Bij Medtronic, een van de grootste fabrikanten van medische apparatuur ter wereld, zijn de persoonsgegevens van ruim 3,8 miljoen mensen buitgemaakt. Aanvallers drongen binnen in de eigen bedrijfssystemen van het concern en namen namen, contactgegevens, geboortedatums, social-securitynummers en gezondheidsinformatie mee. De apparaten zelf, van pacemakers tot insulinepompen die ook in Nederlandse ziekenhuizen draaien, bleven volgens Medtronic buiten schot. De gelekte data niet. En juist dat verschil maakt deze zaak leerzaam voor elke organisatie die patiëntgegevens of andere gevoelige data bij een externe leverancier onderbrengt.
Wat er precies gebeurde
Volgens de kennisgeving die Medtronic deze week naar getroffenen stuurde, kreeg een onbevoegde partij tussen 13 en 19 april 2026 toegang tot bepaalde bedrijfs-IT-systemen. Het bedrijf merkte de ongewone activiteit op 15 april op en legde de betrokken systemen stil. Pas ruim twee maanden later, in de week van 2 juli, gingen de brieven de deur uit. In totaal zijn volgens SecurityWeek ruim 3,8 miljoen mensen aangeschreven, op basis van de officiële datalekmeldingen; Medtronic zelf noemt in zijn verklaring geen aantal.
De blootgestelde gegevens omvatten namen, contactgegevens, geboortedatums, social-securitynummers en gezondheidsinformatie, precies de combinatie waarmee identiteitsfraude eenvoudig wordt. Medtronic biedt getroffenen 24 maanden gratis kredietmonitoring, dark-webmonitoring en hulp bij identiteitsherstel. In zijn eigen verklaring benadrukt het bedrijf dat er geen impact is op de productveiligheid of patiëntveiligheid, en dat ook de productie, distributie en financiële systemen niet zijn geraakt. Met andere woorden: een pacemaker of insulinepomp bij een patiënt blijft veilig werken. Het lek zit in de administratieve laag, niet in de apparaten.

ShinyHunters claimt negen miljoen records
Medtronic wijst in zijn verklaring geen dader aan en rept niet over afpersing. Toch is het incident door beveiligingsonderzoekers gekoppeld aan ShinyHunters, dezelfde afpersgroep die de afgelopen weken de ene na de andere grote organisatie raakte. De groep zette Medtronic omstreeks 18 april op zijn chantagesite en claimde meer dan negen miljoen records en terabytes aan interne bedrijfsdata te hebben gestolen, met een losgelddeadline van 21 april. Later verdween de vermelding weer van de site, wat kan wijzen op een betaling, al is dat niet bevestigd. De 3,8 miljoen aangeschreven mensen liggen daarmee ruim onder het aantal records dat de aanvallers zelf claimen.
ShinyHunters is geen onbekende naam. Dezelfde groep misbruikte een kritiek lek in Oracle PeopleSoft om salaris- en sofinummers van Nissan-werknemers buit te maken en claimde eerder gegevens van zo'n 275 miljoen gebruikers van leerplatform Canvas, dat veel Nederlandse onderwijsinstellingen gebruiken. Het patroon is telkens hetzelfde: een grote leverancier wordt gekraakt, en de gegevens van iedereen die met die leverancier werkt liggen op straat.
De apparaten zijn veilig, de data eromheen niet
De verleiding is groot om dit weg te zetten als een Amerikaans probleem. De aangeschreven slachtoffers zitten grotendeels in de Verenigde Staten, en Medtronic is een concern van zo'n 95.000 medewerkers met een omzet van ruim 33 miljard dollar in 150 landen. Maar juist dat is het punt: als een leverancier van deze omvang, met alle middelen en professionaliteit die daarbij horen, rechtstreeks in zijn eigen systemen wordt gekraakt, dan is 'die leverancier is groot en betrouwbaar' geen beveiligingsmaatregel.
Voor elke Nederlandse organisatie die patiëntgegevens, personeelsdata of klantinformatie bij een externe partij onderbrengt, geldt dezelfde les die eerder bleek uit het datalek bij Aflac Japan, waar 4,38 miljoen klantgegevens tien dagen onopgemerkt werden ingezien: onder de AVG blijf je verwerkingsverantwoordelijke voor gegevens die een leverancier voor je beheert, en onder NIS2 moet je de risico's in je hele toeleveringsketen beoordelen en incidenten binnen strakke termijnen melden. Een verwerkersovereenkomst op papier is niet genoeg als je niet weet hoe je leverancier zijn eigen IT beveiligt en hoe snel hij jou informeert bij een inbraak.
Wat betekent dit voor jou
Praktisch komt het hierop neer: breng in kaart welke leveranciers welke persoonsgegevens van jou verwerken, leg contractueel vast binnen hoeveel uur zij een incident bij jou moeten melden, en test of die afspraak in de praktijk ook echt werkt. Kijk daarbij niet alleen naar de directe leverancier, maar ook naar de partijen daarachter, want een lek verplaatst zich makkelijk een schakel verderop in de keten.
Het geruststellende nieuws is dat de pacemakers en pompen zelf blijven doen wat ze moeten doen. Het ongemakkelijke nieuws is dat de data eromheen, en het vertrouwen dat eraan hangt, net zo goed beschermd moet worden als het apparaat zelf. Voor een sector waarin dat vertrouwen soms letterlijk over leven en dood gaat, is een lek in de administratie geen bijzaak.
Veelgestelde vragen
Grip op je dataketen
Ik help je in kaart brengen welke leveranciers jouw gevoelige data verwerken en bouw de koppelingen, meldprocessen en waar het kan self-hosted oplossingen die je die grip teruggeven. Van meedenken en ontwerp tot realisatie en automatisering.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
