Zwart-witbeeld van een digitale hartslagmonitor met de waarde 97
Nieuws4 juli · 06:115 min leestijd

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen

Bij Medtronic, maker van pacemakers en insulinepompen, zijn de gegevens van ruim 3,8 miljoen mensen gelekt na een inbraak in de eigen bedrijfssystemen. Een scherpe casus over het risico van je leverancier.

Bij Medtronic, een van de grootste fabrikanten van medische apparatuur ter wereld, zijn de persoonsgegevens van ruim 3,8 miljoen mensen buitgemaakt. Aanvallers drongen binnen in de eigen bedrijfssystemen van het concern en namen namen, contactgegevens, geboortedatums, social-securitynummers en gezondheidsinformatie mee. De apparaten zelf, van pacemakers tot insulinepompen die ook in Nederlandse ziekenhuizen draaien, bleven volgens Medtronic buiten schot. De gelekte data niet. En juist dat verschil maakt deze zaak leerzaam voor elke organisatie die patiëntgegevens of andere gevoelige data bij een externe leverancier onderbrengt.

Wat er precies gebeurde

Volgens de kennisgeving die Medtronic deze week naar getroffenen stuurde, kreeg een onbevoegde partij tussen 13 en 19 april 2026 toegang tot bepaalde bedrijfs-IT-systemen. Het bedrijf merkte de ongewone activiteit op 15 april op en legde de betrokken systemen stil. Pas ruim twee maanden later, in de week van 2 juli, gingen de brieven de deur uit. In totaal zijn volgens SecurityWeek ruim 3,8 miljoen mensen aangeschreven, op basis van de officiële datalekmeldingen; Medtronic zelf noemt in zijn verklaring geen aantal.

De blootgestelde gegevens omvatten namen, contactgegevens, geboortedatums, social-securitynummers en gezondheidsinformatie, precies de combinatie waarmee identiteitsfraude eenvoudig wordt. Medtronic biedt getroffenen 24 maanden gratis kredietmonitoring, dark-webmonitoring en hulp bij identiteitsherstel. In zijn eigen verklaring benadrukt het bedrijf dat er geen impact is op de productveiligheid of patiëntveiligheid, en dat ook de productie, distributie en financiële systemen niet zijn geraakt. Met andere woorden: een pacemaker of insulinepomp bij een patiënt blijft veilig werken. Het lek zit in de administratieve laag, niet in de apparaten.

Een Medtronic MiniMed Paradigm-insulinepomp met display en bedieningsknoppen (Bron: Ajepbah / Wikimedia Commons, CC BY-SA 3.0)
Een Medtronic MiniMed Paradigm-insulinepomp met display en bedieningsknoppen (Bron: Ajepbah / Wikimedia Commons, CC BY-SA 3.0)

ShinyHunters claimt negen miljoen records

Medtronic wijst in zijn verklaring geen dader aan en rept niet over afpersing. Toch is het incident door beveiligingsonderzoekers gekoppeld aan ShinyHunters, dezelfde afpersgroep die de afgelopen weken de ene na de andere grote organisatie raakte. De groep zette Medtronic omstreeks 18 april op zijn chantagesite en claimde meer dan negen miljoen records en terabytes aan interne bedrijfsdata te hebben gestolen, met een losgelddeadline van 21 april. Later verdween de vermelding weer van de site, wat kan wijzen op een betaling, al is dat niet bevestigd. De 3,8 miljoen aangeschreven mensen liggen daarmee ruim onder het aantal records dat de aanvallers zelf claimen.

ShinyHunters is geen onbekende naam. Dezelfde groep misbruikte een kritiek lek in Oracle PeopleSoft om salaris- en sofinummers van Nissan-werknemers buit te maken en claimde eerder gegevens van zo'n 275 miljoen gebruikers van leerplatform Canvas, dat veel Nederlandse onderwijsinstellingen gebruiken. Het patroon is telkens hetzelfde: een grote leverancier wordt gekraakt, en de gegevens van iedereen die met die leverancier werkt liggen op straat.

De apparaten zijn veilig, de data eromheen niet

De verleiding is groot om dit weg te zetten als een Amerikaans probleem. De aangeschreven slachtoffers zitten grotendeels in de Verenigde Staten, en Medtronic is een concern van zo'n 95.000 medewerkers met een omzet van ruim 33 miljard dollar in 150 landen. Maar juist dat is het punt: als een leverancier van deze omvang, met alle middelen en professionaliteit die daarbij horen, rechtstreeks in zijn eigen systemen wordt gekraakt, dan is 'die leverancier is groot en betrouwbaar' geen beveiligingsmaatregel.

Voor elke Nederlandse organisatie die patiëntgegevens, personeelsdata of klantinformatie bij een externe partij onderbrengt, geldt dezelfde les die eerder bleek uit het datalek bij Aflac Japan, waar 4,38 miljoen klantgegevens tien dagen onopgemerkt werden ingezien: onder de AVG blijf je verwerkingsverantwoordelijke voor gegevens die een leverancier voor je beheert, en onder NIS2 moet je de risico's in je hele toeleveringsketen beoordelen en incidenten binnen strakke termijnen melden. Een verwerkersovereenkomst op papier is niet genoeg als je niet weet hoe je leverancier zijn eigen IT beveiligt en hoe snel hij jou informeert bij een inbraak.

Wat betekent dit voor jou

Praktisch komt het hierop neer: breng in kaart welke leveranciers welke persoonsgegevens van jou verwerken, leg contractueel vast binnen hoeveel uur zij een incident bij jou moeten melden, en test of die afspraak in de praktijk ook echt werkt. Kijk daarbij niet alleen naar de directe leverancier, maar ook naar de partijen daarachter, want een lek verplaatst zich makkelijk een schakel verderop in de keten.

Het geruststellende nieuws is dat de pacemakers en pompen zelf blijven doen wat ze moeten doen. Het ongemakkelijke nieuws is dat de data eromheen, en het vertrouwen dat eraan hangt, net zo goed beschermd moet worden als het apparaat zelf. Voor een sector waarin dat vertrouwen soms letterlijk over leven en dood gaat, is een lek in de administratie geen bijzaak.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je dataketen

Ik help je in kaart brengen welke leveranciers jouw gevoelige data verwerken en bouw de koppelingen, meldprocessen en waar het kan self-hosted oplossingen die je die grip teruggeven. Van meedenken en ontwerp tot realisatie en automatisering.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Canvas-hack: minister weet nog niet hoeveel Nederlandse slachtoffers er zijn
Nieuws
4 min

25 jun 12:54

Canvas-hack: minister weet nog niet hoeveel Nederlandse slachtoffers er zijn

Bij leerplatform Canvas, gebruikt door veel Nederlandse onderwijsinstellingen en trainingsbedrijven, zijn gegevens buitgemaakt door crimineel collectief ShinyHunters. Onderwijsminister Letschert laat weten dat nog onbekend is hoeveel Nederlandse studenten zijn getroffen.

Datalek bij Aflac Japan raakt 4,38 miljoen klanten: de les over dochter- en derdenrisico
Nieuws
5 min

1 jul 06:29

Datalek bij Aflac Japan raakt 4,38 miljoen klanten: de les over dochter- en derdenrisico

Een hack bij de Japanse dochter van verzekeraar Aflac bleef tien dagen onopgemerkt en raakte 4,38 miljoen klanten. Een scherpe casus over dochter- en derdenrisico en over hoe je na een datalek communiceert.

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt
Nieuws
6 min

30 jun 00:47

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt

Nissan meldt een datalek nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten. De afpersgroep ShinyHunters trof zo'n 300 systemen bij meer dan honderd organisaties. Nederlandse bedrijven met PeopleSoft moeten direct patchen.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling
Nieuws
5 min

1 jul 12:07

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling

Een configuratiewijziging in een Microsoft-omgeving maakte gevoelige persoonsgegevens bijna een jaar toegankelijk binnen Avans' systeem AMIGO. Geen hack, wel een pijnlijke les over toegangsbeheer voor elk bedrijf.

Je cryptografie post-quantum-proof maken: van inventaris tot migratie in golven
Gids
9 min

25 jun 09:00

Je cryptografie post-quantum-proof maken: van inventaris tot migratie in golven

Een praktisch stappenplan om je organisatie quantumveilig te maken: inventariseer waar encryptie zit, prioriteer op risico, kies de NIST-standaarden en rol hybride uit in golven.