TrendAI heeft onderzoek gedaan naar de wereldwijde handel in gestolen zorgdata. Gedurende twaalf maanden analyseerden onderzoekers een kleine 8000 berichten op underground-forums, meer dan 21.000 marktplaatsadvertenties en 95 dataleksites. De bevindingen schetsen een professionele criminele toeleveringsketen rondom patiëntgegevens, ransomware en toegang tot zorgsystemen.
Gestolen zorgdata zijn uitgegroeid tot een van de meest verhandelde goederen in de cybercriminele onderwereld. Dat stelt TrendAI in een nieuw onderzoeksrapport. Onderzoekers spitten gedurende een jaar door ondergrondse fora en marktplaatsen en ontdekten een volledig functionerende illegale economie. Ransomware-gerelateerde zorgdata waren daarin goed voor 36,3 procent van de totale marktplaatsactiviteit.
Waarom zorgdata zo gewild zijn, is niet moeilijk te begrijpen. “Zorgdata zijn geëvolueerd van simpelweg gestolen informatie tot een waardevolle bron van inkomsten voor cybercriminelen op de lange termijn”, aldus Stephen Hilt, Principal Threat Researcher bij TrendAI. “In tegenstelling tot een creditcard kunnen diagnoses, behandelgeschiedenis of biometrische gegevens van een patiënt niet zomaar worden geannuleerd en opnieuw worden uitgegeven. Dit maakt zorgorganisaties bijzonder aantrekkelijk voor ransomwaregroepen en data brokers.”
Dat is ook zichtbaar bij verschillende hacks in Nederland. Bij de ransomware-aanval op ChipSoft eerder dit jaar werden daadwerkelijk medische patiëntgegevens buitgemaakt. Ziekenhuizen, huisartsenpraktijken en revalidatiecentra werden daarbij getroffen. Eerder bleek ook dat Clinical Diagnostics bij een vergelijkbare hack in 2025 niet voldeed aan de NEN 7510-beveiligingsnorm. Daarbij werden gegevens van honderdduizenden patiënten gestolen.
Een industriële toeleveringsketen voor zorgfraude
Het TrendAI-rapport beschrijft hoe de aanpak van cybercriminelen steeds meer een industrieel karakter krijgt. Op ondergrondse marktplaatsen wordt toegang tot ziekenhuisnetwerken, verzekeringsgegevens, medische fullz en vervalste medische documenten aangeboden. Fullz zijn complete pakketten van gestolen medische en persoonlijke data.
“Wat we zien is geen geïsoleerde cybercriminaliteit, maar een volwaardige ondergrondse economie die is opgebouwd rond de gezondheidszorg”, aldus Numaan Huq, Senior Threat Researcher bij TrendAI. “Initial access brokers, ransomware-partners, verkopers van inloggegevens en fraude-specialisten opereren nu als onderdeel van een onderling verbonden toeleveringsketen die is ontworpen om patiëntgegevens herhaaldelijk en op grote schaal te gelde te maken.”
Aanvallers combineren encryptie steeds vaker met datadiefstal en afpersing. Leveranciers van elektronische patiëntendossiers en elektronische medische dossiers zijn daarbij een steeds vaker voorkomend doelwit, staat in het rapport.
Eerder op ICT Magazine: Betalen aan criminelen of failliet: het duivelse dilemma
Risico reikt verder dan individuele zorginstellingen
TrendAI waarschuwt dat supply chain-aanvallen op zorgsoftwareleveranciers een bijzonder grote risicofactor vormen. Wie één leverancier raakt, raakt daarmee potentieel tientallen aangesloten ziekenhuizen of klinieken tegelijk. Eerder concludeerde het NCSC in het Jaarbeeld Ransomware 2025 dat bij veel incidenten in Nederland datadiefstal voor dubbele afpersing werd ingezet. Ook het WEF-veiligheidsbeeld 2026 noemt ransomware als de voornaamste cyberdreiging, met toenemende zorg over fraude met gestolen data.