevens omvatten.

Hoeveel patiënten zijn getroffen door het lek?

Het totale aantal getroffen personen is nog niet bevestigd, omdat het onderzoek op het moment van bekendmaking nog gaande was.

Waarom worden biometrische gegevens als bijzonder ernstig beschouwd bij dit lek?

Biometrische gegevens zoals vingerafdrukken of gezichtsherkenningsgegevens kunnen niet worden gewijzigd of hersteld zoals een wachtwoord of burgerservicenummer dat kan, wat betekent dat de blootstelling permanent is zodra ze zijn uitgelekt.

Waarom zijn zorginstellingen veelvoorkomende doelwitten voor cyberaanvallen?

Zorginstellingen bezitten buitengewoon waardevolle gegevens, waaronder medische dossiers, verzekeringsgegevens en burgerservicenummers, die maanden of jaren kunnen worden misbruikt voordat een slachtoffer doorheeft dat er iets mis is.

NYC Health + Hospitals-datalek: wat patiënten moeten weten

Een groot datalek in de gezondheidszorg zet een onbekend aantal patiënten op scherp. NYC Health + Hospitals, een van de grootste publieke zorgsystemen in de Verenigde Staten, maakte op 24 maart 2026 bekend dat een onbevoegde derde partij zich bijna drie maanden lang stilletjes door het netwerk had bewogen en gevoelige persoonlijke en medische gegevens had buitgemaakt. Het datalek bij NYC Health + Hospitals duurde van 25 november 2025 tot 11 februari 2026, een periode van ongeveer 11 weken waarin aanvallers toegang hadden tot bestanden met enkele van de meest gevoelige informatie die iemand kan bezitten.

Het onderzoek is nog gaande en het totale aantal getroffen personen is nog niet bevestigd. Die onzekerheid is precies wat dit lek zo verontrustend maakt.

Welke gegevens zijn blootgesteld?

De omvang van de gecompromitteerde gegevens is breed. Volgens de bekendmaking kunnen de gestolen bestanden het volgende bevatten:

Namen en persoonlijke identificatiegegevens
Burgerservicenummers
Rijbewijsnummers
Medische informatie
Ziekteverzekeringsgegevens
Factuurinformatie
Biometrische gegevens

Die laatste categorie verdient speciale aandacht. Biometrische gegevens, waaronder vingerafdrukken, gezichtsherkenningsgegevens of andere fysieke identificatoren, kunnen niet worden gewijzigd zoals een wachtwoord of zelfs een burgerservicenummer na verloop van tijd kan worden hersteld. Zodra biometrische gegevens zijn uitgelekt, zijn ze permanent uitgelekt.

De combinatie van medische dossiers, verzekeringsgegevens en overheidsdocumentnummers creëert ook een bijzonder gevaarlijk profiel voor identiteitsdiefstal en medische fraude. Criminelen kunnen dit soort gegevens gebruiken om frauduleuze verzekeringsclaims in te dienen, receptgeneesmiddelen te verkrijgen of kredietlijnen op naam van een slachtoffer te openen.

Waarom datalekken in de gezondheidszorg bijzonder schadelijk zijn

Zorginstellingen zijn veelvoorkomende doelwitten voor cyberaanvallen, en dat is niet moeilijk te begrijpen. De gegevens die zij bezitten zijn buitengewoon waardevol. Een gestolen creditcardnummer kan binnen minuten worden geblokkeerd. Een gestolen medisch dossier, gevuld met verzekeringsgegevens, burgerservicenummers en diagnoses, kan maanden of zelfs jaren worden misbruikt voordat een slachtoffer doorheeft dat er iets mis is.

De duur van elf weken van dit specifieke lek roept ook ernstige vragen op over detectievermogen. De aanvallers bevonden zich van eind november tot begin februari op het netwerk, een periode die de feestdagen omvatte, wanneer de IT-bezetting bij veel organisaties beperkt is. Hoe langer een aanvaller onopgemerkt blijft, hoe meer gegevens ze kunnen benaderen en stelen, en hoe moeilijker het wordt om de volledige omvang van de schade vast te stellen.

Publieke zorgsystemen zoals NYC Health + Hospitals bedienen miljoenen patiënten, van wie velen afkomstig zijn uit kwetsbare gemeenschappen met beperkte middelen om op identiteitsdiefstal te reageren. De impact van een lek van deze omvang gaat ver voorbij ongemak.

Wat dit voor u betekent

Als u patiënt bent bij NYC Health + Hospitals of denkt dat uw gegevens mogelijk betrokken zijn, volgen hier praktische stappen die u nu direct kunt nemen:

Bevries uw krediet bij alle drie de grote bureaus (Equifax, Experian, TransUnion). Een kredietbevriezing is gratis en voorkomt dat er nieuwe accounts op uw naam worden geopend.
Controleer uw ziekteverzekeringsoverzichten zorgvuldig op claims of diensten die u niet herkent. Medische identiteitsdiefstal kan moeilijk te detecteren zijn zonder uw vergoedingsdocumenten actief te controleren.
Let op phishingpogingen. Aanvallers die uw persoonlijke gegevens bemachtigen, gebruiken deze vaak om overtuigende vervolgoplichting te bedenken via e-mail, telefoon of sms. Wees sceptisch tegenover ongevraagd contact dat beweert afkomstig te zijn van uw zorgverlener.
Wacht op officiële kennisgeving. NYC Health + Hospitals zal naar verwachting getroffen personen rechtstreeks informeren. Volg de instructies in die kennisgeving, die waarschijnlijk aanbiedingen voor kredietbewaking zal bevatten.

Naast het reageren op dit specifieke incident is het de moeite waard om na te denken over uw bredere digitale gewoonten. Veel mensen denken er niet twee keer over na om te zoeken naar gezondheidsklachten, te communiceren met zorgverleners via onbeveiligde e-mail, of patiëntenportalen te gebruiken op openbare wifi. Elk van deze activiteiten laat een spoor achter dat kan worden onderschept of geregistreerd.

Uw gezondheidsgegevens in de toekomst beschermen

Geen enkel hulpmiddel kan een lek voorkomen bij een instelling die u vertrouwt met uw zorg. Maar u heeft wel controle over hoeveel van uw eigen gegevens worden blootgesteld tijdens uw dagelijkse online activiteiten. Het gebruik van een VPN bij het openen van gezondheidsportalen, het opzoeken van medische informatie, of het communiceren met zorgverleners op openbare of gedeelde netwerken voegt een betekenisvolle laag privacy toe. Het voorkomt dat uw internetprovider, netwerkbeheerders en externe trackers een profiel opbouwen van uw gezondheidsgerelateerd browsegedrag.

Het datalek bij NYC Health + Hospitals is een herinnering dat gevoelige gegevens op veel plaatsen bestaan, niet alleen op uw eigen apparaten. Het beschermen van uw digitale voetafdruk bij al uw online activiteiten, niet alleen de voor de hand liggende, is een van de meest praktische dingen die u kunt doen voor uw privacy op de lange termijn.

hide.me VPN versleutelt uw internetverbinding en maskeert uw IP-adres, waardoor het voor iedereen aanzienlijk moeilijker wordt om uw online gezondheidsactiviteiten te monitoren. Het is een eenvoudige stap die u vandaag nog kunt zetten, ongeacht waar dit specifieke onderzoek naartoe leidt.