Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens

Bevolkingsonderzoek Nederland heeft brieven verstuurd naar vrouwen die mogelijk slachtoffer zijn van het recente datalek bij Clinical Diagnostics. Bij een cyberaanval zijn onder meer persoonsgegevens en medische details van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen.

Volgens Bevolkingsonderzoek Nederland krijgen 405.000 slachtoffers dinsdag of woensdag een brief van de instantie over het incident. Er wordt nog onderzoek gedaan naar 80.000 gedupeerden. Het is nog niet duidelijk of zij via het bevolkingsonderzoek slachtoffer zijn van het datalek of na onderzoek bij een andere partij, zoals een huisarts of ziekenhuis. Bevolkingsonderzoek Nederland wacht nog op aanvullende informatie van Clinical Diagnostics over die mensen.

Op 11 augustus werd bekend dat er een grootschalig datalek had plaatsgevonden. Daarbij zouden de medische gegevens en persoonsgegevens van honderdduizenden vrouwen die meededen aan het bevolkingsonderzoek baarmoederhalskanker gestolen zijn. Later werd bekend dat veel meer deelnemers van andere onderzoeken slachtoffer zijn van het datalek als gevolg van een cyberaanval op het onderzoekslab Clinical Diagnostics. Dat lab werkt niet alleen met Bevolkingsonderzoek Nederland samen, maar ook met ziekenhuizen en huisartsen. Dat bedrijf doet onderzoek naar de cyberaanval, maar de volledige omvang van het incident is nog onduidelijk.

Reacties (136)

bbstreams 19 augustus 2025 22:23

boetes zijn natuurlijk een lappendeken, het systeem moet gewoon aangepast worden. data moet versleuteld worden opgeslagen, waarbij er een check moet komen, bijvoorbeeld bij IDIN, waarmee men de hash kan ontsleutelen en je als burger je zelf je eigen data mee kan vernietigen of een expiratie datum op kan zetten. en zo kan je ook bijhouden wie op welk moment met welke reden je data inkijkt.

[Reactie gewijzigd door bbstreams op 19 augustus 2025 22:25]

chrisboers @bbstreams • 20 augustus 2025 00:04

De boetes zijn achteraf, maar zouden wel een schrikbeeld moeten zijn. Wat mij betreft mag er ook nog wel een schadeuitkering aan alle betrokkenen bij. Misschien gaan organisaties hun beveiliging dan eens serieus nemen.

Orangelights23 @chrisboers • 20 augustus 2025 05:05

Is beveiliging dan niet serieus genomen hier? Ik weet het niet, en kan er nergens iets over vinden.

In mijn carrière als CISO heb ik genoeg organisaties geholpen die een ISO 27001 certificaat hadden, een framework volgens ISAE of SOC ingericht hadden en meer dan 5% van hun jaarlijkse budget aan security uitgaven. Ook enkele hiervan hebben met ransomware en andere cyberaanvallen te maken gehad. Het is namelijk een illusie dat beveiliging serieus nemen gelijk staat aan geen slachtoffer worden. De impact wordt aanzienlijk verminderd, maar ransomware blijft ransomware en dat is slopend.

Cybergamer @Orangelights23 • 21 augustus 2025 01:07

Is beveiliging dan niet serieus genomen hier? Ik weet het niet, en kan er nergens iets over vinden.

Blijkbaar niet, gezien ze de leesbare data hebben weten te bemachtigen. Zoiets zou encrypted opgeslagen moeten zijn.

trogdor @bbstreams • 20 augustus 2025 09:38

lappendeken -> lapmiddel ?

Cybertroy 20 augustus 2025 13:12

Het bevolkingsonderzoek is superbelangrijk, daar zijn we het vast over eens. Juist daarom verwacht je dat de beveiliging tot in de puntjes geregeld is. Helaas niet. Onze brief viel ook op de mat: persoonsgegevens en medische uitslagen liggen op straat. Mijn vrouw is één van de gedupeerden en schrok (logisch) flink.

Wat er volgens de brief/berichten buit is gemaakt: naam, adres, woonplaats, postcode, geboortedatum, BSN en medische gegevens/uitslagen. En bij sommige ook het e-mailadres en telefoonnummer. Dat is precies de mix die oplichters gebruiken om geloofwaardig te klinken (“we verifiëren even uw gegevens…”).

Waarom dit zo risicovol is:

Gerichte phishing/smishing/beltrucs: met adres, geboortedatum en BSN klinkt elk verhaal ineens “echt”.
Social engineering bij zorg/bank/verzekeraar: “identiteitscheckjes” die in de praktijk nog te vaak op statische gegevens leunen.
Reputatie en privacy: medische info hoort extreem beschermd te zijn.
Ketenrisico: data circuleert en laat zich niet “terugroepen”.

Wat je als gedupeerde nu wél kunt doen?

DigiD harden: gebruik de DigiD-app met ID-check (NFC) en check je inloghistorie.
E-mail/bank/portalen: wachtwoorden wijzigen, unieke wachtwoorden gebruiken, 2FA aan, meldingen bij inloggen/overschrijvingen inschakelen.
Kredietmisbruik in de gaten houden: periodiek je BKR-overzicht inzien; ongewenste kredietaanvragen direct aankaarten.
Weiger “spoed”-verzoeken aan de telefoon: hang op en bel zelf terug via het officiële nummer van bank/overheid/zorg.
Documenteer alles: bewaar de brief, noteer verdachte contacten, uren/kosten. Dit helpt bij klachten/aangifte/claims.

Wat er structureel beter moeten, mijn inziens:

Dataminimalisatie & datascheiding: scheid identificerende gegevens (NAW/BSN) van medische uitslagen; versleutel beide los met aparte sleutels; bewaar alleen wat strikt nodig is en zo kort mogelijk.
Privacy by design: standaard pseudonimiseren in de keten en koppel enkel via tijdelijke tokens in plaats van BSN waar dat kan.
NEN 7510 / ISO 27001/27701 aantoonbaar op orde, met red teaming, pentests, supply-chain-assessments en onafhankelijke audits. Publiceer in elk geval een samenvatting van de DPIA/maatregelen.
24/7 monitoring en immutable logging (SIEM/SOC), netwerksegmentatie/zero-trust, strikte RBAC en least-privilege.
Incidentrespons met handelingsperspectief: informeer slachtoffers tijdig en concreet (wat is gelekt, wat kunnen zij doen), bied zo nodig monitoring/ondersteuning aan.
Inkoop en toezicht: overheid (als opdrachtgever) moet harde security-eisen contractueel afdwingen (inclusief boetes) en actief toetsen. AP en toezichthouders moeten hier streng op handhaven.
Herzien datagebruik bij privatisering: onderzoek of gevoelige cliëntgegevens (zoals BSN+medisch) dichter bij de overheid of een publiek verantwoorde voorziening moeten blijven, met strakker keten-toezicht.

Vrees voor terugloop deelname

Ik snap dat dit het vertrouwen raakt. Vrouwen (en mannen, bij andere onderzoeken) willen wél meedoen aan belangrijke screening, maar niet als hun data bij een private partij op deze manier risico loopt. Vertrouwen win je terug met transparantie, aantoonbare maatregelen en strenge publieke eisen.

Discussie-vraag aan jullie als tweakers: welke (technische én organisatorische) eisen zouden volgens jullie minimaal in het contract en de architectuur moeten staan voor dit soort kritieke gezondheidsprocessen?

HoppyF @Cybertroy • 20 augustus 2025 13:46

Je benoemd de juiste zaken.

Precies DEZE informatie zouden alle slachtoffers van dit lek te lezen moeten krijgen. Niet ieder slachtoffer/patiënt is digitaal vaardig en staat vanaf nu extra bloot aan phishing en scams. Toch vrees ik dat dit niet gaat gebeuren.

Het laboratorium zal uiteraard doorgelicht worden door ICT experts en er komen vast en zeker gebreken aan het licht. Bekende reactie volgt dan: “we gaan er alles aan doen om dit in de toekomst te voorkomen blablabla…”.

Inderdaad de geloofwaardigheid is in het geding, wie gaat er nu nog deelnemen aan een Bevolkingsonderzoek of soortgelijk onderzoek? Het vertrouwen is weg.

Commendatore

19 augustus 2025 20:56

Wat kunnen kwaadwillenden eigenlijk concreet met een BSN?

DeeDiWy

@Commendatore • 19 augustus 2025 21:29

Alleen BSN niets. Maar het icm de rest van de correcte persoonsgegevens wordt het vervelend omdat dit dan gebruikt kan worden om identiteitsfraude te plegen. Bijv. een paspoort van iemand namaken op basis van de correcte gegevens wordt dan een stuk makkelijker, zonder dat je het paspoort van degene zelf ooit gezien hebt.

xoniq @DeeDiWy • 20 augustus 2025 14:45

Of zaken waar je iets wilt achterhalen, je moet verifiëren met persoonsgegevens waar een BSN + geboortedatum heel sterk is, laat staan welke informatie mensen op internet / Facebook plempen (ouders, broer, zus, kinderen) met al die data een profiel opbouwen kan je iemand best saboteren hoor.

De_Daapse 19 augustus 2025 20:51

Mijn vrouw heeft ook een brief gehad. Daarin staat dat ook het BSN onderdeel was van de gestolen data. Mooi is dat, daar kan veel misbruik van worden gemaakt. Overal wordt je data opgeslagen en je staat machteloos als die lamlendige bedrijven hun beveiliging onvoldoende op orde hebben en het gewoon gestolen wordt.

PhilipsFan @De_Daapse • 19 augustus 2025 20:57

Het wordt hoog tijd dat er schadevergoedingen moeten worden betaald. Een vaste vergoeding per gelekt gegeven. Naam: 500 euro. Adres: 500 euro. Bankrekening of creditcard: 1000 euro. BSN: 5000 euro.

En natuurlijk blijft de overheid hier ook in gebreke. Waarom kunnen mensen geen nieuw BSN krijgen als de oude gelekt is? Dan moet je dus ook een nieuw paspoort etc, daar moet het bedrijf dat je gegevens lekt ook voor betalen. Een dag vrij omdat je naar het gemeentehuis moet en uiteraard het bedrag dat een nieuw paspoort kost. Doe maar 500 euro per identificatiebewijs dat vervangen moet worden.

Dan kost dit het bedrijf gewoon 8000 euro per klant. Misschien gaan ze dan eens zorgen dat ze hun beveiliging op orde krijgen. Want op dit moment kan dat gewoon niet uit. Waarom geld uitgeven aan beveiliging als niet-beveiliging toch niks kost?

lenwar

Economie en maatschappij
Privacy
Beveiliging en antivirus

@PhilipsFan • 19 augustus 2025 21:09

En met dat soort boetes kan geen een bedrijf meer zaken doen. Ieder bedrijf is potentieel vatbaar. Overal worden fouten gemaakt.

Ik snap het sentiment, maar in de praktijk is het ondoenlijk. Ik heb zelf geen accounts van Google/Meta/enz. Toch weet ik 100% zeker dat er heel veel mensen zijn die mijn gegevens naar die verwerpelijke bedrijven hebben gelekt (door hun ‘contacten’ met die bedrijven te delen, zonder mijn expliciete toestemming.) moeten die mensen mij nu ook geld betalen?

Qua BSN: het is niet meer van deze tijd, dat je alleen met een BSN iets kunt. Idealiter is er altijd een DigiD-achtig iets nodig om hetgeen te verifiëren. Het wisselen van BSN is denk ik fraudegevoelig en ook heel veel gedoe. (Heb jij 123 alle zaken bij de hand die op je BSN geregistreerd zijn?)

PhilipsFan @lenwar • 19 augustus 2025 21:24

Wellicht is het ondoenlijk, maar het laat bedrijven wel eindelijk nadenken over welke gegevens ze wel en niet vastleggen. Waarom moet een webwinkel mijn geboortedatum registreren? Of dat ik man of vrouw ben? Dat is totaal niet relevant voor de dienst die ze verlenen. Gegevens die je niet vastlegt, kun je ook niet lekken. Dus je legt alleen gegevens vast die je daadwerkelijk nodig bent voor je bedrijfsvoering of die je wettelijk verplicht bent om vast te leggen. Het wordt hoog tijd dat bedrijven gestraft worden voor onterechte datahonger. Om vervolgens die gegevens te lekken.

JeroenH @PhilipsFan • 19 augustus 2025 21:34

Wellicht is het ondoenlijk, maar het laat bedrijven wel eindelijk nadenken over welke gegevens ze wel en niet vastleggen.

Precies dat. Het moet, zoals dat in goed Engels heet, een liability worden om data van klanten te verzamelen. Een webshop heeft niets anders van mij nodig dan mijn geld, mijn emailadres en mijn adres, of als ik het in zo'n kluisjeswand laat bezorgen, zelfs dat laatste niet. En maak het maar verplicht om al mijn gegevens na een half jaar te wissen als ik niet ergens op een knopje "bewaar maar weer een half jaar" heb geklikt. En boetes erop. Maak het maar onaantrekkelijk om data te verzamelen.

Nu is zo'n bevolkingsonderzoek wel even wat anders dan een webshop, dat snapt iedereen. Maar toch... BSN-nummer? Really?

Arjan P @JeroenH • 19 augustus 2025 23:08

Nu is zo'n bevolkingsonderzoek wel even wat anders dan een webshop, dat snapt iedereen. Maar toch... BSN-nummer? Really?

Zolang er mensen met dezelfde geboortedatum, achternaam en voorletters bestaan (en die bestaan) is juist bij medische zaken een uniek BSN erbij geen luxe..

Acetamide @Arjan P • 20 augustus 2025 10:26

Maar het zou toch mogelijk moeten zijn om de kritisch gevoelige gegevens waar het in dit lek om draait bijvoorbeeld alleen bij het Bervolkingsonderzoek te houden? Het lab zou dan alleen kunnen werken met anonieme data gekoppeld aan een tijdelijke ID die centraal gegenereerd wordt. Het is dan aan het Bevolkingsonderzoek om de geanonimiseerde uitslagen weer te koppelen aan een persoon. Op deze manier is de enige data die zo'n lab hoeft te bewaren de biomedische gegevens van de sample en een zo goed als nietszeggende ID.

Hoewel je nog steeds (gevoelige) privegegevens op één centrale locatie hebt voorkom je op deze manier dat deze zelfde gegevens door Nederland over meerdere partijen gekopieerd worden en wordt beveiliging daardoor minder complex.

CasualKnaller @Arjan P • 20 augustus 2025 10:26

De vraag is natuurlijk of dit gecombineerd met andere gegevens moet worden opgeslagen. Dat is in dit geval wel gedaan, volledige PII data inclusief BSN. Dat lijkt mij volledig onzinnig (eigenlijk stupide) en uitermate dubieus als je kijkt naar bijvoorbeeld de GDPR.

Ik heb trouwens überhaupt problemen met dit soort organisaties die indirecte services direct trekken richting de patient. Laboratorium services zouden gewoon indirect via zorgverlener moeten lopen, niet direct via dit soort organisaties waar je weer al je PII moet achterlaten voor het maken van een 'bloedprikafspraak'.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Datalek
Cybercrime
Economie en maatschappij

@PhilipsFan • 20 augustus 2025 10:25

Wellicht is het ondoenlijk, maar het laat bedrijven wel eindelijk nadenken over welke gegevens ze wel en niet vastleggen. Waarom moet een webwinkel mijn geboortedatum registreren? Of dat ik man of vrouw ben? Dat is totaal niet relevant voor de dienst die ze verlenen.

Het is al verplicht om daar over na te denken en niet meer op te slaan dan nodig, maar bedrijven maken zichzelf vanalles wijs. Zo willen ze je geslacht weten om te weten of "meneer" boven de brief zetten of iets anders.

Ik wil voorstellen dat bedrijven belasting moeten gaan betalen over data. Inkomstenbelasting en vermogensbelasting. Ze moeten dus betalen voor ieder stukje data dat ze verzamelen en voor iedere dag dat ze het bewaren. Dan is er altijd druk om zo min mogelijk data te bewaren. Als we dan toch betalen met onze data, dan kunnen we het als waardevol eigendom behandelen.

Maar ik weet niet of dat hier wel past, dit is geen gewoon bedrijf maar een onderzoeksinstituut, dat kan niet zonder heel veel data. Voor medisch onderzoek is je geslacht vaak ook wel belangrijk.

lenwar

Economie en maatschappij
Privacy
Beveiliging en antivirus

@PhilipsFan • 19 augustus 2025 23:25

Daar is zeker wat voor te zeggen, maar ik zie dit al veel beter gebeuren. Maar als we nu deze specifieke hack bekijken, lijken er geen rare dingen gelekt te zijn, toch?

BSN voor de zorgverzekering/medisch dossier, naw-gegevens omdat ze je moeten bereiken, gender is ook een handig voor als een baarmoederhalskanker-test wil doen. Hooguit geboortedatum zou voldoende moeten zijn met boven xyz jaar oud.

FreezeXJ @lenwar • 20 augustus 2025 10:24

Er is ook niks geks gelekt, er is wel massaal gelekt, en met 400k slachtoffers waarvan alle gegevens nog bewaard gebleven zijn bij deze club (en online beschikbaar) heb je nogal wat impact. Nou weet ik niet hoe de beveiliging geweest is bij die tent, maar ik hoop dat daar goed naar gekeken wordt. En belangrijker: dat er consequenties volgen, behalve dat de tent vermoedelijk failliet gaat nu door alle aandacht.

Jeroen hofman @lenwar • 20 augustus 2025 00:08

Als die hackers een manier hebben om in het systeem te komen en daar de data te stelen vraag ik me toch af waarom een bedrijf dan niet juiste systeembeheerders heeft

Heb uit het bericht begrepen dat er aardig wat betaald is.
Dat is dan toch niets vergeleken bij een jaarsalaris voor de systeembeheerder. Uiteraard gezien hoe groot het bedrijf is, en of dat ook kan bekostigen.

Lijkt mij dat een bedrijf als Clinical Diagnostics toch de boel goed dicht gespijkerd had moeten hebben.

Zijn volgens mij genoeg werkloze ict's die graag aan de bak willen voor een behapbaar loon

lenwar

Economie en maatschappij
Privacy
Beveiliging en antivirus

@Jeroen hofman • 20 augustus 2025 07:56

Als die hackers een manier hebben om in het systeem te komen en daar de data te stelen vraag ik me toch af waarom een bedrijf dan niet juiste systeembeheerders heeft

Dit is heel lastig om te bepalen. Het zou kunnen dat dit bedrijf de ‘verkeerde 0mensen’ in dienst heeft. Maar je bewapenen tegen op maar gemaakte malware is lastig.

Ook is lang niet alle software slim ontworpen. Kijk naar een product een wordpress. Wordpress ‘moet’ volledig open staan op POSIX-niveau. Iedere systeembeheerder zal zeggen dat het een slecht idee is, als website-code zichzelf kan updaten. Het halve internet draait op Wordpress.

En dat is nog maar een simplistisch voorbeeld.

Dan heb je te maken met ontwikkelaars die ineens beheer moeten gaan doen (devops). Vanwege sexyness wordt er veel meer aan ontwikkeling aandacht besteed door managers, omdat dat zichtbaar is. (Beheer is onzichtbaar totdat het mis gaat). De systeembeheerders staan met de rug tegen de muur. Die weten beter, maar worden niet serieus genomen.

Al-met-al is het lastig om te zeggen ‘waar’ het probleem zit, als je de details niet kent. Er is niets algemeens over te zeggen.

Houtenklaas @Jeroen hofman • 20 augustus 2025 08:33

Als je lek wordt veroorzaakt door een Zero-day in een firewall, Teams omgeving, Citrix omgeving kan je Fox-IT neerzetten als systeembeheerder en dan gaat het nog mis. Bedrijven moeten zich daar tegen wapenen, meerdere "lines of defence" inzetten en er niet op vertrouwen dat er maar één drempel tussen het internet en jouw bedrijf zit. Sowieso zou het verboden moeten zijn om over het internet dit soort gegevens uit te wisselen, dat doe je maar over een besloten omgeving los van het internet. Maar ja, dat is 3 kwartjes duurder en prijs je jezelf uit de markt. Dit is óók wat marktwerking met beveiliging doet in een race naar de goedkoopste aanvbieder.

fuzzyIon @Jeroen hofman • 20 augustus 2025 10:02

Wat gaan die nieuwe collegas doen tegen 0days?

Jeroen hofman @fuzzyIon • 20 augustus 2025 10:18

Ik zou het niet weten, wat te doen tegen Zero-day. i

Ik ben dan ook niet werkzaam in de it ict ,maar een goede systeembeheerder in dienst lijkt me geen overbodige. en een Zero-day tsja wie is er dan eigenlijk verantwoordelijk de ontwikkellaar ?
Lijkt mij, dat Als hackers bij gegevens kunnen, moet toch ook een slimme ict dat kunnen, ontdekken

die hack's (data)is inmiddels wel een big business geworden

Rolfie

@Jeroen hofman • 20 augustus 2025 19:42

Een beheerder maakt alleen geen beleid.

Als ik adobe acrobat of een server niet mag updaten omdat daarna applicaties niet meer werken. Wat denk je dan, dat ik wil of uiteindelijk mag doen?

Jeroen hofman @Rolfie • 21 augustus 2025 11:39

Daarom mijn vraag

Zero-day tsja wie is er dan eigenlijk verantwoordelijk de ontwikkellaar ?

En je hebt hier wel een punt ((Als ik adobe acrobat of een server niet mag updaten omdat daarna applicaties niet meer werken.))
Maar waarom zou er dan na een update applicaties niet meer werken.
Neem aan dat de ict dat tevoren toch weet, of dat dat bekend is.

Rolfie

@Jeroen hofman • 21 augustus 2025 18:19

A ICT doet vaak technisch beheer, functioneel beheer ligt vaak bij applicatie eigenaren. Dit kan ook iemand bij ICT zijn, maar vaak is dit heel iemand anders.

Maar er valt zo vaak iets om, bij patches, been there done that.

Jeroen hofman @Rolfie • 22 augustus 2025 08:57

Duidelijk, ik vindt het wel complex, omdat deze tak IT, ICT niet mijn gebied is.

Maar stel een applicatie veroorzaak problemen de interne ICT weet, geen oplossing of kan dat niet.

Dan moet je dus als bedrijf voor het functioneel beheer naar de applicatie eigenaren.

Doordat een applicatie niet meer werkte en problemen veroorzaakte zijn er persoonsgegevens gestolen
Wie is hier dan aansprakelijk. dat was eigenlijk mijn vraag.

Rolfie

@Jeroen hofman • 22 augustus 2025 13:02

Duidelijk, ik vindt het wel complex, omdat deze tak IT, ICT niet mijn gebied is.

Maar stel een applicatie veroorzaak problemen de interne ICT weet, geen oplossing of kan dat niet.

Dan moet je dus als bedrijf voor het functioneel beheer naar de applicatie eigenaren.

Eigenlijk zal een functioneel beheerder ook altijd richting de leverancier van de software gaan. Die zullen waarschijnlijk een update gereed hebben of gaan maken.
Daarna kan de applicatie update geïnstalleerd worden en daarna de overige patches.
Echter de applicatie update kan ook weer afhankelijkheden hebben, .net frameworks of database versies.

Updates kunnen best heel complex zijn, in sommige gevallen.

Doordat een applicatie niet meer werkte en problemen veroorzaakte zijn er persoonsgegevens gestolen
Wie is hier dan aansprakelijk. dat was eigenlijk mijn vraag.

Het bedrijf.

Jeroen hofman @Rolfie • 22 augustus 2025 13:24

bedankt voor je reactie, ga me eens inlezen in deze materie.

locke960 @lenwar • 19 augustus 2025 21:27

En met dat soort boetes kan geen een bedrijf meer zaken doen.

Doet me denke aan de Amerikaanse gezondheidszorg.
Gigantische schadeclaims als er iets fout gaat -> gigantisch hoge verzekeringspremies -> duurste gezondheidszorg ter wereld.

FreezeXJ @locke960 • 20 augustus 2025 10:27

Is die premie inderdaad zo hard gebaseerd op de mogelijke claims, of is het gewoon dat de markt het toch wel betaalt, en er nergens prijsregulatie op behandelingen is? Een goeie gebroken heup kan je al failliet doen gaan, en da's niet alleen aan risico-premie.

Triblade_8472 @lenwar • 19 augustus 2025 21:32

Het is nog makkelijker. Een bsn is best logisch, een ID ipv een naam, logisch.

Wat ze zouden moeten doen, is een uniek ID hebben/maken per service. Wellicht afgeleid van je bsn, cryptografische, dus niet onomkeerbaar, al zal dat wellicht te kraken zijn.

Als die service dan gehacked is, kan dat ID voor alleen daar ongeldig worden gemaakt.of andersom, als dat ID ooit ergens opduikt, weet je waar de bron ligt.

De opvragende partij kan wellicht eenmalig je bsn krijgen, om ermee een unieke code op te halen bij de overheid.

Hierna zijn ze verplicht je bsn te verwijderen en alleen de unieke ID te bewaren. De overheid houd de lijst van unieke IDs bij die bij jouw bsn horen.

Intrekken kan je over debatteren. Alleen via de politie? Self-service via een overheidsstite? Via een andere partij?

Rolfie

@Triblade_8472 • 20 augustus 2025 19:41

Klinkt goed, maar is ook heel complex.

Zorg is bijvoorbeeld heel complex. Een lab is vaak ook een onderdeel van je zorgverlening en moet dus gegevens uitwisselen, zonder dat hier fouten in gemaakt kunnen worden. Of misschien moeten deze gegevens weer verder verwerkt worden door een ander laboratorium.

En nog iets met de declaratie van je lab onderzoek.

Triblade_8472 @Rolfie • 20 augustus 2025 23:56

Ik zie het verschil niet tussen een bsn en een uniek ID (in m'n voorstel) bij de overheid of ziekenhuis, gekoppeld aan je bsn.

In je dossier wordt een onderzoek aan jouw dossier gekoppeld en die onderzoekers geef je een koppel-ID. Je moet natuurlijk wel uit de wet halen dat bepaalde type onderzoeken geen bsn van je mogen hebben, maar dat spreekt voor zich.

Je kan bestaande systemen gewoon behouden, je moet alleen de bron aanpassen om niet-bsn's uit te delen.

En mogelijk een grote, gevoelige operatie op bestaande bsn's te vervangen.

Rolfie

@Triblade_8472 • 21 augustus 2025 18:29

iets met inloggen wat nu icm digid gedaan wordt, facturatie, fraudebestrijding, legitimatie.

even snel, om een zorgid te gaan gebruiken, heb je het al snel over 5-10 jaar doorlooptijd en je zit zo op een miljard om dit te implementeren.

Voor weinig extra beveiliging, want nog steeds zal je zorgid en je NAW gegevens gebruikt worden, dus privacy technisch weinig winst.
Veranderen gaat eigenlijk niet, want dan is je medische geschiedenis ook weg.

Haal er nog niet helemaal uit of je nu een eenmalig zorgid wilt hebben, of per onderzoek?

Triblade_8472 @Rolfie • 21 augustus 2025 19:13

Je moet ergens beginnen. Het "het duurt lang en kost geld" argument vindt ik flauw.

En ja, niet je bsn in systemen hebben is super waardevol wat mij betreft. Geen rekeningen, telefoonabbo's of andere fraude er meer mee. Dat is best wat waard!

We moeten ergens beginnen.

Rolfie

@Triblade_8472 • 21 augustus 2025 19:28

We beginnen alleen aan iets, met minimale toegevoegde waarde, wat heel lang zal duren aan implementatie, veel geld zal kosten, nog ernstig veel resources kosten, voor minimale winst.

rekening hebben geen BSN nodig. telefoonabbo's hebben legitimatie nodig net zoals veel andere dingen waar je BSN voor nodig hebt.
Hoeveel fraude wordt er echt gepleegd, wat hiermee zou voorkomen zou worden?

Hoe zie je dit trouwens icm zorg fraude of verzekeringsfraude, wat nu juist nog complexer is geworden?

logix147 @lenwar • 20 augustus 2025 13:17

Bel eens naar de gemeente… op basis van je BSN krijg je alles te horen wat je wilt.

Ditto Belastingdienst; ziekenhuis waar je bekend bent eigenlijk zo’n beetje alles kan je daarmee weten.

Een abonnement afsluiten digitaal? Dat kan zeker als je de gegevens hebt, officieel moet er aan de deur eea gecheckt worden maargoed je kan geluk hebben als dief dat een koerier laks is en gewoon achterlaat.

Kortom met alleen een BSN kom je gigantisch ver.

Puffino @lenwar • 20 augustus 2025 13:35

Nog erger, bevolkingsonderzoek NL heeft naar dit lab een "dodelijke " combinatie van onnodige gegevens gestuurd per onderzoek.

Dit lab kreeg én BSN, én naam, én geboortedatum, én adres. Waarom? Een fake id was genoeg om bij terugmeldingen op te matchen. Klaar.

Dit is echt een héél domme opzet in het proces die ik bij mij op mijn werk niet zou mogen maken.

Ik vind bevolkingsonderzoek NL héél naief bezig.

lexi @Puffino • 20 augustus 2025 16:28

Volgens mij zijn ze verplicht het BSN te gebruiken volgens de wet.

Gebruik bsn in de zorg

Zorgaanbieders, zorgverzekeraars en indicatieorganen (zoals het Centrum indicatiestelling zorg) zijn verplicht het bsn van patiënten te registreren. Ook moeten ze het nummer gebruiken als ze gegevens over patiënten uitwisselen. Dit staat in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z).

Puffino @lexi • 20 augustus 2025 17:56

Prima, fair enough, dan is BSN genoeg en hoef je niet naam, gebdatum en adres erbij te doen.

Rolfie

@Puffino • 20 augustus 2025 19:45

Of dit dit is ook noodzakelijk? Afhankelijk van hoe de gegevens verder verwerkt worden.

Of dit werkelijk zo is, hangt af, van wat er in de verwerkersovereenkomst is beschreven.

Robbierut4 @PhilipsFan • 19 augustus 2025 21:10

Dan kost dit het bedrijf gewoon 8000 euro per klant. Misschien gaan ze dan eens zorgen dat ze hun beveiliging op orde krijgen. Want op dit moment kan dat gewoon niet uit. Waarom geld uitgeven aan beveiliging als niet-beveiliging toch niks kost?

Simpel rekensommetje voor alleen de 405.000 mensen uit het bevolkingsonderzoek betekent dan 3,2 miljard aan kosten.

Denk jij dat dat bedrijf dat heeft liggen? Of gewoon denkt ach, geld uitgeven aan beveiliging heeft weinig zin, want we gaan toch failliet als we gehackt worden. Beter niks uitgeven, zoveel mogelijk cashen en de boel laten klappen als we gehackt worden.

PhilipsFan @Robbierut4 • 19 augustus 2025 21:27

Natuurlijk heeft het bedrijf dat niet liggen. Het idee is juist, dat ze door de dreiging van hoge boetes zorgvuldiger omgaan met jouw gegevens en hun software beter up-to-date houden. En het is een klein beetje gerechtigheid, want het is echt veel te makkelijk nu. Een bedrijf lekt gegevens, stuurt een briefje met 'sorry' en de slachtoffers zitten met de problemen. De gevolgen van identiteitsdiefstal moet bij bedrijven liggen die gegevens lekken. En de overheid moet dat faciliteren.

KoffieAnanas @PhilipsFan • 19 augustus 2025 22:21

Dat betekent dat de zorg, en ook allerlei andere dienstverlening onbetaalbaar wordt. Ze zullen zich moeten gaan indekken tegen enorme schadeclaims, die vele malen meer zijn dan het extra kosten voor additionele beveiliging. Die sowieso nooit 100% waterdicht zal zijn. Een datalek kan optreden bij iedere bedrijf en organisatie, hoe goed ze ook hun beveiliging hebben ingericht.

Je zal bedrijven en wellicht de bestuurlijk verantwoordelijken strafrechtelijk moeten vervolgen bij nalatigheid. Torenhoge boetes hebben echt geen enkele zin, en maakt onder andere de zorg alleen maar onbetaalbaar.

Naafkap @KoffieAnanas • 19 augustus 2025 22:34

Alternatief is dus niets veranderen en de risico’s van dergelijke grootschalige datalekken dan maar bij de klanten neerleggen? Lekker makkelijk. Geen enkele serieuze prikkel voor bedrijven om gegevensbeveiliging serieus te nemen.

Robbierut4 @PhilipsFan • 19 augustus 2025 21:38

En het is een klein beetje gerechtigheid

Dat krijg je als je bestuurders persoonlijk aansprakelijk stelt. Niet met hoge boetes voor een bedrijf waardoor het direct failliet gaat en alle werknemers hun baan verliezen.

R4gnax

Datalek
Privacy

@PhilipsFan • 19 augustus 2025 22:59

De gevolgen van identiteitsdiefstal moet bij bedrijven liggen die gegevens lekken.

Daarom zou het eigenlijk zo moeten zijn dat er bij dit soort voorvallen een register is van mensen die ooit in een gegevenslek gezeten hebben. En zouden de bedrijven dus van overheidswege 100% verantwoordelijk gehouden moeten worden om middels een verdeelsleutel alle kosten te dragen om deze getroffenen schadeloos te stellen zodra er daadwerkelijk stront aan de knikker komt.

Komen er phishing campagnes op gang die deze mensen treffen? De bedrijven worden door de overheid aansprakelijk gesteld o.a. het politieonderzoek te bekostigen om de daders op te sporen.
Worden er ineens rare abonnementen afgesloten? De bedrijven moeten garant staan alle kosten te dekken om deze ongedaan te maken.
Vindt er fraude plaats bij financiële dienstverleners met leningen, verzekeringen, etc. ? Ook daarvoor mogen de bedrijven die het veroorzaakt hebben de beurs trekken.
Etc. etc. etc.

Geen vrijstelling.
Geen einde aansprakelijkheid.
Volledige ontlasting voor de getroffenen.

[Reactie gewijzigd door R4gnax op 20 augustus 2025 08:23]

FreezeXJ @R4gnax • 20 augustus 2025 10:32

Dan zul je vooraf premies moeten heffen voor dat fonds, want ga er vanuit dat de getroffen bedrijven (tenzij het hele grote zijn) niet meer bestaan na een hack. Zeker niet als dat nog verdere onbekende (hoge) kosten meebrengt, want dan plof je de BV, en ga je onder een andere naam verder. Doei!

Daarnaast maak je betalen aan crimineeltjes daarmee nog aantrekkelijker, want als je minder schade hebt (hopende dat ze hun woord houden) dan hoef je ook minder aan dat fonds te betalen.

[Reactie gewijzigd door FreezeXJ op 20 augustus 2025 10:33]

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Datalek
Cybercrime
Economie en maatschappij

@R4gnax • 20 augustus 2025 10:47

Daarom zou het eigenlijk zo moeten zijn dat er bij dit soort voorvallen een register is van mensen die ooit in een gegevenslek gezeten hebben.

Ik vind het op zich een goed idee, maar ik denk er wel een beetje cynisch over. Ik denk namelijk dat er niemand is wiens data nog nooit gestolen is. Ik denk dat iedere westerling al een paar keer slachtoffer is geweest. Daardoor blijft het onmogelijk om aan te wijzen waar data vandaan komt.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Datalek
Cybercrime
Economie en maatschappij

@Robbierut4 • 20 augustus 2025 10:43

Simpel rekensommetje voor alleen de 405.000 mensen uit het bevolkingsonderzoek betekent dan 3,2 miljard aan kosten.

Denk jij dat dat bedrijf dat heeft liggen?

Zo werkt dat niet.
Bedrijven huren experts in om hun IT te doen en sluiten een verzekering af tegen eventuele onvoorziene schade. Die verzekering zal bewijs willen zien dat het bedrijf z'n beveiliging op orde heeft en de prijs daar op aanpassen. Wie er een rommeltje van maakt kan geen verzekering krijgen. Als klant/gebruiker hoef je dan alleen maar op te vragen hoe het bedrijf verzekerd is en dan kun je zelf je conclusies trekken. Of we maken het het hebben van zo'n IT-verzekering gewoon verplicht, net zoals sommige andere verzekeringen.

Nu werkt dat in praktijk natuurlijk nooit zo mooi, maar het principe is goed. Laat gespecialiseerde verzekeraars de risico's dragen en dan zorgen die wel dat de risico's geminimaliseerd worden.

Robbierut4 @CAPSLOCK2000 • 20 augustus 2025 10:51

Zelfs met minimale risico's wordt een verzekering die miljarden moet uitbetalen als het mis zo verschrikkelijk duur dat dat niet te betalen is.

Die verzekeraar wil namelijk ook winst maken, en moet dus meer dan 3 miljard aan premies innen.

Pixelmagic @Robbierut4 • 19 augustus 2025 21:17

Precies dit, als je dat gaat doen dan is het simpelweg "goedkoper" om failliet te gaan.

Naafkap @Pixelmagic • 19 augustus 2025 22:34

Tsja. De gedupeerden kunnen door misbruik van hun gegevens ook failliet gaan.

Robbierut4 @Naafkap • 20 augustus 2025 08:44

Dat kan, al is de kans klein. Maar dat is ook niet heel relevant met betrekking of het bedrijf failliet gaat.

Voor het bedrijf is het gewoon een kosten-baten afweging. En met de gesuggereerde boete is die afweging heel simpel, zo weinig mogelijk investeren in beveiliging, want we moeten zo veel mogelijk winst wegsluizen voordat we failliet gaan door een datalek.

Het is namelijk niet de vraag of je gehackt wordt, maar wanneer. Zelfs met werelds beste beveiliging zul je ooit nog gehackt worden.

Is dat in het belang van de klanten? zo min mogelijk uitgeven aan beveiliging, alle winst wegsluizen en dat het bedrijf failliet gaat direct na een datalek (zodat ze ook geen schadevergoeding kunnen uitbetalen overigens)

Naafkap @Robbierut4 • 20 augustus 2025 08:48

Ach, bedrijven zouden eens het belang van hun klanten boven exorbitant winstbejag moeten zetten. Maar u en vele anderen vinden het totaal geen probleem dat bedrijven torenhoge winsten moeten kunnen maken tegen zo laag mogelijke maatschappelijke betrokkenheid. Treurig.

Robbierut4 @Naafkap • 20 augustus 2025 08:58

Maar u en vele anderen vinden het totaal geen probleem dat bedrijven torenhoge winsten moeten kunnen maken tegen zo laag mogelijke maatschappelijke betrokkenheid. Treurig.

Waar lees je dat precies? Ik zeg nergens dat ik het geen probleem vind. Ik zeg alleen dat in onze huidige maatschappij dit gegarandeerd is hoe bedrijven gaan werken als ze echt 8.000 euro per klant aan schadevergoeding moeten betalen bij een datalek.

R_Zwart @PhilipsFan • 19 augustus 2025 21:10

Beboeten kan alleen als het aantoonbaar bewust gedaan is. Dus dat na waarschuwingen geen maatregelen worden genomen. Ieder bedrijf gebruikt software van derden dat kwetsbaar kan zijn zonder dat het bedrijf dat geraakt wordt daar direct schuld aan heeft. Jij kunt ook niet garanderen dat het bedrijf waar jij werkt nooit gehackt wordt. En stel dat dit gebeurt en het bedrijf moet volgens jouw voorstel zo'n grote boete of schadevergoeding moet betalen dat het failliet gaat, vind je het dan steeds een goed plan?

jorisdrenth @R_Zwart • 19 augustus 2025 21:23

Dus moeten slachtoffers het risico maar dragen? Mijn vrouw heeft de brief ook gehad. Ons gezin kan potentieel de financiële afgrond ingedrukt worden door dit wanbeleid. En de strekking van de brief is: “we vinden het echt heel vervelend hoor. Let u een beetje op fraude?”.

Wat mij betreft moeten bedrijven verplicht worden een verzekering tegen identiteitsdiefstal aan te bieden voor 10 jaar ofzo, en juridische hulp vergoeden als wij straks ons recht moeten gaan halen als fraudeurs hun slag hebben geslagen.

Robbierut4 @jorisdrenth • 19 augustus 2025 21:42

Ons gezin kan potentieel de financiële afgrond ingedrukt worden door dit wanbeleid.

Sorry, maar hoe dan exact?

Niet dat ik het datalek wil downplayen hoor, ik ben sowieso voor meer privacy. Maar ik zie niet helemaal in hoe deze gelekte data jullie gezin in de financiele afgrond kan drukken? Tenzij je vrouw in een scam trapt die met behulp van deze info is gemaakt. En dan ook nog zonder met u te overleggen voordat ze veel geld overmaakt naar een random iemand.

Naafkap @Robbierut4 • 19 augustus 2025 21:53

Met naam, bsn en andere persoonlijke gegevens kan je makkelijk een valse bankrekening openen, of jezelf voordoen als het slachtoffer. Dat kan heel grote (financiële) gevolgen hebben. En zie dan je recht maar eens te halen.

Rolfie

@Naafkap • 20 augustus 2025 19:47

Een bankrekening openen, lukt je niet even met alleen een BSN en NAW gegevens.

Je zal je echt moeten legitimeren met een password/id icm NFC chip en eventueel een visuele inspectie via ee app en je camera.

jorisdrenth @Robbierut4 • 19 augustus 2025 22:27

Ik heb mij nooit verdiept in het oplichten van mensen, dus dat antwoord moet ik je schuldig blijven. Wel weet ik dat dit soort data gestolen wordt omdat het geld waard is, en dat geld moet ergens weg komen. Dan hebben we het nog niet over indirecte schade gehad, kosten voor juridische hulp om achteraf je recht te halen etc.

Daarnaast schrijft de Rijksoverheid: "Wanneer alleen jouw burgerservicenummer (BSN) bij een datalek betrokken is, is de kans op identiteitsfraude klein." Klein. Dus niet uitgesloten.

Mijn punt is vooral dat het voor bedrijven op dit moment veel te makkelijk is. Even de afdeling communicatie een gelikt briefje laten schrijven waarin ze sorry zeggen en melden dat het in de toekomst echt heus wel veilig is om van hun diensten gebruik te blijven maken, en verder moet je het als slachtoffer zelf maar redden. De bedrijven hoeven van mij echt niet failliet, maar ze kunnen wel meer ondersteuning bieden aan de slachtoffers die het datalek betreft.

kdekker @jorisdrenth • 19 augustus 2025 22:34

Een rechtszaak winnen op iets wat potentieel/mogelijk kan gebeuren lijkt me geen sterke zaak. Ik snap je frustratie, maar alleen als je aantoonbare of redelijkerwijs te verwachten schade hebt, dan heb je een poot om te staan.

Zelfs met df beste beveiliging is de menselijke schakel de zwakste. Boetes opleggen die zo hoog zijn dat de ander gecancelled wordt, lijkt me dan het andere uiterste. Nog los van menselijke vergissingen die bij beheerders en gebruikers op kunnen treden. Wat mij betreft is verdere juridisering geen gewenste richting.

Uiteraard pleit ik voor goede beveiliging, maar ergens is een samenleving waar een slot op de deur overbodig is, omdat er niet gestolen wordt, een stuk vriendelijker (en minder hebzuchtig/individualistisch). Op vakantie werkte het zo (een Scandinavisch land), heerlijk.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Datalek
Cybercrime
Economie en maatschappij

@kdekker • 20 augustus 2025 10:37

Een rechtszaak winnen op iets wat potentieel/mogelijk kan gebeuren lijkt me geen sterke zaak. Ik snap je frustratie, maar alleen als je aantoonbare of redelijkerwijs te verwachten schade hebt, dan heb je een poot om te staan.

Die eis voor aantoonbare schade is van de ene kant heel begrijpelijk en van de andere kant totaal onwerkbaar. We weten meestal niet wat er met die data gebeurt en zien de gevolgen alleen indirect. Via oplichters, reclame voor producten, politieke manipulatie, AI-chatbots, etc.

Ik vind dat je redelijkerwijs schade kan verwachten als data wordt gestolen, zelfs als je niet kan aanduiden wat voor schade exact of door wie. Het hele punt is nu net dat je die controle en toezicht verliest. Ik denk dat het helaas te vaag is voor de rechter en dat de politiek voorwaarden en een boete schadevergoeding zal moeten vaststellen.
(Geen boete want zo'n bedrijf is zelf ook slachtoffer).

kdekker @CAPSLOCK2000 • 20 augustus 2025 11:31

Ik snap wat je zegt, maar als het OM/politie/rechtssysteem al helemaal vol zit (zelfs diefstal met opgenomen beelden doet de politie niets/weinig mee), maar vraag me af of het werkbaar is.

Geen boete voor een bedrijf (mits niet aantoonbaar nalatig) vind ik wel een goed idee, zeker als het stelen gebeurt door toedoen van derden. Maar het zou m.i. wel meer benadrukt mogen worden dat derden (die ook weer derden in kunnen schakelen) dat effe een tracker, statistics op je webside ook een risico kan introduceren, waarmee je het voor je eigen wel heel lastig maakt om 'aantoonbaar nalatig' te weerleggen (wat ook voor bewijzen geldt). Het is, net als met cumulatief gebruik onderaannemers, een complex proces om daar vooraf risico's over in te schatten.

Je zou al heel wat winnen als de bewustwording van data vergaren, opslaan ook gelijjk betekent dat je 'niet-meer-dan-nodig' opslaat (AVG) en die adequaat beveiligt (voor jezelf) en onderaannemers gecontrolleerd worden op betrouwbaarheid. Dat wordt een kunst als Google of Meta (indirect) in je lijstje afnemers zit.

Overigens: use-case uit de praktijk: in een systeem waar normaal gesproken geen privacy gevoelige info zit, maar bijv. wel standaard bijlages van een klant opgeslagen worden (die normaal gesproken ook niet privacy gevoelig zijn), maar de klant daar een vergissing maakt en te veel info deelt, dan heb je opeens wel privacy gevoelige info in je opslag. Dat soort zaken zijn nauwelijks te (automatisch) te controleren bij grote volumes data.

In het voorbeeld van de casus van dit topic vind ik wel dat de informatieverstrekking door het betrokken bedrijf naar betrokken personen geen schoonheidsprijs verdient. Vanuit bedrijven snap ik wel dat je terughoudend bent met informatie verstrekking (als is melden bij AP verplicht, maar niet als het geen privacy gevoelige info betreft), omdat het tijd kost, reputatieschade op kan leveren, de hackers wijzer kan maken, maar daardoor ook de personen die geraakt zijn geen of laat pas informatie krijgen.

R4gnax

Datalek
Privacy

@R_Zwart • 19 augustus 2025 22:54

Beboeten kan alleen als het aantoonbaar bewust gedaan is.

Dat klopt niet. Beboeten kan al als er bijv. aantoonbaar laakbaar gehandeld is, of gehandeld is in afwijking van of in strijd met algemene veiligheidsnormen die binnen een bepaalde industrie gewoon zijn, zonder dat daar goede motivering voor is of was.

Daarnaast kun je als je gevolgschade enigzins aantoonbaar kunt maken, ook schade claimen.
Daaronder valt zelfs psychologische schade zoals nachten slapeloos wakker liggen over het feit dat iemand mogelijk met je identiteit aan de haal gaat. Dat soort schade heeft de EU expliciet tot de mogelijkheden gerekend bij de AVG / GDPR.

[Reactie gewijzigd door R4gnax op 20 augustus 2025 08:22]

Nadinarama @R_Zwart • 20 augustus 2025 04:58

Jarenlang heb ik zonder succes lopen drammen bij beslissingsbevoegden van bedrijven om informatiebeveiliging serieus te nemen. De laksheid is stuitend te noemen.

Er mag inmiddels wel eens een keer strafrechtelijk gekeken worden waar nalatigheid in het spel is. Er zijn standaarden beschikbaar waar deze nalatigheid aan getoetst kan worden. Als een bedrijf hier geen prioriteit aan geeft en failliet gaat, is dan het directe gevolg van deze nalatigheid.

De indruk ontstaat dat het allemaal maar oké is, dat dit gebeurd. Dat is het niet.

Ras @PhilipsFan • 19 augustus 2025 21:40

Je doet net of het lab hier niet al zwaar onder te leiden heeft. Ze hebben de hackers betaald. Ze hebben de dagelijkse gang van zaken op een lager pitje. Dure externe beveiligers over de vloer. Hun naam is beschadigd en bovenal verliezen ze klanten. Dit is geen pretje. En zeker niet goedkoper dan je beveiliging goed bijhouden. En dan kun je nog zo goed je best doen; soms is het een beveiliging update 'pas' 4 uur na het uitkomen draaien genoeg tijd voor hackers om een achterdeur te installeren. Die ze vervolgens verkopen op het dark web aan de hoogste bieder.

PhilipsFan @Ras • 19 augustus 2025 21:47

Tja, ik kan er geen medelijden mee hebben. Ze hebben mensen benadeeld door extreem gevoelige gegevens te lekken. Nu proberen ze de schade te beperken, maar het had in eerste instantie nooit mogen gebeuren. Maar het ergste vind ik, dat de slachtoffers geen gerechtigheid krijgen. Mensen wiens gegevens zijn gelekt, mogen eventuele problemen zelf oplossen. Dat klopt gewoon niet.

R4gnax

Datalek
Privacy

@Ras • 19 augustus 2025 23:04

Je doet net of het lab hier niet al zwaar onder te leiden heeft.

'lijden' - en nee; ik kan er geen medeljiden mee hebben. Ze wisten al van het lek af, midden juli.
En hebben naar eigen berichtgeving alles wekenlang onder de pet gehouden om te besluiten hoe correct met zaken om te gaan. Wettelijk hadden ze maar één verplichting: de verwerkingsverantwoordelijken voor wie zij als verwerker een opdracht aangenomen hadden, meteen inlichten.

Die verplichting hebben ze geschonden. En ze hebben de mensen met een daadwerkelijke verplichting om de betrokkenen in te lichten, in een enorm lastige positie gebracht daarmee. Alsmede de betrokkenen zelf, die nu veel te laat ingelicht worden omdat het een enorme operatie is om naar iedereen de brieven uit te gaan sturen. Komt nog bij, iedereen die dit uit de media heeft moeten vernemen en wellicht wekenlang in onrust moeten zitten.

Nee.
Deze mensen mogen, wat zeg ik, zouden moeten branden.
Geen genade. Punt.
Voorbeeld van maken.

Steenvoorde @PhilipsFan • 19 augustus 2025 21:22

Het probleem is dat het een zero day betreft, daar kan je je simpelweg niet tegen wapenen. Aan de andere kant zou ik zelf geen vertrouwen meer hebben in Netscaler oplossingen, het is niet voor het eerst dat hier serieuze lekken in ontdekt zijn en men heeft genoeg tijd gehad om andere oplossingen te implementeren. En laten we eerlijk wezen, deze gegevens zijn veel te belangrijk om aan de markt over te laten. Dit is een essentiële inschattingsfout geweest van onze overheid, dit hadden ze heel anders moeten doen.

En in dit geval is het natuurlijk extra kwalijk dat dit bedrijf dit nieuws veel te laat naar buiten heeft gebracht, mensen hadden serieus benadeeld kunnen worden en hier mag de overheid wat mij betreft wel wat scherper in zijn. Maar iets zegt mij dat we dit soort slagvaardigheid niet van onze regering kunnen verwachten op korte termijn...

PhilipsFan @Steenvoorde • 19 augustus 2025 21:29

Je kunt je niet wapenen tegen zerodays. Maar je kunt wel de gegevens die je vastlegt enorm beperken. Het BSN is dan misschien wettelijk verplicht (hier moet ook meteen een einde aan komen), maar er hadden geen adresgegevens bij gehoeven. Bedrijven leggen veel te veel vast.

Steenvoorde @PhilipsFan • 19 augustus 2025 22:00

Mee eens, ik denk dat we dit soort persoonlijke gegevens heel anders moeten gaan opslaan, sowieso niet door bij organisaties zelf. En misschien zelfs de identiteiten geheim houden voor deze instellingen, waarbij de identiteiten alleen centraal beheerd worden. En dit kan je natuurlijk niet aan de markt overlaten, dus dit zal onder overheidstoezicht moeten gebeuren. Da's duurder, maar prijs is niet altijd de belangrijkste factor in een beslissing.

fuzzyIon @PhilipsFan • 20 augustus 2025 10:05

Patienten gegevens zijn van levens belang. Wie bepaald welke info wel of niet opgeslagen word? Ik neem voorzichtigheidshalve aan dat niet iedere ict-er ook arts is.

Blokker_1999

Economie en maatschappij
Datalek
Beveiliging en antivirus
Privacy

@PhilipsFan • 19 augustus 2025 21:26

Geen enkel systeem is 100% veilig te maken. Dat bestaat gewoonweg niet. En als een datalek betekend dat je failliet gaat, welk bedrijf gaat dan zelfs nog maar de moeite doen? Want dan kan je beter niets doen en als het mis gaat gewoon faillisement aanvragen en opnieuw beginnen.

En dat je een BSN nummer niet kunt veranderen lijkt mij logisch. Het is het nummer dat je krijgt op je geboorteakte, dat overal in de administratie van de overheid terug te vinden is, het is een unieke identificatie van jouw persoon en als men over 30 jaar een document vindt met jouw nummer op, dan moet dat ook in 1 klap terug te brengen zijn tot jouw persoon.

En het is niet alsof dit incident hen niets kost. Dit kost hen enorm veel geld. De inhuur van experten, de overtijd, het verlies aan opdrachten, ... . Er zijn voldoende bedrijven die dit soort van aanvallen niet eens overleven omdat ze de kosten niet aankunnen. Vele bedrijven proberen zoveel mogelijk risico's af te dekken, maar zoals ik in mijn eerste zin schreef, je kan nooit alles afdekken.

moonlander @PhilipsFan • 19 augustus 2025 22:07

Ga naar een willekeurig postnl pakketpunt, maak een paar fotos van pakketjes die daar liggen en je hebt al een datalek. Je kan dan prima achterhalen wie de afzender is en wie hun klant is...

Naafkap @moonlander • 19 augustus 2025 22:28

Dat is een datalek van een totaal andere orde dan hier aan de hand is.

moonlander @Naafkap • 19 augustus 2025 22:58

Even lezen waarop ik reageer aub. Dat wil zeggen dat naam, adres, etc boete zou moeten krijgen wat poster zegt....

[Reactie gewijzigd door moonlander op 19 augustus 2025 22:59]

-Elmer- @PhilipsFan • 20 augustus 2025 07:59

Wat mbt een schadevergoedingen goed is om te beseffen is dat deze louter en alleen wordt toegekend wanneer een bedrijf aantoonbaar de AVG overtreedt. Zie https://www.autoriteitper...n-datalek-dit-kunt-u-doen

Wanneer een bedrijf zich gewoon aan de AVG houdt en afdoende maatregelen heeft getroffen kun je geen aanspraak maken op schadevergoeding. Een hack kan de beste tenslotte overkomen.

Ik ben het met je eens dat schadevergoedingen vele malen hoger moeten zijn. De schadevergoedingen zijn namelijk momenteel dermate laag dat het voor een bedrijf vaak 'loont' om security en privacy onvoldoende in te richten. Het wordt dan gewoon een ingecalculeerd risico en dat kan en mag gewoon niet zo zijn

[Reactie gewijzigd door -Elmer- op 20 augustus 2025 08:00]

sircampalot @PhilipsFan • 20 augustus 2025 08:18

Ik vind het wel een goed voorstel eigenlijk! Bedragen valt natuurlijk over te discussieren, maar niet relevant voor het idee.

Dit zorgt ervoor dat bedrijven ten eerste zo min mogelijk opslaan
Ten tweede wat ze opslaan tenminste encrypted gaan doen.
Ten derde door vervanging van de gegevens worden de gestolen gegevens waardeloos, hierdoor neemt de incentive voor hacken af.

[Reactie gewijzigd door sircampalot op 20 augustus 2025 08:19]

Ruffian @PhilipsFan • 20 augustus 2025 15:21

Je staat aan de verkeerde kant van de straat te roepen!
Pak de boeven, niet de slachtoffers.

PhilipsFan @Ruffian • 20 augustus 2025 15:46

Mja, dat is natuurlijk zo, maar dat gebeurt nergens. Als jij geen slot op je voordeur hebt en dieven komen je geld ophalen, dan heb jij pech, want je hebt niet voldoende maatregelen genomen om diefstal te voorkomen.

Ruffian @PhilipsFan • 22 augustus 2025 12:03

Klopt dat dat de gang van zaken is maar dat moet niet het normaal worden.

telenut @De_Daapse • 19 augustus 2025 21:28

als een simpel getal zoals het BSN nummer ( in België het rijksregisternummer) er voor kon zorgen dat er misbruik is, dan hebben jullie in NL wel een groter probleem...
Iedereen mag mijn rijksregisternummer weten, daar kan je helemaal niks mee. Behalve gebruiken als unieke identificatie. Is dat in NL dan zo anders???

Gemeni @telenut • 19 augustus 2025 21:39

Welke gegevens heb je bijvoorbeeld nodig om een mobiel abonnement af te sluiten?

De combinatie van NAW gegevens, geboortedatum en BSN maken het (zeker met AI) erg makkelijk om online iemands identiteit te gebruiken.

moonlander @Gemeni • 19 augustus 2025 22:07

1 cent betaling gaat dan wel wat lastig he

R4gnax

Datalek
Privacy

@telenut • 19 augustus 2025 23:09

Is dat in NL dan zo anders???

In Nederland zijn er veel organisaties die 'de laatste cijfers van' als controlemiddel gebruiken bij contact met hun telefonische service desks. Als de naam, geboortedatum, en het BSN van een persoon kent - kan er een boel kwaad mee gedaan worden. Bijv. door verzekeringen onder de naam van die persoon af te sluiten, waarmee de desbetreffende persoon centraal als fraudeur geregistreerd kan worden bij coordinerende organisaties in de private sector, zonder veel controle op kwaliteitsnormen, die dat soort zaken industriebreed bijhouden.

Pixelmagic @De_Daapse • 19 augustus 2025 21:21

Het meest vervelend vind ik eigenlijk nog dat je op dit moment niets kan doen en zeker geen ander BSN nummer kan krijgen, hoe vaak het ook gelekt is.

De overheid zegt dat je het niet moet delen maar voorheen was je zakelijk BTW nummer gewoon je BSN met wat toevoeging, houd dat maar eens voor jezelf. Vrouwlief heeft op die manier al een "lek" en nu ook met dit onderzoek waarschijnlijk.

CasualKnaller @De_Daapse • 19 augustus 2025 22:27

Bizar hoeveel data deze organisatie heeft, terwijl het louter 'laboratorium services' verzorgt. Je zou toch denken dat dit volledig geanonimiseerd kan worden en dat de uitslagen louter gekoppeld worden aan bijvoorbeeld een casenummer.

Het zal waarschijnlijk rondgepompt worden voor vergoedingsdoeleinden, maar door dit soort hersenloos rondpompen van PII data werk je dit soort gevaarlijke situaties in de hand. Het zal Clinical Diagnostics geen moer uitmaken, maar de patienten zijn zwaar exposed en zij doen zich er met een briefje vanaf. In veel regios heeft deze club een monopolie op laboratorium services, dus als patient heb je geen alternatief. Uberhaupt zou dit streng moeten worden aangepakt, dataminimalisatie zou de facto de norm moeten zijn, zowel binnen als tussen organisaties. Dit soort zware lekken zou zwaar moeten worden aangepakt.

HoppyF @De_Daapse • 19 augustus 2025 23:17

Staat er in de brief ook iets over het feit dat je extra alert moet zijn ivm phishing e.d.? Wordt er verder iets gezegd over een mogelijke schadevergoeding?

Ik verwacht overigens wel dat advocaten of advocatenkantoren deze case gaan oppakken en voor de enorm grote groep getroffen patiënten een massaclaim gaan voorbereiden. Uit eigen beweging gaat dit lab vast niet veel betalen.

ebje @De_Daapse • 20 augustus 2025 21:17

Exact. Ze kunnen (telefoon) leningen op haar naam afsluiten, bestellingen op afbetaling plaatsen.

Voor de zekerheid maar elke week mijnkredietregistratie (bkr) checken.

Ik hoop dat er een collectief proces wordt aangespannen waar alle getroffen vrouwen zich bij aan kunnen sluiten.

De brief is te sneu voor woorden, het informeert de slachtoffers geenszins over de rampzalige gevolgen. De q&a vd website waarschuwt voor fraude in de zin van phishing. Kom op.

bython 19 augustus 2025 20:56

Wat ik niet zo goed begrijp is waarom een lab PII nodig heeft, dienen zij niet enkel gewoon de samples te verwerken en dan het positieve of negatieve resultaat door te geven? Dat kan toch gelinkt worden aan een uniek nummer waar enkel via het bevolkingsonderzoek (één database) een luik is om het nieuws terug te koppelen aan de persoon die getest is. Een lek met onherkenbare nummers met een resultaat aan gekoppeld zou niet zoveel boeien.

PhilipsFan @bython • 19 augustus 2025 21:06

Die vraag werd onder het eerdere bericht ook steeds gesteld en is ook heel logisch. Maar het schijnt wettelijk bepaald te zijn dat alle verwerkingen van medische onderzoeken altijd vergezeld moeten zijn van een BSN. Bij alleen een uniek sample-nummer is er kans op persoonsverwisseling.

guapper @PhilipsFan • 19 augustus 2025 21:15

Lijkt me dat er genoeg andere kenmerken te verzinnen zijn die verwisseling kunnen voorkomen, bijvoorbeeld het samplenummer, vergezeld door een geboortedatum en initialen of iets dergelijks.

Daarmee wordt de kans op misbruik een stuk kleiner.

bython @guapper • 19 augustus 2025 21:28

Aan zoiets denk ik dan ook, of een hash die gebaseerd wordt op bepaalde kenmerken en die bij verificatie altijd persoongebonden zijn zonder dat een derde weet wat erachter zit. Of een dubbele verificatie bijvoorbeeld. Plaintext PII in een database is sowieso al... (uiteraard is dit een assumptie, geen idee hoe hun database of filesystem eruit ziet natuurlijk)

Robbierut4 @bython • 19 augustus 2025 21:13

Misschien even de reacties op alle andere nieuwsberichten die hierover gaan lezen.

In verband met medische veiligheid en voorkomen dat samples gemixt worden en/of de uitslag naar de verkeerde gaat moet het BSN erbij verwerkt worden. Van de wet.

Overigens verschuif je in jou suggestie alleen het probleem, in plaats van het lab wordt dan bevolkingsonderzoek Nederland gelekt en heb je alsnog alles op straat liggen.

R_Zwart @bython • 19 augustus 2025 21:13

En hoe ga je garanderen dat de koppeltabel 100% correct is en waar nooit maar dan ook nooit een mapping probleem voorkomt. En wat doen we als er toch een fout in die koppeling is en mensen die kanker hebben niet geinformeerd worden? (Andersom kan ook natuurlijk maar is minder dramatisch). Op basis van bsn en naam is de kans het kleinst dat het fout gaat (dan kan natuurlijk nog altijd een test in een verkeerde envelop worden gedaan).

lexi @bython • 20 augustus 2025 16:36

Het is wettelijk verplicht

Gebruik bsn in de zorg

Zorgaanbieders, zorgverzekeraars en indicatieorganen (zoals het Centrum indicatiestelling zorg) zijn verplicht het bsn van patiënten te registreren. Ook moeten ze het nummer gebruiken als ze gegevens over patiënten uitwisselen. Dit staat in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z).

chrisboers 20 augustus 2025 00:03

Ik ben vooral benieuwd wanneer er eens schadevergoedingen aan dit soort lekken gekoppeld gaan worden. Bedrijven en instanties hebben hun beveiliging niet op orde en de klanten/patiënten zijn degenen die er (financieel of emotioneel) last van hebben.
Het EPD moest en zou er komen, want dat was zo veilig. Nou, ik heb er inmiddels flink mijn twijfels over. Het zal vast heel handig zijn voor de medische wereld, maar datalekken van medische gegevens komen inmiddels wel erg vaak voor.

Orangelights23 @chrisboers • 20 augustus 2025 05:07

Hoe kom je erbij dat ze hun beveiliging niet op orde hebben? Zie mijn eerdere reactie hier, beveiliging serieus nemen staat niet gelijk aan geen cyberaanvallen meer krijgen. Ook ondoordringbare infrastructuren hebben altijd nog een kleine kwetsbaarheid

nutty @Orangelights23 • 20 augustus 2025 06:00

In 9 van de 10 gevallen dat bedrijven gehacked zijn, is hun reactie erna:" we gaan het beveiligingsniveau opvoeren"

Dat suggereert dat het dus niet op orde was.

Orangelights23 @nutty • 20 augustus 2025 08:54

Ben ik het niet mee eens. Het suggereert dat zij leren van incidenten en het verbeteren.

Vergelijk het met een huis. De meeste mensen zorgen goed voor hun eigen huis. Als er toch brand uitbreekt betekent het niet dat het niet op orde was, maar dat er altijd een bepaalde mogelijkheid is. Het gaat allemaal om risico management en dit is een zeer lastig gebied waarbij nooit 100% assurance gegeven kan worden dat het klopt. Ik heb zeer volwassen organisaties slachtoffer zien worden van een datalek, en ook zij verbeteren hun beveiliging.

WoutervOorschot

@chrisboers • 20 augustus 2025 08:19

Het EPD heeft hier toch niets mee te maken? Als het er niet was geweest had deze instelling dezelfde data moeten hebben om de verwerking en analyse van testen te doen. Alleen als je alles verplicht op papier had willen houden had je het wel kunnen tegenhouden.

Ook kan de beveiliging gewoon in orde zijn geweest, inbraken kunnen ook gebeuren als de deur op slot zit.

Krommetenen @chrisboers • 20 augustus 2025 08:19

Was dit een EPM lek?

Wat is de schade? Bij wie verhaal je dat?

Gemeni 19 augustus 2025 21:36

Mijn vrouw heeft ook een brief gehad, waarom moet een laboratorium alle gegevens waaronder BSN, naam, adres, geboortedatum en soms emailadres + telefoonnummer opslaan?

Zij kunnen toch gewoon een onderzoeknummer opslaan wat bijvoorbeeld bekend is bij de huisarts of bevolkingsonderzoek Nederland?

Laat vooral zien dat er onvoldoende wordt nagedacht over welke gegevens echt noodzakelijk zijn om te verwerken…

Soldaatje @Gemeni • 19 augustus 2025 22:20

Volgens het Alrijne ziekenhuis anonimiseren ze de gegevens van onderzoeken, dus het is niet onmogelijk. Bron.

kimborntobewild 20 augustus 2025 06:50

Het wordt hoog tijd dat in de wet wordt opgenomen dat het illegaal wordt te reageren op de afpersers. Geen bevestiging geven, niks vragen, niet onderhandelen: niks. Helemaal niks.

Immers, door in te gaan op eisen, houdt je deze criminaliteit niet alleen in stand, maar wakker je het sterk aan. Betalen aan zulke criminelen is m.i. daarom ook crimineel.

Gaan sommige bedrijven dan failliet, omdat ze rechtszaken aan de broek krijgen, en niemand meer zaken met hun wil doen? Ja, natuurlijk. Maar daar is niks aan te doen. En wat mij betreft mogen de betrokken bedrijfsleiders niet opnieuw werkzaam zijn in een bedrijf waar persoonsgegevens worden verwerkt.

En wat mij betreft moeten deze criminelen levenslang krijgen. De enige manier om zulk gespuis van de straat te houden.

[Reactie gewijzigd door kimborntobewild op 20 augustus 2025 06:52]

Krommetenen @kimborntobewild • 20 augustus 2025 08:20

Tot het je zelf overkomt en je alles voor je klanten/patienten wil doen.

kimborntobewild @Krommetenen • 20 augustus 2025 08:23

Jammer dan. Beter failliet dan die keiharde criminelen belonen voor hun criminele gedrag, en ze stimuleren om het vaker te doen, en dus meer slachtoffers te maken.

Cobb 20 augustus 2025 10:09

Mijn vrouw en zus hebben gisteren ook een brief gehad dat hun gegevens gelekt zijn. Zoals hierboven al is vermeld het gaat echt om veel informatie. Complete ID gegevens, adres en BSN. Testuitslag en namen van zorgverleners. Soms ook een emailadres en telefoonnummer.

Crasheeee @Cobb • 20 augustus 2025 15:38

Ja echt bijzonder vervelend.. Ik kan er ook zo slecht tegen, omdat we er nu niets meer aan kunnen doen.

fiNgLaRN 20 augustus 2025 12:28

Ik mis in de brief wat je kunt/moet doen nu de data van mijn vriendin is gelekt. Moeten we een nieuwe BSN aanvragen? In principe is het wachten tot iemand de gegevens van mijn vriendin gaat misbruiken.

Bijv.: Een kwaadwillende kan met de gegevens van mijn vriendin een nieuwe abo afsluiten, 0,1 cent betalen via Resoluut/Openbank en na ontvangen van bijv. de telefoon de tijdelijke creditkaart blokkeren en ‘verdwijnen’ met de nieuwe telefoon.

HoppyF @fiNgLaRN • 20 augustus 2025 12:40

Staat in de brief geen telefoonnummer of e-mail adres waar je verder informatie kunt inwinnen?

fiNgLaRN @HoppyF • 20 augustus 2025 13:13

Dat staat wel vermeld, maar de meeste medewerkers hebben hier geen verstand van en wordt dus de standaard reactie: “er is niets aan de hand, een nieuwe BSN is niet nodig, ga maar door met je leven”

HoppyF @fiNgLaRN • 20 augustus 2025 13:38

Ik mag toch hopen dat het laboratorium een soort FAQ gaat opstellen waar de getroffen patiënten iets mee kunnen doen. Dat is toch wel het minste wat je mag verwachten.

Zelfs als nu nog niet alle vragen beantwoord kunnen worden.

BB1100XX @HoppyF • 20 augustus 2025 16:30

Er staat een link in de brief naar een website van de rijksoverheid met info wat je kan doen bij cybercrime/cybersecurity.

HoppyF @BB1100XX • 20 augustus 2025 19:43

Een link naar de overheid is wel erg algemene informatie.

Niet toegespitst op dit specifieke lek. Vandaar mijn vraag.

BB1100XX @HoppyF • 21 augustus 2025 18:30

Ik begrijp dat je die vraag stelt.
Omdat ik gister zelf de brief kreeg en toch wel schrok van de reacties hier op tweakers en de gevaren, ben ik wat gaan rondneuzen.
Maar ik krijg erg de indruk dat elk nieuwsbericht elkaar napraat of copy/paste. Er komt niet heel veel info naar buiten vooralsnog, waar je daadwerkelijk wat mee kan (imo). Als in voorkomen van.... grotere ellende.
De info die gegeven word, met name via de rijksoverheid gaat er over als het kwaad al geschied is.

Deze links staan in de brief naast de website van de r.overheid:

https://www.bevolkingsonderzoeknederland.nl/nieuws/datalek/

https://clinicaldiagnostics.nl/nl/nieuws-3/

Deze website geeft een stuk meer informatie:
https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/slachtoffer-van-een-datalek-dit-kunt-u-doen (op deze website staat overigens ook info over schadeclaims)

Ik stelde gister bijvoorbeeld nog de vraag, heeft het nut in een situatie als deze, om de ID kaart eerder te vervangen als die dit jaar toch nog vervangen moet worden.
Om potentiele ID fraude (eerder) in de kiem te kunnen smoren door die extra vinger afdruk bijvoorbeeld.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (136)

Sorteer op:

Weergave: