Novo Nordisk getroffen door cyberaanval: data van deelnemers aan klinische studies gelekt

Welke gegevens van deelnemers zijn gelekt?

Volgens de officiële incidentupdate van Novo Nordisk zijn bij het datalek gepseudonimiseerde gegevens van deelnemers aan een deel van de klinische proeven blootgesteld. Het gaat om de volgende categorieën :

• Patiënt-ID – een willekeurige alfanumerieke code, dus geen naam, plus informatie over deelname aan het onderzoek
• Geslacht
• Geboortejaar
• Biomarkers
• Gezondheids- en immunogeniciteitsgegevens
• Leefstijlfactoren zoals rookgedrag, alcoholgebruik en body-mass index (BMI)

Het bedrijf benadrukte dat de gegevens niet direct aan patiënten te koppelen zijn via naam, BSN-nummer of andere directe identificatoren. Gegevens die wél directe identificatie mogelijk zouden maken, zoals volledige namen of contactgegevens, zijn niet gelekt. Op basis van de eigen beoordeling stelt Novo Nordisk dat het incident een derde partij niet in staat stelt de betrokken proefdeelnemers te identificeren .

Hoe reageerde het bedrijf?

Novo Nordisk ondernam onmiddellijk actie na de ontdekking van het lek:

• Extern onderzoek: Het bedrijf startte een onderzoek met hulp van externe cybersecurity-experts en schakelde de relevante autoriteiten in .
• Systemen uit voorzorg offline: Meerdere interne IT-systemen werden tijdelijk offline gehaald om het incident in te dammen en de bredere omgeving te beschermen. De systemen worden gecontroleerd en veilig hersteld .
• Contact met toezichthouders en politie: Novo Nordisk overlegt met de bevoegde toezichthouders en opsporingsinstanties .
• Melding aan betrokkenen: Het bedrijf informeert de gedupeerde personen waar nodig .
• Advies aan patiënten: Novo Nordisk liet weten dat er geen specifieke actie van patiënten wordt verwacht, al adviseerde het wel om in het algemeen alert te blijven .

Gevolgen voor de bedrijfsvoering

Novo Nordisk verklaarde uitdrukkelijk dat de kernactiviteiten niet zijn getroffen en zonder onderbreking doorgaan . Het incident bleef beperkt tot een klein aantal interne IT-systemen; de primaire productie, aanvoerketens en commerciële activiteiten werden niet verstoord .

Bredere zakelijke context

De cyberaanval vond plaats op een dag waarop Novo Nordisk zowel goed als slecht nieuws te verwerken kreeg. Op dezelfde 11e juni 2026 keurden Britse toezichthouders namelijk het eerste dagelijkse GLP-1-afslankmiddel in pilvorm van het bedrijf goed. Deze positieve ontwikkeling compenseerde het negatieve nieuws over het datalek, waardoor het aandeel Novo Nordisk (genoteerd aan de New York Stock Exchange als NVO) die dag tot 3% steeg .

De aanval onderstreept ook een groeiende cybersecuritydreiging in de farmaceutische industrie. Enkele weken eerder, op 4 mei 2026, werd West Pharmaceutical Services—een belangrijke toeleverancier voor medicijnfabrikanten—getroffen door een wereldwijde ransomware-aanval die de productie- en verzendactiviteiten verstoorde .

Daarnaast is Novo Nordisk verwikkeld in een aparte juridische strijd: het eist voor $830 miljoen aan schadevergoeding van KBP Biosciences vanwege het mislukte geneesmiddel Ocedurenone. Vermoedelijk zou het bedrijf zijn misleid over de effectiviteit van het middel, wat de financiële en juridische druk op de onderneming verder vergroot .

Het onderzoek naar het datalek van juni 2026 is nog gaande en Novo Nordisk heeft geen verdere details over de aanvallers of de volledige omvang van het incident naar buiten gebracht .