Datalekken, Nieuws

Biometrische gegevens, diagnoses en bankgegevens zijn gelekt bij een groot datalek in de gezondheidszorg

door Pieter Arntz | 19 mei 2026
digitale gezondheidsinformatie

NYC Health + Hospitals (NYC H+H) heeft een melding van een datalek gepubliceerd over een maandenlang durend incident via een externe leverancier, waarbij uiterst gevoelige patiënten- en personeelsgegevens van ten minste 1,8 miljoen mensen openbaar zijn geraakt, waaronder medische dossiers, identiteitsbewijzen, locatiegegevens en zelfs biometrische gegevens zoals vingerafdrukken en handpalmafdrukken.

NYC H+H heeft op 2 februari 2026 verdachte activiteiten waargenomen en heeft later bevestigd dat een onbevoegde persoon van ongeveer eind november 2025 tot en met februari 2026 toegang had tot delen van het netwerk.

Tijdens deze periode hebben aanvallers bestanden gekopieerd die persoonlijke, medische, financiële en biometrische gegevens bevatten. Het incident werd op 24 maart 2026 gemeld bij het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) en treft momenteel minstens 1,8 miljoen personen, waardoor het tot nu toe een van de grootste datalekken in de gezondheidszorg van 2026 is.

HHS-aanvraag

NYC H+H schrijft de inbreuk toe aan een beveiligingslek bij een niet nader genoemde externe leverancier die toegang had tot zijn systemen. Dit past in het huidige patroon van inbreuken in de toeleveringsketen, waarbij een leverancier als toegangspunt fungeert voor aanvallers om toegang te krijgen tot de systemen of gegevens van zijn klanten.

Dit soort incidenten zijn een schoolvoorbeeld van hoe gevoelige gezondheidsgegevens kunnen leiden tot langdurige fraude, misbruik in de vorm van stalkerwareen blijvend verlies van privacy.

Scan digitale voetafdruk

Controleer of uw persoonlijke gegevens zijn blootgesteld.

Soorten gegevens

Volgens de mededeling van NYC H+H en de bijbehorende artikelen is de gelekte dataset ongewoon uitgebreid en gedetailleerd.

We kunnen de gegevens in drie verschillende lagen indelen:

  • Klassieke PII, die kan worden gecombineerd met andere gelekte datasets: volledige namen en contactgegevens. Door de overheid uitgegeven identificatienummers, waaronder burgerservicenummers, rijbewijs- en paspoortnummers, andere officiële identificatienummers, belastingnummers en IRS-PIN-codes voor identiteitsbescherming. Bij het datalek zijn ook facturerings- en betalingsgegevens, evenals bank- en kaartgegevens, openbaar geworden, die kunnen worden gebruikt voor directe financiële diefstal en zeer overtuigende social engineering.
  • Medische en verzekeringsgegevens: gedetailleerde diagnoses, medicatielijsten en testresultaten kunnen aandoeningen aan het licht brengen die mensen wellicht verborgen hebben gehouden voor werkgevers, familie of verzekeraars, wat de deur openzet voor chantage, gerichte oplichting en discriminatie. Verzekerings- en claimgegevens kunnen worden misbruikt om frauduleuze claims in te dienen, vergoedingen naar een andere bestemming te leiden of zich in zorgsystemen voor te doen als iemand anders.
  • Biometrische gegevens: deze zijn minstens even gevoelig als medische gegevens, omdat ze je meestal je hele leven bijblijven. Ze zijn niet eenvoudig te wissen of te vervangen. Als ze eenmaal zijn gecompromitteerd, vormen grote biometrische databases een langdurig risico voor iedereen die erop vertrouwt als betrouwbare identificatiemiddelen.

Helaas past dit in een breder patroon. Het Internet Crime Complaint Center (IC3) van de FBI meldt dat de gezondheidszorg in 2025 de meest getroffen sector binnen de kritieke infrastructuur was wat betreft ransomware, met 460 ransomware-incidenten en 182 gemelde datalekken in de gezondheidszorg.

Alleen al door de ransomware-aanval op Change Healthcare kwamen medische en factuurgegevens van meer dan 190 miljoen Amerikanen op straat te liggen, wat aantoont hoe één enkele tussenpersoon in de gezondheidszorg een heel systeem kan ontwrichten.

Wat te doen als je erbij betrokken bent

Als u contact heeft gehad met NYC Health + Hospitals, bestaat de kans dat uw persoonsgegevens zijn getroffen.

NYC Health + Hospitals stelt via Kroll Information Assurance, LLC gedurende 24 maanden kosteloos diensten ter voorkoming en beperking van identiteitsdiefstal beschikbaar, waaronder kredietbewaking, voor iedereen die ooit voor NYC Health + Hospitals heeft gewerkt of daar als patiënt is geweest. Raadpleeg de kennisgeving over het datalek voor meer informatie.

Als u denkt dat uhet slachtoffer bent gewordenvan een datalek, kunt u de volgende stappen ondernemen om uzelf te beschermen:

  • Raadpleeg het advies van het bedrijf.Elke inbreuk is anders, dus neem contact op met het bedrijf om te achterhalen wat er is gebeurd en volg het specifieke advies dat het geeft.
  • Wijzig uw wachtwoord. u een gestolen wachtwoord onbruikbaar maken voor dieven door het te wijzigen. Kies een sterk wachtwoord dat u nergens anders voor gebruikt. Beter nog, laat een wachtwoordmanager er een voor u kiezen.
  • Schakeltweefactorauthenticatie (2FA)in.Gebruik indien mogelijk een FIDO2-compatibele hardwaresleutel, laptop of telefoon als tweede factor. Sommige vormen van 2FA kunnen net zo gemakkelijk worden gehackt als een wachtwoord, maar 2FA die gebruikmaakt van een FIDO2-apparaat kan niet worden gehackt.
  • Pas op voor oplichters.De criminelen kunnen contact met je opnemen en zich voordoen als het gehackte platform. Kijk op de officiële website of het platform daadwerkelijk contact opneemt met slachtoffers en controleer de identiteit van iedereen die via een ander communicatiekanaal contact met je opneemt.
  • Neem uw tijd. Phishing-aanvallen doen zich vaak voor als mensen of merken u en gebruiken thema's die dringende aandacht vereisen, zoals gemiste leveringen, opschortingen van accounts en beveiligingswaarschuwingen.
  • Overweeg om uw kaartgegevens niet op te slaan. Het is zeker handiger om websites uw kaartgegevens te laten onthouden, maar het verhoogt het risico als een winkelier te maken krijgt met een inbreuk op de beveiliging.
  • Stelidentiteitsbewaking in, die u waarschuwt als uwpersoonlijke gegevensillegaal online worden verhandeld en u helpt om daarna weer op orde te komen.

Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.

Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal. 

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Oplichting
De Aldi-vleesboxzwendel

Facebook belooft goedkope vleespakketten van Aldi, maar steelt in plaats daarvan betalingsgegevens

Mei 19, 2026

Een nepactie voor een Aldi-‘vleesbox’ die op Facebook de ronde doet, Facebook slachtoffers zodat ze persoonlijke en betalingsgegevens prijsgeven.

AI
Detectie van YouTube

YouTube je gezicht gebruiken om deepfakes tegen te gaan

Mei 19, 2026

"Gelaatsherkenning" belooft bescherming tegen deepfakes, maar sommige makers voelen zich ongemakkelijk bij het in ruil daarvoor verstrekken van biometrische gegevens.

Nieuws
wachtwoorden onthouden

Microsoft past het gedrag Edgemet betrekking tot wachtwoorden in leesbare tekst aan

Mei 18, 2026

Opgeslagen wachtwoorden in Microsoft Edge niet langer gedurende de hele browsersessie in leesbare vorm in het geheugen staan, nadat een onderzoeker hierover zijn bezorgdheid had geuit.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting