68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab

Dat is inderdaad nog niet duidelijk. Het is wel duidelijk dat ze het datalek niet binnen 72 uur na ontdekking hebben gemeld. Dus ze staan sowieso al 1-0 achter.

De rest wordt vanzelf wel duidelijk, zeker nu het OM en de politie zelf een strafrechtelijk onderzoek zijn gestart

Over ‘denkfouten’ gesproken: jij begint hier een blame game door mij een denkfout toe te schrijven die ik nooit gemaakt heb. Ondertussen stapel je er zelf meerdere op. Ik noem Bevolkingsonderzoek Nederland als partij waar de slachtoffers mee in zee zijn gegaan, jij schuift het hele probleem gemakzuchtig in de schoenen van ‘de overheid’. Daarmee doe je precies wat tw_gotcha al opmerkte... makkelijk proberen te scoren door het hele probleem eenzijdig bij één containerbegrip te leggen.

Feit blijft dat zowel de verantwoordelijke (Bevolkingsonderzoek Nederland) als verwerker (Clinical Diagnostics) zelfstandig verplichtingen hebben, dat volledige anonimiteit in dit proces onmogelijk is (hoogstens pseudonimisering, maar dat valt óók onder de AVG) en dat verwerking door een lab wél toegestaan is mits noodzakelijk, contractueel geregeld en goed beveiligd.

Lijkt mij dat de fout in eerste instantie ligt bij de eigenaar/beheerder van de persoonsgegevens die voor het onderzoek nodig zijn. En dat is de overheid.

Dat is veel te kort door de bocht, daarbij kent de AVG geen “eigenaar van persoonsgegevens”. “De overheid” als containerbegrip roept makkelijk wat op, maar het is juridisch totaal nietszeggend. De formele verwerkingsverantwoordelijke is en blijft zoals ik al aangaf het Bevolkingsonderzoek Nederland, en daarnaast rusten er zelfstandige verplichtingen op de verwerker. Artikel 82 dat ik eerder deelde maakt duidelijk dat ook Clinical Diagnostics daardoor aansprakelijk kan zijn voor schade bij schending van hun verplichtingen, en dat er richting de betrokkene zelfs hoofdelijke aansprakelijkheid kan gelden.

Die moet er voor zorgen dat de gegevens veilig zijn.

Juist, maar dit geldt óók voor de verwerker. Artikel 28 en 32 AVG verplichten verwerkers zelf tot passende technische en organisatorische maatregelen. Als patiënt heb je in eerste instantie te maken met de partij waarmee jij in zee gaat, en dat is in dit geval het bevolkingsonderzoek (in andere gevallen, zoals onderzoeken via de huisarts, is de huisarts de verantwoordelijke). Dat betekent niet dat het laboratorium vrijuit gaat zodra jouw gegevens daar belanden, maar wel dat beide partijen ieder hun eigen aansprakelijkheid dragen en uiteindelijk bij beide een claim neergelegd kan worden.

Een lab hoeft helemaal de persoonsgegevens niet op te slaan en kunnen volledig anoniem de testen uitvoeren en terugmelden aan de overheid.

Dit klopt niet. Volledige anonimiteit is in dit proces onmogelijk, omdat testresultaten altijd aan een individu moeten worden teruggekoppeld. Hoogstens kan pseudonimisering worden toegepast, maar dat zijn nog steeds persoonsgegevens onder de AVG (art. 4 lid 5, overweging 26).

Daarnaast schrijft de Wbsn-z verplicht voor dat het BSN wordt gebruikt bij zorgprocessen, juist om correcte identificatie en koppeling van uitslagen te garanderen. Aanvullend gelden de waarborgen uit de Wabvpz, die vastlegt dat gegevensverwerking in de zorg alleen rechtmatig is als identificatie en uitwisseling volgens deze wettelijke kaders plaatsvinden. Daarmee wordt voorkomen dat persoonsverwisseling optreedt, met potentieel ernstige medische gevolgen.

En als het niet nodig is dat deze gegevens ter beschikking van derden hoeven te komen, dan is het volgens de AVG ook niet toegestaan.

Onvolledig. De AVG staat verwerking door derden toe, mits noodzakelijk en gebaseerd op een rechtsgrond (art. 6 AVG) én vastgelegd in een verwerkersovereenkomst met duidelijke instructies van de verantwoordelijke. Dataminimalisatie, zie art. 5 lid 1c AVG, betekent dat alleen noodzakelijke gegevens mogen worden verwerkt, niet dat verwerking door derden verboden is.

Op die manier is geen digitale versie van die gegevens bij derden beschikbaar.

Ook dat is een misvatting. Met een sleutel verwerk je nog steeds persoonsgegevens, want die sleutel blijft herleidbaar tot een individu. Zolang de koppeling kan worden gemaakt, is er sprake van pseudonimiteit en dus valt dit volledig onder de AVG.

Dat is de denkfout die in vrijwel alle media gemaakt wordt, het gaat er niet om hoe er een hack heeft plaatsgevonden, het gaat om de vraag waarom die gegevens bij een lab opgeslagen zijn, terwijl dit helemaal niet nodig was (en dus niet toegestaan).

Onjuist.... Het opslaan en verwerken van persoonsgegevens door een lab is toegestaan mits noodzakelijk, met een passende rechtsgrond en vastgelegd in een verwerkersovereenkomst, waarbij art. 32 AVG passende beveiliging vereist. De kern van dit incident is niet dát een lab gegevens verwerkt, maar dat de beveiligingsmaatregelen tekortschoten.

[Reactie gewijzigd door jdh009 op 27 augustus 2025 18:33]

ja maar daar valt toch wel wat op te verzinnen? hash van BSN + aanvraagdatum + “salt” die alleen op de omgeving van aanvragende arts staat ofzo? dat een toeleverancier à la Clinical Diagnostics een BSN+NAW niet krijgt betekent niet dat de BSN helemaal uit het spel hoeft te zijn

Er zijn zorgsystemen, zelfs in dat lab, die met zo'n versleuteling van het BSN werken. Maar de wet is simpel: communicatie tussen zorgverleners moet op basis van BSN gebeuren.

En de introductie van een versleuteld BSN is niet eenvoudig. Om centrale nodes te ontlasten werkt het (je index, welke zorgaanbieder heeft wat van welke patient), Maar op een eindpunt als een lab werkt dat niet. Men moet immers ook continuiteit van zorg voor de komende 20 jaar naar de patient garanderen (Wet op de Geneeskundige Behandelovereenkomst), en dan zie je dat je het plain-text BSN toch gewoon nodig hebt. Al is het maar omdat die versleuteling na 20 jaar achterhaald blijkt. En een sleutel mondeling verifieren die uit 128 karakters bestaat is niet te doen (zorgverleners bellen elkaar ook nog over uitslagen...).

ik krijg echt kriebels hoeveel onderaannemers zo veel gegevens hebben terwijl het echt niet twee kanten op hoeft

Dit is gewoon een medisch specialist die zijn werk doet. Een ziekenhuis is in praktijk een bedrijfsverzamelpand voor medisch specialisten, allen met hun eigen juridische maatschappen. Onderaanneming zie jij als patient niet, maar is gewoon defacto de werkwijze in de zorg. Dit lab zit alleen om praktsiche redenen in Rijswijk (want het bediend de ziekenhuizen en huisartsen in Leiden, Den Haag en Rotterdam...).

Het idee achter de combinatie BSN en NAW is dat het door een mens te controleren valt. Als er in een hashfout BSN en NAW gemixt zijn dan kan een mens dit niet meer zien.

Let wel: de impact van persoonsverwisseling in de zorg is potentieel levensbedreigend; een datalek niet.

Met de juiste beveiligingsmaatregelen is de huidige gegevensuitwisseling aan de hand van BSN en NAW een uiterst verstandige manier van werken en gezien het nut prima in balans met iemands recht op privacy.

Daarmee voorkom je niet de hack, maar verminder je de impact.

Zelfs dan is het niet 100 procent veilig. Er kan immers nog altijd een medewerker fysiek bij die offline tapes (of welk opslagmedium dan ook gebruik wordt).

Als dat iemand met kwade bedoelingen is, kan hij die tape/opslagmedia aan een ongeautoriseerde persoon/organisatie toespelen.

Kleine kans? Ja, uiteraard. Maar niet onmogelijk. Het is gewoon onmogelijk om 100 procent alles uit te sluiten. Je kan alleen de kans extreem klein maken.

Deze hack was eenvoudig te voorkomen door historische data offline te bewaren.

Dit past niet in de wetgeving die het BSN in de zorg regelt. Je moet het electronische dossier van een patient zonder onnodige vertraging kunnen opleveren als een andere zorgverlener er in opdracht van de patient om vraagt. Dus even een backup tape uit de kluis halen past daar niet in. Als je kijkt naar de AORTA infrastructuur, die door het ministerie is opgebouwd om EPD's te ontsluiten, en de bijbehorende eisen voor een Goed Beheerd Zorgsysteen, dan is dat ook een bikkelharde eis.

Er zijn talloze kant en klare oplossingen op de markt die je data versleuteld middels HSM's wegzetten. Dan is het aan jou om je toegangscontrole goed te regelen. Er zijn zelfs al quantum-ready encryptie protocollen als je los wilt gaan. Waar een wil is is een weg. Alleen die weg kost meer geld, en wordt dus niet toegepast.

Maar dat zou een taak van de overheid moeten zijn via het AP. Laat die maar zwaardere boetes opleggen.

Massaclaims zijn niks meer dan een verdienmodel voor de advocaten, vaak via verzekeringen afgedekt dus uiteindelijk gewoon door diezelfde consument betaald.

Je doet alsof die reputatieschade iets immaterieels is. De realiteit is echter dat het voortbestaan van klantrelaties nu op het spel staan.

Inderdaad, als ze niets te verwijten valt (er zijn recent enkele kwetsbaarheden aan het licht gekomen die gebruikt werden voor er patches waren), zijn ze gewoon medeslachtoffer.Tweaker willen meteen een strop aan de boom maar we weten nog niets van de redenen