68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab

Zo'n 68.000 vrouwen van wie de persoonsgegevens zijn gestolen bij de hack van Clinical Diagnostics, hebben zich aangesloten bij een gezamenlijke schadeclaim. Dinsdagavond stond de teller op 3700 aanmeldingen.

Advocaat Michaël Dol zegt tegenover de NOS dat advocatenkantoor Diepen Van der Kroef al zo'n 50.000 aanmeldingen via de website datalekbevolkingsonderzoek.nl heeft ontvangen. Die website staat sinds vrijdagmiddag online. Bij DKHV, dat aanmeldingen verzamelt via de website claimbevolkingsonderzoek.nl, staat de teller op 18.000 aanmeldingen. De twee kantoren gaan maandag in gesprek over een mogelijke samenwerking.

De advocatenkantoren willen de schadeclaim grotendeels baseren op nalatigheid bij het beveiligen van de gestolen data, schrijft onder meer NU.nl. Gedupeerden die zich aanmelden, hoeven daarvoor niets te betalen. In plaats daarvan ontvangen de advocatenkantoren een deel van de schadevergoeding als zij de rechtszaak winnen.

Twee weken geleden werd bekend dat de gegevens van zeker 485.000 Nederlandse vrouwen waren gestolen door een hack bij Clinical Diagnostics, die begin juli plaatsvond. In eerste instantie werd gemeld dat alleen vrouwen waren getroffen die in het verleden een bevolkingsonderzoek naar baarmoederhalskanker hadden ondergaan. Al snel werd echter duidelijk dat ook uiteenlopende andere medische onderzoeksgegevens via het bedrijf gestolen waren. Volgens RTL Nieuws zijn mogelijk ook gegevens uit huid-, urine-, penis-, vagina- en anusonderzoeken bij het datalek betrokken.

IT-banen

Reacties (146)

146

145

Wijzig sortering

JoeB2C 27 augustus 2025 15:52

Goede actie, even los van hoe de constructie precies werkt. Bedrijven en organisaties moeten databeveiliging eens serieus gaan nemen en anders maar flink pijn voelen.

Mathijs Kok @JoeB2C • 27 augustus 2025 17:02

Goede actie, even los van hoe de constructie precies werkt. Bedrijven en organisaties moeten databeveiliging eens serieus gaan nemen en anders maar flink pijn voelen.

Dan ga jij er van uit dat die beveliging niet op orde was, terwijl we daar nog helemaal niets van weten. De laatste twee weken is bekend geworden dat een aantal kwetsbaarheden gebruikt werden voordat ze bekend en gepatched waren. Dit kan er dus best een van zijn en dan kan je daar gewoon niets aan doen. Soms ben je gewoon niets anders dan slachtoffer als je gehacked bent. En in Nederland ondersteunen we slachtoffers en straffen ze niet.

Tweakers wil altijd Barbertje laten hangen zonder de feiten te weten. Dat is kwalijk. Zeker als we aannemen dat veel tweakers in de IT werken of er in elke geval affiniteit mee hebben

jDuke @Mathijs Kok • 27 augustus 2025 23:31

Interessante blik op de zaken. Snap het enigzins wel maar besef dat hier veel meer fout is gegaan dan enkel de hack. Waarom moet het lab alle gegevens hebben van mensen waarvan het onderzoek is gedaan door Bevolkingsonderzoek. Zij hoeven alleen maar een resultaat te geven, dat zou ook prima anoniem kunnen met behulp van een UUID of een ander uniek gegeven. Namen, adressen, geboortedata en BSN zouden al daar niet hoeven terecht te komen. Als je na een lek zoveel data buit kan maken klinkt ook dat je geen passende maatregelen hebt genomen. Men is veel te laat ingelicht (een maand). Kortom, ze zijn niet enkel slachtoffer. Slachtoffer van een hack maar dat betekend niet dat ze vrij uit kunnen gaan. Als ik de deur van mijn huis open laat staan en er worden spullen meegenomen zal mijn verzekeraar daar ook iets van vinden. Als ik software voor de zorg maak en neem verder geen maatregelen voor het geval dat het mis gaat betekend niet dat ik het slachtoffer ben omdat er een lek in de software zit. Tegenwoordig is niet de vraag alsof het gebeurd maar wanneer. Een lek is vervelend maar de impact kan zeker wel beperkt worden door juiste maatregelen te nemen.

Crazy D @jDuke • 28 augustus 2025 06:27

Lees anders even de reacties op de eerdere berichtgeving terug. Staat zeer uitgebreid beschreven waarom het nodig is.

Speculum @jDuke • 28 augustus 2025 10:47

Bovendien wordt er grof geld mee verdiend betaald uit publiek geld. Dat je dan de beveiliging op orde hebt is dan niet meer dan logisch. Hier zijn gewoon fouten gemaakt ten behoeve van kostenbesparing waardoor deze vrouwen nu de dupe zijn. Identiteitsfraude wordt wel heel makkelijk gemaakt zo.

Vae Victus @Mathijs Kok • 28 augustus 2025 13:46

Er zijn wel een aantal punten waaruit je kan concluderen dat een in ieder geval een deel van de beveiliging niet op orde is. Iedereen kan gehackt worden, maar als het goed is is beveiliging laag voor laag opgebouwd.

Mijn vrouw is ook slachtoffer van deze hack, ze heeft zeker 3 jaar geleden een test laten doen. Dat deze gegevens nog in de database staan is toch vreemd.
De gegevens in de database waren kennelijk niet of niet voldoende versleuteld.
De hack is niet op tijd gemeld. En tegen de tijd dat wij een brief thuis kregen was al zeker een maand later.

Thepriest1750 @Vae Victus • 29 augustus 2025 07:53

Die van mij ook zo'n 3 jaar geleden en ik vindt dat zulke belangrijke data zo ie zo minimaal al versleuteld erop moet staan ( voldoende iig ) dat zijn zeer belangrijke gegevens waarmen nu Identiteitsfraude mee kan plegen en men zegt ook dat de BSN blijvend iets is wat niet veranderd wordt, ik vind dat ze dat nu wel moeten doen met zo'n lek.

Tevens vind ik ook een boete wel terrecht en ze zeggen dat het nu bij een ander lab is ondergebracht en "geen zorgen" over de gegevens, wie zegt dat het andere lab wel zijn beveiliging in orde heeft?

Ik ben bang dat er zo wel meer systemen zijn van o.a. de overheid dat de beveiliging niet op orde heeft ivm kostbesparing in het verleden

JoeB2C @Mathijs Kok • 27 augustus 2025 17:05

Dat zal de rechter dan maar moeten uitzwijzen. Geen reden om ze niet verantwoordelijk te houden.

3_s

@JoeB2C • 27 augustus 2025 21:33

Als ze onschuldig zijn, lijkt me dat een heel goede reden om ze niet verantwoordelijk te houden.

JoeB2C @3_s • 27 augustus 2025 22:15

Ja, dat zal de rechter dan uitwijzen.

AlphaRomeo FP PowerMod @JoeB2C • 27 augustus 2025 16:10

Ik blijf het typisch vinden hoe cybercrime zo anders beleefd wordt dan fysieke aanvallen.

Ter vergelijking:
* 'Juweliers moeten zich eens wat beter gaan wapenen tegen ramkraken, het is toch te gek voor woorden dat je zo met een auto naar binnen kunt rijden'
* 'Mensen moeten hun fiets vastzetten aan frame, voorwiel én achterwiel. Anders kun je met een beetje sleutelen zo onderdelen meenemen.'

En mijn favoriet:
* 'Vrouwen moeten zich eens wat beter verweren tegen aanranding'

Voor álle niet-cyber gerelateerde criminaliteit noemen we dat victim blaming, maar voor cyber crime ligt de schuld voor sommigen primair bij het slachtoffer. Ik snap dat er meer secundaire slachtoffers zijn, maar dat kan ook gelden voor een juwelier of telefoonzaak.

dev-random @AlphaRomeo • 27 augustus 2025 16:39

Kromme vergelijking!

Niemand brengt zijn juwelen naar een juwelier die zijn zaken niet op orde heeft en zich niet kan weren tegen ramkraken.

Niemand leent zijn fiets uit aan iemand die hem niet op slot zet.

In het geval van Clinical Diagnostics hebben de deelnemers echter geen keuze gehad in de partij. Ze zijn hooguit benaderd door een arts met de belofte dat er zorgvuldig en anoniem zou worden omgegaan met hun gevoelige gegevens.

Victim blaming in dit geval zou klinken als:
"Dan had je maar niet je gegevens af moeten staan voor onderzoek, ook al deed je dat in de hoop andere vrouwen een berg ellende te besparen."

Gegevens over mijn vrouw zitten ook in dit lek. En als security-expert ben ik ervan overtuigd dat verantwoording hier absoluut noodzakelijk is.

P_Tingen @dev-random • 28 augustus 2025 08:27

Het "victim" is in het geval van een hack het bedrijf waar de gegevens gestolen zijn. True, als dat data is van klanten dan zijn die óók slachtoffer, maar de kritiek is hier op het bedrijf waar de data van gestolen is en dat is eigenlijk gek.

Als een vrouw aangerand wordt, moet je voor de grap eens zeggen dat het misschien niet slim was om nou net dat ene steegje in te gaan. Je wordt met pek en veren afgevoerd. Maar als je zegt dat het niet slim was om gaten in de beveiliging te hebben, dan heb je ineens een punt?

Ruuuuuubje @P_Tingen • 29 augustus 2025 10:12

Ik denk dat dit bedrijf eerder de steeg is dan de vrouw. En nee, de vrouw geef ik niet de schuld. De steeg (de gemeente die er voor verantwoordelijk is) misschien wel, voor de belabberde verlichting ofzo.

telenut @dev-random • 28 augustus 2025 09:15

Verantwoording is noodzakelijk, maar of ze schuldig zijn weten we nog altijd niet...
Als security-expert zal je ook wel weten dat je zelf ooit slachtoffer kan zijn zonder dat je schuldig bent.

dev-random @telenut • 28 augustus 2025 12:08

Eerst verantwoording, daarna kunnen we vaststellen of er iemand nalatig/schuldig is.

In dit geval ben ik van mening dat je zowel schuldig als onschuldig slachtoffer kan zijn.

OCU-Macs @AlphaRomeo • 27 augustus 2025 17:05

Exact dat. Het is nog niet eens vastgesteld of deze partij onvoldoende beveiligd was. Evenals die juwelier kun je ook als dataverwerker je veiligheid op orde hebben, maar alsnog gecompromitteerd raken (door bijvoorbeeld een corrupte medewerker).

Als je kunt aantonen dat je alles binnen je mogelijkheden hebt gedaan je data te beveiligen ga je gewoon vrijuit.

Kaasrol @OCU-Macs • 27 augustus 2025 18:12

Alleen al het feit dat ze in de eerstep plaats die persoonsgegevens hadden lijkt mij sterk nalatig. Dat heeft een lab niet nodig, alleen een ID om terug te koppelen aan de opdrachtgever.

De sterkste manier om data te beveiligen is om het niet op te slaan.

J_van_Ekris @Kaasrol • 27 augustus 2025 18:18

Alleen al het feit dat ze in de eerstep plaats die persoonsgegevens hadden lijkt mij sterk nalatig. Dat heeft een lab niet nodig, alleen een ID om terug te koppelen aan de opdrachtgever.

De wet die het BSN in de Zorg verplicht het gebruik van het BSN. In het verleden heeft het CBP (zoals de AP vroeger heette) op verzoek van het ministerie gekeken naar het gebruik van het BSN voor het bevolkingsonderzoek (formeel juridisch is er bij het bevolkingsonderzoek geen sprake van een medische behandeling), en die concludeerde dat het BSN gewoon verplicht was. Dus nee, zeker niet nalatig. Men heeft gewoon gedaan wat hun wettelijke plicht was, zoals ook al expliciet vastgesteld door de verantwoordelijke toezichthouder.

Hans C @J_van_Ekris • 27 augustus 2025 19:44

Volgens mij is wat je zegt correct, maar niet van toepassing op deze situatie. Dit lek vond plaats bij een onderaannemer voor het bevolkingsonderzoek. En wat die met het BSN nummer moet is mij niet duidelijk. Die deed namelijk alleen de fysieke test en communiceerde niet met de mensen. Dan is een ander, uniek nummer, voldoende.

J_van_Ekris @Hans C • 27 augustus 2025 20:06

Volgens mij is wat je zegt correct, maar niet van toepassing op deze situatie. Dit lek vond plaats bij een onderaannemer voor het bevolkingsonderzoek. En wat die met het BSN nummer moet is mij niet duidelijk. Die deed namelijk alleen de fysieke test en communiceerde niet met de mensen. Dan is een ander, uniek nummer, voldoende.

De BVO stichtingen doen niets anders dan de mensen uitnodigen op basis van de GBA: die rol staat al hard in de wetgeving (black letter law). Dus daar heb je de AP/CBP niet voor nodig om daar een mening over te hebben. Het gaat juist om het terugcommuniceren van een uitslag.

Dus de vraag gaat juist over het vervolg: moet een BVO Nederland de uitslag verwerken op basis van BSN? En daar is de AP toch vrij duidelijk over. Niet vreemd, want in de daarop volgende communicatie naar Huisarts moet op basis van BSN. Dat unieke nummer zoals jij voorsteld is zo'n 10 jaar geleden dan ook uitgefaseerd omdat het BSN tot minder ellende met patientverwisselingen leidde, zeker in dit soort complexe doorverwijssituaties waar een dossier 3 keer doorgeschoven wordt.

Daarbij komt: het is een medische diagnose van de aanwezigheid/afwezigheid van een ziekte, en valt daarmee bikkelhard onder de WGBO en Wet BSN in de Zorg. Dit soort labs zijn een volwaardig pathologisch laboratorium waar pathologen (= medisch specialist) werken. Dit is een daadwerkelijke beoordeling van het celbeeld, wat een medisch specialisme is. En als de oncoloog meer wil weten, moet ook het lab de info electronisch kunnen verstrekken op basis van BSN.

[Reactie gewijzigd door J_van_Ekris op 27 augustus 2025 20:08]

Kaasrol @J_van_Ekris • 27 augustus 2025 18:33

Weer wat geleerd, bizar dat gebruik van BSN verplicht is. Dat praat echter nog niet het bewaren van andere identificerende gegevens goed.

Siaon @Kaasrol • 27 augustus 2025 23:56

Elke zorghandeling vereist in Nederland een enorme berg aan persoonsgegevens, omdat de overheid dat eist.

108rogar @Kaasrol • 28 augustus 2025 14:34

Nee, wat bizar is, is dat BSN gebruikt wordt als een "paswoord" in plaats van een identifier. Identiteitsfraude zou helemaal niet mogelijk moeten zijn op basis van naam, adres of BSN.

S-1-5-7 @OCU-Macs • 27 augustus 2025 17:58

Dat is inderdaad nog niet duidelijk. Het is wel duidelijk dat ze het datalek niet binnen 72 uur na ontdekking hebben gemeld. Dus ze staan sowieso al 1-0 achter.

De rest wordt vanzelf wel duidelijk, zeker nu het OM en de politie zelf een strafrechtelijk onderzoek zijn gestart

Speculum @OCU-Macs • 28 augustus 2025 10:54

Ze waren wel onvoldoende beveiligd want ze zijn gehacked

.

Maar even serieus, als je met zulke vertrouwelijke gegevens werkt heb je de verplichting om een hele goede beveiliging te hebben. Dus scheiden van data meerdere lagen aan firewalls etc. Daarnaast is al bekend dat laboratoria vaak gebruikmaken van oude versies van Windows omdat deze zijn aangesloten op specialistische apparatuur met idem software. Het upgraden daarvan is zeer kostbaar dus kiest men ervoor om deze niet te updaten of in ieder geval dit zolang mogelijk uit te stellen. Als dit bij hen ook het geval is geweest dan is dat nalatigheid en zijn ze voor 100% verantwoordelijk.

OCU-Macs @Speculum • 28 augustus 2025 15:27

Als dit bij hen ook het geval is geweest dan....

Tja, als, als, als... maar dat stukje speculatie staat nog niet vast.

En je kunt wel voldoende beveiligd zijn en alsnog gehacked worden. Een beetje analoog aan dat jij je huis voldoende beveiligd kunt hebben, maar dat er alsnog ingebroken wordt.

"voldoende" betekent in deze context dat je naar alle redelijkheid alles binnen je vermogen hebt gedaan.

Speculum @OCU-Macs • 2 september 2025 08:42

Je vergelijking gaat niet op met 'mijn eigen huis'. Je kan het in dit geval beter vergelijken met een bankkluis waarin spullen, die niet van de bank maar van haar klanten zijn, liggen opgeslagen. Je mag verwachten dat de bankkluis vele malen beter beveiligd is als je eigen huis.

OCU-Macs @Speculum • 3 september 2025 12:51

Dan nog kan de bank vrijuit gaat als deze kan aantonen dat deze binnen alle redelijkheid het meest mogelijke heeft gedaan om de kluiskraak te voorkomen.

Het ging me namelijk niet om de juridische context van het in bezit hebben van gegevens van anderen (bank) of zelf de bezitter zijn (eigen huis). Het gaat erom dat er altijd ingebroken kan worden, ook al heb je het meest mogelijke gedaan e.e.a. Te beschermen.

Speculum @OCU-Macs • 10 september 2025 11:05

Precies en als je een oud systeem draaiende houdt zoals windows 95 omdat je niet wilt investeren in een upgrade dan ben je nalatig geweest en heb je er niet alles aan gedaan om inbraak te voorkomen.

Triblade_8472 @AlphaRomeo • 27 augustus 2025 16:20

Ho, wacht. Als ik jouw vertrouw met mijn spullen of gegevens, mag ik daar een passende beveiliging bij verwachten. Dààr gaat het om, niet om victim blaming, Maar om verantwoordelijkheid naar je klanten!

Mocht Tweakers besluiten alle wachtwoorden plain-text op te slaan, mogen we daar dan niet over klagen omdat het "blaming" is?

Zoidberg_AvG @AlphaRomeo • 27 augustus 2025 16:28

Als ik jouw auto mag lenen en ik zet deze met de sleutel in het contact en de deuren open in een achterbuurt dan neem ik aan dat je mij ook niet enkel als slachtoffer ziet.

Bedrijven die persoonsgegevens bewaren zijn verplicht hier op een juiste manier mee om te gaan. Daarom is het ook niet automatisch zo dat bedrijven aansprakelijk zijn bij een hack, enkel als ze hun beveiliging niet op order hebben.

Volgens het artikel zal gefocust worden op 3 dingen:

Zo'n claim zou onder meer gebaseerd zijn op nalatigheid van Clinical Diagnostics. "Die hinkt op drie gedachtes: Waarom is het lek zo laat gemeld? Waarom hadden ze zoveel persoonlijke informatie van vrouwen verzameld? En was de beveiliging op orde?"

Dat de data gestolen is is op zichzelf geen reden voor een aanklacht als de hack tijdig gemeld is, er niet onnodig informatie is verzameld en de beveiliging op orde is.

E!Ma0RB7 @AlphaRomeo • 27 augustus 2025 18:50

Los van de discussie of de beveiliging in orde was of niet:

Belangrijk verschil tussen jouw voorbeelden en deze casus is het feit dat er in deze casus sprake is van gestolen eigendom dat in bewaring was gesteld. Het lab is niet het slachtoffer, dat zijn de betrokkenen wiens gegevens gestolen zijn.

Hier is dus geen sprake van victim blaming, maar van een organisatie wiens taak (al dan niet verwijtbaar) niet effectief is uitgevoerd.

In jouw voorbeeld met de gestolen fiets zijn we niet de fietseigenaar aan het blamen, maar zijn we kritisch op de beveiligers van de bewaakte fietsenstalling.

Er bestaat geen discussie over wie hier schuldig is: dat zijn de daders.

wiseger @AlphaRomeo • 27 augustus 2025 16:52

Nou als ik mijn horloge voor reparatie naar de juwelier breng, dan mag ik verwachten dat deze er zorgvuldig mee omgaat. Dus na sluitingstijd netjes opbergt in de kluis.

Net zoals als ik mijn auto naar de garage breng, dan mag ik er toch vanuit gaan dat deze de auto veilig parkeert op een bewaakt en afgesloten terrein en niet aan de openbare weg op een industrie terrein parkeert?

Als er bij de juwelier ingebroken word ten mijn horloge bleek gewoon 's nachts achterin op de werktafel te liggen of de garage belt me, uw auto is vannacht gestolen van de openbare parkeerplaats op het industrie terrein, dan ben ik woedend en zal ik de bedrijven zeker aansprakelijk stellen

Guru Evi @AlphaRomeo • 27 augustus 2025 19:23

Een juwelier of een fietseigenaar en inderdaad, een man of vrouw, heeft wel degelijk een plicht bepaalde voorzorgen te nemen zodat ze niet overvallen worden. Als de juwelier zijn collectie niet op slot heeft in de avond, of een fietseigenaar doet er geen slot op, dan kun je ook niet verwachten dat de politie daar geld en moeite in steekt omdat je zelf geen waarde achte en hoogstwaarschijnlijk zal je verzekering ook wel eens een vraag stellen.

Een samenleving zonder criminaliteit zou beter zijn, maar dat bestaat niet. Het probleem met deze en andere hacks is dat de 'sloten' niet gesloten zijn, of erop geschilderd zijn en de enige reden dat het niet eerder gebeurd is, is omdat niemand voordien de klink geprobeerd heeft.

Het is relatief gemakkelijk voor een degelijke IT'er om deze data niet zomaar rond te laten slingeren, echter, net zoals in de wereld, een slotenmaker kost "veel geld" en doen we maar een slotje van de Gamma erop of doen we alsof we een slotje hebben. Echter, verzekeringen voor juwelieren hebben vereisten voor de sloten en de kluis zodanig dat niet gelijk iemand met de juwelen wegwandelt. Verzekeringen voor cybercriminaliteit hebben deze vereisten ook ondertussen.

Als je eens de details van deze hack ziet, zal je wel zien hoe karig het gesteld is:
- niet opgemerkt in meerdere dagen (geen EDR, firewall, SIEM etc)
- niet weten welke systemen aangeraakt zijn (geen centrale logs op het netwerk of de systemen)
- niet weten welke records aangeraakt zijn of meegedaan (geen centrale logs op de database, geen DLP)

In een degelijk IT systeem heb je tenminste 1, indien niet meerdere systemen die onafhankelijk dataverlies of aanvallen onderscheppen, indien niet onderscheppen, tenminste weten welke systemen getroffen zijn. Dat er volstrekt geen informatie (tijdig) kan gevonden worden zegt meer over de organizatie dan de aanvallers.

[Reactie gewijzigd door Guru Evi op 27 augustus 2025 19:29]

xSNAKEX @Guru Evi • 28 augustus 2025 11:23

Als je eens de details van deze hack ziet, zal je wel zien hoe karig het gesteld is:
- niet opgemerkt in meerdere dagen (geen EDR, firewall, SIEM etc)
- niet weten welke systemen aangeraakt zijn (geen centrale logs op het netwerk of de systemen)
- niet weten welke records aangeraakt zijn of meegedaan (geen centrale logs op de database, geen DLP)

Mag ik je vragen hoe je aan deze info komt? Ik heb deze info zelf namelijk niet kunnen vinden.

Guru Evi @xSNAKEX • 28 augustus 2025 15:22

Uit de vorige nieuwsberichten, het was meerdere dagen alvorens het opgemerkt was, meerdere dagen alvorens ze het gemeld hadden en ze weten vandaag nog steeds niet precies welke records (dus welke queries) er gemaakt zijn.

Ik kan je vandaag (en morgen) vertellen precies welke gebruiker, welke queries maakt op elk systeem, indien de applicatie gehackt wordt en vb Tomcat logging uitgeschakeld wordt, heb ik nog steeds de database logs. En de log servers staan 'buiten' ons netwerk en zijn 'immutable'. En zodra 'rare' dingen gebeuren (queries die niet dagelijks voorkomen, configuratieveranderingen etc) hebben we zowel een EDR, SIEM en DLP die tenminste een (indien niet meerdere) ervan de klokken gaat luiden.

[Reactie gewijzigd door Guru Evi op 28 augustus 2025 15:22]

xSNAKEX @Guru Evi • 29 augustus 2025 23:24

Vreemd, ze hebben het namelijk wel op tijd bij de AP gemeld (blijkbaar binnen 24 uur), hebben een hoop info over wat er allemaal gelekt is en EDR e.d. is ook niet full proof. Het lijken me wat dat betreft dan vooral nog aannames voor nu.

Had gehoopt op een link met gedetailleerde info, maar ik denk dat we dan nog maar even wat latere publicaties af zullen moeten wachten.

JoeB2C @AlphaRomeo • 27 augustus 2025 22:18

Dit is wel heel dom zeg. Dus als jij een garagebox verhuurt waar ik mijn spullen in stal ben jij niet verantwoordelijk voor veilige opslag? Kom nou.

watercoolertje @JoeB2C • 27 augustus 2025 16:06

Die partij voelt de pijn echt wel hoor, die hebben echt gigantische imago schade en hebben geld betaald om de afpersers af te kopen...

Dit werkt echt niet om het beter te krijgen, eerder minder goed want er is straks minder geld over.

En geld voor de slachtoffers levert heeft ook echt werkelijk geen nut, anders dan het nut van geld ansich. De gegevens zijn nog steeds uitgelekt dat draai je echt niet terug.

HansMij @watercoolertje • 27 augustus 2025 18:00

Je vergeet dat andere bedrijven dit soort artikelen ook lezen en zich misschien bewust worden van het feit dat meer data verzamelen een hoger financieel risico vertegenwoordigd. Dat vind ik geen slechte ontwikkeling.

Thekilldevilhil @watercoolertje • 27 augustus 2025 16:28

Een bedrijf mag ook best wel eens over de kop gaan na een fout, heb je weer bedrijven die in het gat kunnen springen. Wat ze doen is in de basis echt ongelooflijk simpel werk, de regeltjes er om heen zijn lastig (GLP/GCP normen bijvoorbeeld) maar dit is op technisch vlak niet echt een onvervangbaar bedrijf. Als ik de site bekijk doen feitelijk een beetje PCR, IHC en wat simpele eiwit assays. Ik zie werkelijk niets bijzonders. Die testen leer ik elk jaar aan 100+ studenten aan en die kunnen het betrouwbaar (met de hand, zonder dure pipetteerrobots) doen.

In Nederland lopen veel te veel zachte heelmeesters rond, en het oude gezegde blijft wat mij betreft van toepassing. Soms is het goed, niet alleen voor bedrijven, om eens goed onderuit te gaan. Leer je van.

[Reactie gewijzigd door Thekilldevilhil op 27 augustus 2025 16:37]

J_van_Ekris @Thekilldevilhil • 27 augustus 2025 16:47

In Nederland lopen veel te veel zachte heelmeesters rond, en het oude gezegde blijft wat mij betreft van toepassing. Soms is het goed, niet alleen voor bedrijven, om eens goed onderuit te gaan. Leer je van.

Cytologie (wat het bekijken van uitstrijkjes is), is anders een formele medische diagnosestelling (geen telling!) die door een medisch specialist gedaan wordt. Uit mijn hoofd mag de diagnose boven PAP3 zelfs alleen door een patholoog gesteld worden.

Thekilldevilhil @J_van_Ekris • 27 augustus 2025 17:28

Ik snap niet goed waar je dit uit mijn comment haalt. Ik benoem werkelijk alleen het technische aspect van de techniek voorafgaande aan de diagnose stelling. En benoem daarbij ook dat het overnemen van de activiteiten niet heel ingewikkeld is.
Bij het omvallen van de organisatie blijven de pathologie als specialist bestaan, die verdwijnen niet met het bedrijf. Die kunnen prima ergens anders de diagnostiek gaan doen. Een IHC of H&E doen is niet moeilijk, dus dat is geen belemmering en niet een reden om het hele bedrijf niet te laten ploffen.

En dat is exact het punt, dit bedrijf (terecht naar meaning mening) kapot procederen levert geen structureel kennis probleem op. Soms is het prima om een falend bedrijf te laten falen. We hebben het hier niet over een ASML achtig bedrijf waarbij de kennis naar alle waarschijnlijkheid uit Nederland verloren zal gaan als het vetrekt/omvalt.

[Reactie gewijzigd door Thekilldevilhil op 27 augustus 2025 17:32]

xSNAKEX @Thekilldevilhil • 27 augustus 2025 22:00

Echter is toch nog helemaal niet bekend dat het bedrijf überhaupt verwijtbaar heeft gehandeld.

Betreft het punt over zachte heelmeesters. Onderzoek wijst keer op keer en vrijwel zonder uitzondering uit dat zwaarder straffen helemaal niet werkt. Dus als dat zwaarder straffen ervoor zorgt dat een bedrijf over de kop gaat is er nog een hoop collateral damage, die mensen en bedrijven raakt die helemaal niets fout hebben gedaan. Dus voor wie het omvallen van een bedrijf beter zou zijn is me onduidelijk.

Pendora @watercoolertje • 27 augustus 2025 16:32

En wat is het probleem bij de die imago schade? Kan ik als (als ik vrouw was) kiezen waar mijn test naar toe wordt gestuurd?

Zo'n bedrijf heeft nauwelijks schade te pakken. Het is ook nog een klein bvtje in een groot concern. Morgen staat er een andere naam op de gevel en het is weer klaar.

JoeB2C @watercoolertje • 27 augustus 2025 16:37

Geld voor de slachtoffers is zeker niet onterecht. Die kunnen hier allerlei tijd of geld door kwijt zijn, bijvoorbeeld door fraude met hun gegevens.

dev-random @watercoolertje • 27 augustus 2025 18:44

Als de praktijk ons iets leert is het wel dat er bij dergelijke bedrijven post-hack wél aandacht en geld is voor cyber security. Zolang ze het hoofd boven water houden.

Dat geld moet natuurlijk ergens vandaan komen en nadat ze hun personeel minder zijn gaan betalen, de bonussen voor management terug zijn gebracht tot een minimum (minder waarschijnlijk) en secondaire voorwaarden uitgekleed, blijft er maar één optie over. En dat zijn hogere prijzen voor producten en diensten. Het doorberekenen van security maatregelen aan klanten is ook niet gek. Het is alleen onnodig duur geworden, o.a. vanwege het losgeld, maar vooral omdat alle IT nu naar een hoger beveiligingsniveau moet. Daarvoor hebben ze (veel) dure expertise nodig en worden grote omvangrijke reparatie programmas gestart.

Doe dat x1000 bij andere Nederlandse bedrijven en uiteindelijk betalen we hier als samenleving voor. Als klant of via belastinggelden.

richardbloem @dev-random • 27 augustus 2025 21:58

Wel geld voor dure systemen, cursussen and certificeringen maar geen hond komt op het idee dat het misschien niet handig is als de gevoelige gegevens van 500.000 personen via één interface benaderbaar zijn en dat de gehele database kennelijk binnen een paar uur te downloaden is. Dat is allemaal zogenaamd noodzakelijk voor de werkbaarheid (=gebruiksgemak) van het systeem.

nlmarvin @JoeB2C • 27 augustus 2025 16:07

Ik ben een leek op dit gebied hoor, maar denk ook dat zoals door meerdere hierboven wordt gezegd hacks nooit 100% te voorkomen zijn. Mocht een bedrijf aan kunnen tonen toch wel een goede beveiliging te hebben dan ben ik benieuwd wat er door de rechter wordt uitgesproken.

Ik denk dat "Bedrijven en organisaties moeten databeveiliging eens serieus gaan nemen en anders maar flink pijn voelen." misschien wat kort door de bocht is. Bij aantoonbare wanprestaties ben ik het wel volledig met je eens.

wiseger @nlmarvin • 27 augustus 2025 16:49

Het begint allemaal met beleid. Niet meer en langer gegevens bewaren dan strikt noodzakelijk zou het uitgangspunt moeten zijn.

De vraag is dan: 'Waarom staan de gegevens van 485.000 vouwen in een online systeem bij het Testlab inclusief hun BSN nummer?'

Als daar geen noodzaak voor is, dan hadden gegevens allang (deels) gewist kunnen worden, dan wel naar een offline archief gearchiveerd kunnen worden.

Dat soort vragen vind ik vrij relevant om te bepalen of een organisatie wat te verwijten valt. Het gaat niet alleen om beveiliging maar ook om de vraag hoe ga je als organisatie om met privacy gevoelige gegevens?

brammetje1994 @wiseger • 27 augustus 2025 22:48

Dit, 100%. Iedereen kan slachtoffer worden van een aanval of hack, maar de AVG kent ook principes als data minimalisatie en privacy by design vereisten. Hoe zijn de gegevens opgeslagen, hoe zijn ze verder onherleidbaar gemaakt en was er een reden om de gegevens nog niet te anonymiseren gezien het doel en de gevoeligheid, zeker gezien de bijzondere persoonsgegevens waar deze gegevens onder vielen?

kodak

Datalek
Privacy

@JoeB2C • 27 augustus 2025 16:14

De vraag is of de wetgever en samenleving het serieuzer moet nemen zodat de tienduizenden slachtoffers niet hoeven te claimen om nog enige gerechtigd proberen te krijgen.

Het doel van beschermen is immers niet dat slachtoffers achteraf misschien nog enige gerechtigheid kunnen krijgen maar dat dit soort lekken voorkomen. De praktijk is dat slachtoffers na een lek misschien nog enige genoegdoening krijgen. Zelfs als slachtoffers massaal gemaakt worden hoeft een bedrijf niet zomaar te compenseren. En via de rechter gaat het al snel om afwijzen van claims omdat de bewijslast bij de slachtoffers ligt ook al zijn meerdere rechten overduidelijk geschonden.

Beta

27 augustus 2025 15:56

Jammer dat ze het claim Bevolkingsonderzoek noemen. De fout ligt toch in de basis bij Clinical Diagnostics en niet bij het bevolkingsonderzoek? Klinkt als stemmingmakerij.

jdh009 @Beta • 27 augustus 2025 16:17

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

Bron: https://www.privacy-regul...sprakelijkheid-EU-AVG.htm

Hoezo? De fout ligt in eerste instantie bij de partij waarmee de slachtoffers in zee zijn gegaan. Voor de betrokkenen is de rest irrelevant al kunnen ze op grond van artikel 82 AVG zowel de verwerkingsverantwoordelijke als de verwerker aanspreken. Als het bevolkingsonderzoek de schade wil doorschuiven, staat het hen vrij om regres te halen bij Clinical Diagnostics. Lid 2 maakt dat expliciet:

Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

Mocht er bij het bevolkingsonderzoek niets (meer) te halen zijn, dan kunnen gedupeerden verder de keten in en het lab aanspreken. Lid 4 regelt namelijk:

Wanneer meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, en overeenkomstig de leden 2 en 3 verantwoordelijk zijn voor schade die door verwerking is veroorzaakt, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed.

Edit:
Al zie ik als leek tussen de regels door wel mogelijkheden om beide direct verantwoordelijk te stellen. Of dat dan als twee zaken of als één zaak loopt, kan ik er niet snel uithalen (en ook niet of ze dus samen voor bedrag x moeten opdraaien of bij beide los iets te halen valt en dus hoger is). Volgens lid 4 lijkt het erop dat één vordering tegen beide tegelijk mogelijk is, waarbij ze hoofdelijk aansprakelijk zijn.

[Reactie gewijzigd door jdh009 op 27 augustus 2025 16:36]

friend @jdh009 • 27 augustus 2025 16:58

De fout ligt in eerste instantie bij de partij waarmee de slachtoffers in zee zijn gegaan.

Lijkt mij dat de fout in eerste instantie ligt bij de eigenaar/beheerder van de persoonsgegevens die voor het onderzoek nodig zijn. En dat is de overheid. Die moet er voor zorgen dat de gegevens veilig zijn. En dat kan op 2 manieren: afdwingen dat de gegevens met zorg verwerkt worden OF een manier gebruiken dat deze gegevens al helemaal niet door derden gebruikt hoeven te worden.

Daar is de grote fout gemaakt. Een lab hoeft helemaal de persoonsgegevens niet op te slaan en kunnen volledig anoniem de testen uitvoeren en terugmelden aan de overheid. En als het niet nodig is dat deze gegevens ter beschikking van derden hoeven te komen, dan is het volgens de AVG ook niet toegestaan. Anoniem kan dmv. een unieke sleutel die door de overheid gegenereerd wordt bij het afdrukken van de papieren die met de test set verstuurd wordt. Bij het versturen van de sets zijn alleen de benodigde naam/adresgegevens nodig die onder beheer van de overheid worden gedrukt en alleen in de retourset naar het lab wordt de sleutel meegestuurd. Op die manier is geen digitale versie van die gegevens bij derden beschikbaar.

Dat is de denkfout die in vrijwel alle media gemaakt wordt, het gaat er niet om hoe er een hack heeft plaatsgevonden, het gaat om de vraag waarom die gegevens bij een lab opgeslagen zijn, terwijl dit helemaal niet nodig was (en dus niet toegestaan).

AyurVeda @friend • 27 augustus 2025 19:37

Dat klopt dus niet wat je zegt. Diagnostiek naar baarmoederhalskanker wordt door een medisch specialist, namelijk een patholoog, gedaan. Die heeft daar een laboratorium voor nodig, die (gedeeltelijk) onder zijn/haar verantwoordelijkheid valt. De patholoog bepaalt bv welke apparatuur goed genoeg is voor de vraag die aan hem/haar wordt gesteld, namelijk "heeft deze mevrouw (kans op) baarmoederhalskanker?". De test is dus een medische diagnostische handeling door een medisch specialist (die overigens in dit geval in dienst is van Clinical Diagnostics). En dat is ook waarom het nodig is dat alle patientengegevens (incl BSN) bij "het lab" liggen. Het gaat namelijk niet om het lab, maar om de medisch specialist. Een medisch specialist waar gewoon mee te overleggen is als de behandeld arts van de desbetreffende mevrouw vragen heeft, bijvoorbeeld over de diagnosestelling.

Waar we in Nederland echt vanaf moeten is de gedachte dat diagnostiek iets simpels is als een testje. Dat is funest voor de zorg.

J_van_Ekris @AyurVeda • 27 augustus 2025 20:45

Waar we in Nederland echt vanaf moeten is de gedachte dat diagnostiek iets simpels is als een testje. Dat is funest voor de zorg.

Helemaal mee eens. Men denkt dat het iets simpels is als tellingen of eenvoudige metingen zoals men vroeger op de middelbare school deed. Een patholoog heeft na zijn basisopleiding tot arts (6 jaar) nog een specialisatie van 5 jaar te doen, en dan volgt vaak nog een dieptespecialisatie in een specifieke soort pathologie in het lab zelf. Hier komt dan ook een enorme bak aan kennis en ervaring bij kijken om de ene soort afwijking van de andere te onderscheiden. En sommige specialisaties zijn zo diep dat er maar een of twee diepte-experts in Nederland zijn, vaak in een academisch ziekenhuis.

jdh009 @friend • 27 augustus 2025 18:26

Over ‘denkfouten’ gesproken: jij begint hier een blame game door mij een denkfout toe te schrijven die ik nooit gemaakt heb. Ondertussen stapel je er zelf meerdere op. Ik noem Bevolkingsonderzoek Nederland als partij waar de slachtoffers mee in zee zijn gegaan, jij schuift het hele probleem gemakzuchtig in de schoenen van ‘de overheid’. Daarmee doe je precies wat tw_gotcha al opmerkte... makkelijk proberen te scoren door het hele probleem eenzijdig bij één containerbegrip te leggen.

Feit blijft dat zowel de verantwoordelijke (Bevolkingsonderzoek Nederland) als verwerker (Clinical Diagnostics) zelfstandig verplichtingen hebben, dat volledige anonimiteit in dit proces onmogelijk is (hoogstens pseudonimisering, maar dat valt óók onder de AVG) en dat verwerking door een lab wél toegestaan is mits noodzakelijk, contractueel geregeld en goed beveiligd.

Lijkt mij dat de fout in eerste instantie ligt bij de eigenaar/beheerder van de persoonsgegevens die voor het onderzoek nodig zijn. En dat is de overheid.

Dat is veel te kort door de bocht, daarbij kent de AVG geen “eigenaar van persoonsgegevens”. “De overheid” als containerbegrip roept makkelijk wat op, maar het is juridisch totaal nietszeggend. De formele verwerkingsverantwoordelijke is en blijft zoals ik al aangaf het Bevolkingsonderzoek Nederland, en daarnaast rusten er zelfstandige verplichtingen op de verwerker. Artikel 82 dat ik eerder deelde maakt duidelijk dat ook Clinical Diagnostics daardoor aansprakelijk kan zijn voor schade bij schending van hun verplichtingen, en dat er richting de betrokkene zelfs hoofdelijke aansprakelijkheid kan gelden.

Die moet er voor zorgen dat de gegevens veilig zijn.

Juist, maar dit geldt óók voor de verwerker. Artikel 28 en 32 AVG verplichten verwerkers zelf tot passende technische en organisatorische maatregelen. Als patiënt heb je in eerste instantie te maken met de partij waarmee jij in zee gaat, en dat is in dit geval het bevolkingsonderzoek (in andere gevallen, zoals onderzoeken via de huisarts, is de huisarts de verantwoordelijke). Dat betekent niet dat het laboratorium vrijuit gaat zodra jouw gegevens daar belanden, maar wel dat beide partijen ieder hun eigen aansprakelijkheid dragen en uiteindelijk bij beide een claim neergelegd kan worden.

Een lab hoeft helemaal de persoonsgegevens niet op te slaan en kunnen volledig anoniem de testen uitvoeren en terugmelden aan de overheid.

Dit klopt niet. Volledige anonimiteit is in dit proces onmogelijk, omdat testresultaten altijd aan een individu moeten worden teruggekoppeld. Hoogstens kan pseudonimisering worden toegepast, maar dat zijn nog steeds persoonsgegevens onder de AVG (art. 4 lid 5, overweging 26).

Daarnaast schrijft de Wbsn-z verplicht voor dat het BSN wordt gebruikt bij zorgprocessen, juist om correcte identificatie en koppeling van uitslagen te garanderen. Aanvullend gelden de waarborgen uit de Wabvpz, die vastlegt dat gegevensverwerking in de zorg alleen rechtmatig is als identificatie en uitwisseling volgens deze wettelijke kaders plaatsvinden. Daarmee wordt voorkomen dat persoonsverwisseling optreedt, met potentieel ernstige medische gevolgen.

En als het niet nodig is dat deze gegevens ter beschikking van derden hoeven te komen, dan is het volgens de AVG ook niet toegestaan.

Onvolledig. De AVG staat verwerking door derden toe, mits noodzakelijk en gebaseerd op een rechtsgrond (art. 6 AVG) én vastgelegd in een verwerkersovereenkomst met duidelijke instructies van de verantwoordelijke. Dataminimalisatie, zie art. 5 lid 1c AVG, betekent dat alleen noodzakelijke gegevens mogen worden verwerkt, niet dat verwerking door derden verboden is.

Op die manier is geen digitale versie van die gegevens bij derden beschikbaar.

Ook dat is een misvatting. Met een sleutel verwerk je nog steeds persoonsgegevens, want die sleutel blijft herleidbaar tot een individu. Zolang de koppeling kan worden gemaakt, is er sprake van pseudonimiteit en dus valt dit volledig onder de AVG.

Dat is de denkfout die in vrijwel alle media gemaakt wordt, het gaat er niet om hoe er een hack heeft plaatsgevonden, het gaat om de vraag waarom die gegevens bij een lab opgeslagen zijn, terwijl dit helemaal niet nodig was (en dus niet toegestaan).

Onjuist.... Het opslaan en verwerken van persoonsgegevens door een lab is toegestaan mits noodzakelijk, met een passende rechtsgrond en vastgelegd in een verwerkersovereenkomst, waarbij art. 32 AVG passende beveiliging vereist. De kern van dit incident is niet dát een lab gegevens verwerkt, maar dat de beveiligingsmaatregelen tekortschoten.

[Reactie gewijzigd door jdh009 op 27 augustus 2025 18:33]

tw_gotcha

@friend • 27 augustus 2025 17:13

Een beetje makkelijk, "de overheid" bestaat natuurlijk niet, dat is en verzamelnaam voor allerlei instanties. Dus wie dan in de overheid?

Waarom zou een lab gegevens niet opslaan, op zijn minst tijdelijk? als er een toring is ben je alles kwijt, dus helemaal niet opslaan lijkt me geen scenario.

Natuurlijk kan die data wel door derden gezien worden en dat is ook nodig, bijv door univeristeiten voor onderzoek, en dat levert hopelijk dan weer meer inzicht op. Er wordt heel vaak gezegd dat medische analyses veel te veel op mannen gebasseerd zijn, dus er is zelfs een noodzaak. Als dat duidleijk vermeld is, er is goedkeuring van de persoon verkreggen, en de gegevens zijn geannonimiseerd kan dat wel. En dan moet een deel van de gegevens opgeslagen worden, op zijn minst tijdelijk.

friend @tw_gotcha • 27 augustus 2025 17:26

Ik heb het over de eigenaar/beheerder van die persoonsgegevens en dat is een onderdeel van de overheid die al de nodige zorg moet betrachten met die gegevens die ze dus al beheren. En zeker niet een lab.

Wat moet een lab met die persoonsgegevens? Niets, dus moeten ze die ook helemaal niet krijgen, ook niet tijdelijk! En wat betreft de storing is onzin, alleen de sleutel wordt opgeslagen inclusief de uitslagen, de persoonsgegevens (met sleutel) zijn veilig opgeslagen buiten het bereik van het lab.

Onderzoek kan nog steeds, de overheid heeft die gegevens, inclusief de uitslagen, en kan geanonimiseerd (volgens de AVG richtlijnen) deze gegevens beschikbaar stellen aan onderzoeksinstellingen, zodat ook hier geen gevoelige gegevens op straat komen liggen.

Zo moeilijk is het niet, maar met deze instelling om maar overal persoonsgegevens te gaan lopen uitdelen, blijven deze gegevens naar buiten lekken.

[Reactie gewijzigd door friend op 27 augustus 2025 17:33]

J_van_Ekris @friend • 27 augustus 2025 20:40

Dat is de denkfout die in vrijwel alle media gemaakt wordt, het gaat er niet om hoe er een hack heeft plaatsgevonden, het gaat om de vraag waarom die gegevens bij een lab opgeslagen zijn, terwijl dit helemaal niet nodig was (en dus niet toegestaan).

Het is simpel: de wet op het BSN in de Zorg verplicht dit om patientverwisseling en zorgfraude te voorkomen. Zo'n lab is gewoon een medisch specialist, en als die met andere medisch specialisten communiceert is hij/zij wettelijk verplicht dit altijd op basis van BSN te doen.

Kijk je naar het BVO dan heeft het CBP in 2013 de voorgestelde opzet van het bevolkingsonderzoek met BSN gezien, beoordeeld en expliciet goedgekeurd.

Beta

@jdh009 • 27 augustus 2025 16:28

Duidelijk, dank voor je toelichting.

Linux gebruiker @jdh009 • 27 augustus 2025 17:35

[...]

Bron: https://www.privacy-regul...sprakelijkheid-EU-AVG.htm

Hoezo? De fout ligt in eerste instantie bij de partij waarmee de slachtoffers in zee zijn gegaan. Voor de betrokkenen is de rest irrelevant al kunnen ze op grond van artikel 82 AVG zowel de verwerkingsverantwoordelijke als de verwerker aanspreken. Als het bevolkingsonderzoek de schade wil doorschuiven, staat het hen vrij om regres te halen bij Clinical Diagnostics. Lid 2 maakt dat expliciet:

[...]

Mocht er bij het bevolkingsonderzoek niets (meer) te halen zijn, dan kunnen gedupeerden verder de keten in en het lab aanspreken. Lid 4 regelt namelijk:

[...]

Edit:
Al zie ik als leek tussen de regels door wel mogelijkheden om beide direct verantwoordelijk te stellen. Of dat dan als twee zaken of als één zaak loopt, kan ik er niet snel uithalen (en ook niet of ze dus samen voor bedrag x moeten opdraaien of bij beide los iets te halen valt en dus hoger is). Volgens lid 4 lijkt het erop dat één vordering tegen beide tegelijk mogelijk is, waarbij ze hoofdelijk aansprakelijk zijn.

Slachtoffers gaan met niemand in zee, de huisarts of een andere arts stuurt materiaal in naar het laboratorium waar zij zaken mee doen.

De patiënt heeft hierin geen invloed.

SWINX @Beta • 27 augustus 2025 16:04

Als potentieel slachtoffer heb je deelgenomen aan het bevolkingsonderzoek en zegt Clinical Diagnostics jou waarschijnlijk niks. Wel logisch dat ze dan ook onder die naam werken toch?

phoenix2149 @Beta • 27 augustus 2025 16:51

De beklagers hebben niets te maken gehad met Clinical Diagnostics. De gegevens en materiaal zijn gestuurd naar de organisatie van het Bevolkingsonderzoek. Zij zijn vervolgens verantwoordelijk voor jouw gegevens en moeten er dan ook voor zorgen dat de bedrijven waarmee ze samenwerken gecertificeerd/capabel zijn om zorgvuldig met jouw gegevens om te gaan.

Daarbij had de organisatie van Bevolkingsonderzoek er ook voor kunnen zorgen dat de data AVG (of GDPR) compliant overgedragen wordt zodat Clinical Diagnostics in feite gaan cruciale persoonlijke informatie in hun database heeft staan zoals BSN of wat ook. Bijvoorbeeld deer randomized codering die weer door Bevolkingsonderzoek vertaalld wordt naar jouw gegevens wanneer de resultaten er zijn.

Als het Bevolkingsonderzoek vervolgens de claim weer wil claimen bij Clinical Diagnostics staat hun vrij om te doen.

pancras2 27 augustus 2025 16:35

Als een kliniek een sample opstuurt naar Clinical Diagnostics om dit te onderzoeken op bepaalde markers is het niet nodig om NAW en BSN mee te sturen. Beide zijn in gebreke.

Ik ben geen vrouw maar ook slachtoffer. Ik heb een brief van een kliniek gekregen dat mijn gegevens ook bij dit datalek zijn betrokken

J_van_Ekris @pancras2 • 27 augustus 2025 16:44

Als een kliniek een sample opstuurt naar Clinical Diagnostics om dit te onderzoeken op bepaalde markers is het niet nodig om NAW en BSN mee te sturen. Beide zijn in gebreke.

De wet op het BSN stelt anders: bij een diagnosestelling door een medisch specialist (wat een pathologisch lab is), is het BSN wettelijk verplicht als gevolg van de wet op het BSN in de Zorg. Erger nog, als je het BSN niet gebruikt ben je als medicus verwijtbaar nalatig als er patientverwisseling plaatsvindt.

SampleUser @J_van_Ekris • 27 augustus 2025 18:17

ja maar daar valt toch wel wat op te verzinnen? hash van BSN + aanvraagdatum + “salt” die alleen op de omgeving van aanvragende arts staat ofzo? dat een toeleverancier à la Clinical Diagnostics een BSN+NAW niet krijgt betekent niet dat de BSN helemaal uit het spel hoeft te zijn

ik krijg echt kriebels hoeveel onderaannemers zo veel gegevens hebben terwijl het echt niet twee kanten op hoeft

E!Ma0RB7 @SampleUser • 27 augustus 2025 18:31

Het idee achter de combinatie BSN en NAW is dat het door een mens te controleren valt. Als er in een hashfout BSN en NAW gemixt zijn dan kan een mens dit niet meer zien.

Let wel: de impact van persoonsverwisseling in de zorg is potentieel levensbedreigend; een datalek niet.

Met de juiste beveiligingsmaatregelen is de huidige gegevensuitwisseling aan de hand van BSN en NAW een uiterst verstandige manier van werken en gezien het nut prima in balans met iemands recht op privacy.

J_van_Ekris @SampleUser • 27 augustus 2025 18:28

ja maar daar valt toch wel wat op te verzinnen? hash van BSN + aanvraagdatum + “salt” die alleen op de omgeving van aanvragende arts staat ofzo? dat een toeleverancier à la Clinical Diagnostics een BSN+NAW niet krijgt betekent niet dat de BSN helemaal uit het spel hoeft te zijn

Er zijn zorgsystemen, zelfs in dat lab, die met zo'n versleuteling van het BSN werken. Maar de wet is simpel: communicatie tussen zorgverleners moet op basis van BSN gebeuren.

En de introductie van een versleuteld BSN is niet eenvoudig. Om centrale nodes te ontlasten werkt het (je index, welke zorgaanbieder heeft wat van welke patient), Maar op een eindpunt als een lab werkt dat niet. Men moet immers ook continuiteit van zorg voor de komende 20 jaar naar de patient garanderen (Wet op de Geneeskundige Behandelovereenkomst), en dan zie je dat je het plain-text BSN toch gewoon nodig hebt. Al is het maar omdat die versleuteling na 20 jaar achterhaald blijkt. En een sleutel mondeling verifieren die uit 128 karakters bestaat is niet te doen (zorgverleners bellen elkaar ook nog over uitslagen...).

ik krijg echt kriebels hoeveel onderaannemers zo veel gegevens hebben terwijl het echt niet twee kanten op hoeft

Dit is gewoon een medisch specialist die zijn werk doet. Een ziekenhuis is in praktijk een bedrijfsverzamelpand voor medisch specialisten, allen met hun eigen juridische maatschappen. Onderaanneming zie jij als patient niet, maar is gewoon defacto de werkwijze in de zorg. Dit lab zit alleen om praktsiche redenen in Rijswijk (want het bediend de ziekenhuizen en huisartsen in Leiden, Den Haag en Rotterdam...).

DaRealRenzel @J_van_Ekris • 28 augustus 2025 00:50

De vraag is of het lab daadwerkelijk een diagnose stelt, of alleen maar een monster analyseert en de resultaten van die analyse met de aanvrager deelt.

J_van_Ekris @DaRealRenzel • 28 augustus 2025 01:01

De vraag is of het lab daadwerkelijk een diagnose stelt, of alleen maar een monster analyseert en de resultaten van die analyse met de aanvrager deelt.

Een patholoog is een medisch specialist die daadwerkelijk de medische diagnose stelt: hij/zij bepaald óf het celbeeld een maligniteit is, en welke dat dan is. Dit zijn dus geen simpele tellingen, maar vaak diepgaande analyses. Ook DNA bepalingen van de tumor die door medisch biologen worden gedaan worden door de patholoog geinterpreteerd en in een diagnose omgezet. Zo'n 90% van de oncologische diagnoses worden dan ook door de patholoog gesteld. Ook is de patholoog diegene die sectie verricht om de doodsoorzaak vast te stellen. Om patholoog te worden moet je dan ook eerst de opleiding tot basisarts doorlopen (6 jaar universiteit) en daarna een 5 jarige specialisatie doen.

pancras2 @J_van_Ekris • 27 augustus 2025 17:12

Helder. BSN is dan toch voldoende? NAW is niet nodig?

J_van_Ekris @pancras2 • 27 augustus 2025 17:31

Helder. BSN is dan toch voldoende? NAW is niet nodig?

Toch wel. Personalia worden meegestuurd om als extra verificatie op het BSN, en als de persoon in kwestie door de huisarts wordt doorverwezen moet de behandelend specialist van het ziekenhuis alsnog naar het lab kunnen bellen voor aanvullende informatie. En dan is wederzijdse identificatie van de patient op basis van de NAW gegevens telefonisch vaak weer vele malen effectiever.

pdidi @J_van_Ekris • 27 augustus 2025 18:22

Ik zie die eis om Personalia mee te sturen als extra verificatie op het BSN niet terug komen in de de Wet gebruik burgerservicenummer in de zorg. Daar staat alleen:

Artikel 9: De zorgaanbieder vermeldt bij het verstrekken van persoonsgegevens met betrekking tot de verlening van, indicatiestelling voor of verzekering van zorg aan een zorgaanbieder, een indicatieorgaan of een zorgverzekeraar steeds het burgerservicenummer van de cliënt.

[Reactie gewijzigd door pdidi op 27 augustus 2025 18:34]

E!Ma0RB7 @pdidi • 27 augustus 2025 19:53

Deze wet stelt BSN als identificatie verplicht en sluit niet uit (of verbiedt) dat verdere personalia gebruikt moeten of mogen worden. In de zorg worden meerdere checks uitgevoerd om persoonsverwisseling te voorkomen. Voorbeeld: de geboortedatumcheck.

Gebruik van enkel BSN is best risicovol (want BSN is betekenisloos en daarmee voor een mens niet controleerbaar). BSN + NAW is daarmee een effectieve wijze om het risico te minimaliseren.

pdidi @E!Ma0RB7 • 27 augustus 2025 23:40

Om die checks uit te kunnen voeren hoeven NAW of geboortegegevens niet te worden opgeslagen. Die kunnen indien nodig iedere keer worden opgehaald uit de Basisregistratie Personen (BRP) om daarna weer te worden verwijderd. Dit zou makkelijk in Artikel 8 kunnen toegevoegd, dat alleen de BSN mag worden opgeslagen

Westpjotr 27 augustus 2025 15:53

Vraag: Zijn dergelijke hacks te voorkomen of werken alle maatregelen alleen drempelverhogend?

rjd22 @Westpjotr • 27 augustus 2025 15:56

Nee, hacks zijn niet altijd te voorkomen. Maar of er informatie buit gemaakt wordt zeker wel. We moeten leren niet alle informatie te bewaren en regelmatig opruimacties te houden als gegevens niet meer nodig zijn.

Ook is het voorkomen dat onnodige informatie opgeslagen wordt een hele goede manier om dit soort ernstige datalekken tegen te gaan.

evers97 @rjd22 • 27 augustus 2025 16:27

In dit geval kun je niet zomaar iets verwijderen als iets niet meer gebruikt wordt. Medische gegevens moeten minimaal 20 jaar bewaard worden vanaf de laatste wijziging.

phoenix2149 @rjd22 • 27 augustus 2025 17:05

Persoonlijk denk ik dat er bij het verwerken van persoonlijke data alles versleuteld moet zijn met MFA. Zodat als er al binnen gedrongen kan worden tot het systeem en de data simpelweg gekopieerd wordt er niets mee gedaan kan worden zonder ontgrendeling.

Criminelen gaan achter de meest makkelijke manier om informatie te krijgen en geld te verdienen. Als ze vervolgens uren al dan niet dagen hebben gewerkt om toegang te krijgen om vervolgens data te hebben waar ze niets aan hebben, dan stopt daar je verdienmodel.

Beetje als inbrekers. Als jouw huis beter beveiligd is dan je buurman gaan ze naar je buurman.

wildhagen

Privacy
Datalek

@Westpjotr • 27 augustus 2025 15:56

Niets is 100 procent te voorkomen, dat is echt een utopie in de praktijk.

Je kan het risico echter wél flink inperken tot een absoluut minimum door een goed beveiligingsbeleid te hanteren, en deze ook periodiek te laten auditen.

En dat gaat verder dan puur technische dingen als firewall, patches van bugs etc. Ook zaken als social engineering zijn hierin belangrijk (denk aan phishing en andere technieken).

yevgeny @wildhagen • 27 augustus 2025 16:24

Deze hack was eenvoudig te voorkomen door historische data offline te bewaren.

Seal64 @yevgeny • 27 augustus 2025 16:32

Daarmee voorkom je niet de hack, maar verminder je de impact.

wildhagen

Privacy
Datalek

@yevgeny • 27 augustus 2025 16:34

Zelfs dan is het niet 100 procent veilig. Er kan immers nog altijd een medewerker fysiek bij die offline tapes (of welk opslagmedium dan ook gebruik wordt).

Als dat iemand met kwade bedoelingen is, kan hij die tape/opslagmedia aan een ongeautoriseerde persoon/organisatie toespelen.

Kleine kans? Ja, uiteraard. Maar niet onmogelijk. Het is gewoon onmogelijk om 100 procent alles uit te sluiten. Je kan alleen de kans extreem klein maken.

J_van_Ekris @yevgeny • 27 augustus 2025 17:42

Deze hack was eenvoudig te voorkomen door historische data offline te bewaren.

Dit past niet in de wetgeving die het BSN in de zorg regelt. Je moet het electronische dossier van een patient zonder onnodige vertraging kunnen opleveren als een andere zorgverlener er in opdracht van de patient om vraagt. Dus even een backup tape uit de kluis halen past daar niet in. Als je kijkt naar de AORTA infrastructuur, die door het ministerie is opgebouwd om EPD's te ontsluiten, en de bijbehorende eisen voor een Goed Beheerd Zorgsysteen, dan is dat ook een bikkelharde eis.

Robbierut4 @Westpjotr • 27 augustus 2025 15:57

De enige manier om het te voorkomen is de data niet te hebben. Alles kan gehackt worden. Het ene is wat makkelijker of moeilijker, niks is onmogelijk.

watercoolertje @Zebby • 27 augustus 2025 16:08

Is dat mogelijk? Jazeker.

Echt niet, geen idee hoe je de illusie kan hebben dat het wel mogelijk is. Leg eens uit hoe dan?

Killemov @watercoolertje • 27 augustus 2025 16:19

In dit geval zou het zeker mogelijk geweest zijn als het normale systeem voor labonderzoeken zou zijn gevolgd. De overheid heeft dan de echte persoonsgegevens en een referentienummer en het lab heeft alleen het referentienummer, de te onderzoeken slijmafnames en de uitslagen. Dat vergt een extra stap, maar zorgt ervoor dat er buiten de overheid geen directe koppeling kan worden gelegd tussen persoonsgegevens en de uitslagen.

J_van_Ekris @Killemov • 27 augustus 2025 16:51

In dit geval zou het zeker mogelijk geweest zijn als het normale systeem voor labonderzoeken zou zijn gevolgd. De overheid heeft dan de echte persoonsgegevens en een referentienummer en het lab heeft alleen het referentienummer, de te onderzoeken slijmafnames en de uitslagen. Dat vergt een extra stap, maar zorgt ervoor dat er buiten de overheid geen directe koppeling kan worden gelegd tussen persoonsgegevens en de uitslagen.

De wet die het BSN in de Zorg regelt stelt anders enorm helder dat elke medisch specialist (dus ook een patholoog) verplicht het BSN moet gebruiken in de elctronische communicatie naar andere zorgverleners. Is geen woord spaans aan.

De CBP (de rechtsvoorganger van de AP) heeft in 2013 op verzoek van het ministerie dan ook al expliciet inhoudelijk gekeken naar het gebruik van het BSN bij de bevolkingsonderzoeken, en heeft expliciet aangegeven dat dit in orde was.

Keyb @J_van_Ekris • 27 augustus 2025 20:09

Dan is die wet misschien wel precies wat het probleem is? Sommige wetten zijn namelijk niet opgewassen tegen moderne ontwikkelingen en dienen we die aan te passen.

Ik denk niet dat we kunnen stellen dat het allemaal prima verloopt momenteel?

J_van_Ekris @Keyb • 27 augustus 2025 20:30

Dan is die wet misschien wel precies wat het probleem is? Sommige wetten zijn namelijk niet opgewassen tegen moderne ontwikkelingen en dienen we die aan te passen.

Dan kom je in de oude situatie van 20 jaar geleden terug, waar er regelmatig patienten verwisseld werden omdat het ziekenhuisnummer toevallig ook bij een ander ziekenhuis ook voorkwam, en men het vinkje verkeerd zette (ja, zo ellendig kan het echt zijn). Patientverwisseling was voor labs die voor meerdere opdrachtgevers (ziekenhuizen, huisartsen) werkten echt een issue. Maar ook binnen een dedicated intern ziekenhuis-lab met zijn vele stickers op materialen en afgeleiden is niet makkelijk. Dit wordt veel eenvoudiger als nummers eenduidig en uniek zijn en blijven.

Dat fundamentele probleem van patientverwisseling in een lab is dan ook wel aardig de wereld uit geholpen door het BSN. En bedenk: 10-15 jaar geleden was het vrij uniek dat laboratoria zelfstandig waren. Nu is alles aan het fuseren om kosten te kunnen drukken, doorlooptijd te verkorten en dieptespecialisatie te kunnen realiseren. Dus bij terugdraaien van dit soort aanpak krijg je de oude ellende weer terug, alleen in grotere vorm.

Ik denk niet dat we kunnen stellen dat het allemaal prima verloopt momenteel?

Ik weet het niet. Laten we wel zijn, dit is niet de bedoeling, en in de ideale wereld moet je er op kunnen vertrouwen dat men goed met je data omgaat.

Maar ik denk dat er teveel mensen met hooivorken klaar staan om maar blind aan te nemen dat de beveiliging ruk was en dat ze nog net niet de rode loper hebben uitgerold. Het feit dat er een hack was betekent nog niet automatisch dat de beveiliging niet op orde was! Laten we eerst maar eens horen hoe geavanceerd de hack was.

De hackers hebben een miljoen gevangen, alleen voor deze hack, waardoor dit ook de ruimte geeft voor een "voorinvestering" door de hackers in wat mooie zero-days. Zeker als deze meerdere van dit soort hacks mogelijk maakt bij meerdere "klanten". Ik weet niet hoeveel kans je hebt als defense tegen een partij die een serieus budget heeft om wat onontdekte lekken in jouw infra te exploiten. In mijn beleving ben je dan aardig kansloos, simpelweg door de economics achter zo'n hackergroep.

Dus voordat we mensen als voorbeeld aan kruizen gaan nagelen en bij voorbaat gaan aannemen dat ze het allemaal verprutst hebben, laten we eerst eens naar de feiten kijken. Wat is er gebeurd, had men een kans om zich te verdedigen, etc.?

Keyb @watercoolertje • 27 augustus 2025 16:19

We zouden misschien kunnen beginnen met het niet zo eenvoudig herleidbaar maken van de gegevens? Anonimiseren in de meeste datasets?

Daarnaast zijn er allerlei (ouderwetse?) regels die stellen dat medische data minimaal 10 jaar opgeslagen moet worden. Misschien is dat ook niet zo handig in veel gevallen.

Ik merk nog steeds overal om mij heen dat bedrijven (en overheden) een ontzettend informatie honger hebben die in veel gevallen onzinnig is. Het uitgangspunt zou imo moeten zijn niet opslaan tenzij. Om maar eens mee te beginnen. Maar dat is roepen in de woestijn aangezien het onderdeel is van het verdienmodel.

J_van_Ekris @Keyb • 27 augustus 2025 17:37

Daarnaast zijn er allerlei (ouderwetse?) regels die stellen dat medische data minimaal 10 jaar opgeslagen moet worden. Misschien is dat ook niet zo handig in veel gevallen.

De WGBO verplicht minimaal 20 jaar, en daarna zolang het medisch relevant is. Omdat kanker vaak decennia lang medisch relevant is, is die 20 jaar eigenlijk te kort en zijn de specialisten van mening dat dit voor oncologie en pathologie minimaal 30 jaar moet worden. Besef dat het niet alleen data is wat opgeslagen wordt, ook al het onderzochte weefsel (!) ligt zolang opgeslagen. En ja, het gebeurt dat echt dat dit soort decennia oud weefsel weer opgediept wordt en bijvoorbeeld met nieuwe techniek onderzocht wordt om een huidig ziektebeeld te verklaren (DNA sampling van de tumor). In voorkomende gevallen is het soms echt de vraag of een celafwijking het gevolg is van een uitzaaiing, of dat het een nieuwe primaire tumor betreft. Dat eerste geval kan wel eens heel erg foute boel zijn voor de patient.

Zebby @watercoolertje • 27 augustus 2025 17:44

Er zijn talloze kant en klare oplossingen op de markt die je data versleuteld middels HSM's wegzetten. Dan is het aan jou om je toegangscontrole goed te regelen. Er zijn zelfs al quantum-ready encryptie protocollen als je los wilt gaan. Waar een wil is is een weg. Alleen die weg kost meer geld, en wordt dus niet toegepast.

Orangelights23 @Zebby • 27 augustus 2025 16:22

Zeker niet mogelijk. Ik ken geen enkel bedrijf wat een 100% veilig omgeving heeft, al is het om de simpele reden dat er mensen werken en die de zwakste schakel zijn.

Ik begeleid organisaties in Europa in hun cybersecurity en geloof mij gerust als ik zeg dat zelfs grote financiële instellingen hun zaken niet 100% op orde hebben. Idem omtrent overheidsinstanties, maar met name in Nederland is dat bekend (oa de Belastingdienst met software uit het jaar 1994)

Master FX

27 augustus 2025 15:51

Toch mooi om te lezen hoe dit soort initiatieven zo in het leven geroepen worden. Dat die advocatenkantoren zich zo verbonden voelen met het lot van deze vrouwen. Zo bewonderenswaardig.

jaspermeul @Master FX • 27 augustus 2025 16:00

Precies. Rechtszaken als deze eindigen vaak in een schikking, want veel te duur om te laten doorgaan.

Mocht er voor 10 miljoen geschikt worden dan is dat toch snel 140 euro per persoon. En dat voor aftrek van de kosten en bij niet meer dan het huidige aantal aanmeldigen.

Dit soort zaken levert niemand iets op behalve de 'belangloze' advocaten.

The Zep Man

Privacy
Datalek
Security

@jaspermeul • 27 augustus 2025 16:15

Dit soort zaken levert niemand iets op behalve de 'belangloze' advocaten.

Niet helemaal waar. Het kost geld bij degene waar data gelekt is. Als data lekken geen geld kost dan is er helemaal geen afschrikwekkend effect of reden om zaken te verbeteren.

OCU-Macs @The Zep Man • 27 augustus 2025 17:01

Exact, dat lab gaat dan hogere kosten krijgen, en om dit verlies te compenseren gaan ze bij de overheid hogere tarieven vragen.

De overheid vult dit begrotingstekort weer aan door belastingen te verhogen en zo betalen jij en ik (en de getroffene) uiteindelijk voor de vergoeding tengevolge van de gewonnen zaak, alsook het 'success fee' wat de voor dit doel opgerichte stichting (want die is de "financier" van de rechtszaak) gaat opstrijken als percentage van deze claim.

Vanmorgen hoorde ik op BNR een interview met de betreffende advocaat en deze wist te melden "dat men nog niet wist" hoe hoog dit percentage zou zijn.

Met andere woorden: Je kunt je aanmelden voor deze rechtszaak welke op no cure no pay is. Dus voor de getroffene geen enkel risico. Tijdens je aanmelding ga je alleen nog niet weten hoeveel je af gaat staan aan de financier (de Stichting opgezet om deze zaak te financieren).

Maar dat boeit je niet, want het is toch 'no cure - no pay'.

De "belangeloze" advocaten in deze zijn de grote winnaar van de claim, want ze kunnen het success fee achteraf vaststellen. Ongetwijfeld zal de Stichting ENORME kosten maken om deze zaak te voeren. Als bewijs zullen er torenhoge rekeningen van het advocatenkantoor binnenkomen die vele uren hebben moeten maken de zaak te bestuderen. Daarnaast nog een fikse rentevergoeding voor het losgemaakte kapitaal bij de financier alsook de nodige handling fee's en dergelijke. Boekhoudkundig komt dit helemaal snor.

De Porsche dealer wrijft zijn handen al... (bij wijze van spreken, want het kan ook de Maserati dealer zijn

)

The Zep Man

Privacy
Datalek
Security

@OCU-Macs • 27 augustus 2025 17:19

Exact, dat lab gaat dan hogere kosten krijgen, en om dit verlies te compenseren gaan ze bij de overheid hogere tarieven vragen.

Waardoor ze hun concurrentiepositie verzwakken in aanbestedingstrajecten.

Triblade_8472 @jaspermeul • 27 augustus 2025 16:17

Het kan ook opleveren dat bestuurders flink harder gaan nadenken over hun digitale beveiliging omdat ze anders juridisch aansprakelijk gesteld kunnen worden.

Niet alle voordelen zijn monetair.

Mathijs Kok @jaspermeul • 27 augustus 2025 17:06

Precies. Rechtszaken als deze eindigen vaak in een schikking, want veel te duur om te laten doorgaan.

Mmmm, helaas niet. De Nederlandse wet wil dat je schade kan aantonen en dat is extreem moeilijk voor de getroffen vrouwen. Dat je data uitlekt is op zich geen reden voor schadevergoeding, je moet echt aantonen dat je door die hack schade hebt. In andere landen ligt dat iets anders.

Mr.Monk @Master FX • 27 augustus 2025 16:02

ze zullen er zelf absoluut niet beter van gaan worden hoor. Eeeeecht niet

Ergens schandelijk dat dit soort bedrijven over de ruggen die vrouwen er beter van gaan worden. Want het lost niets op. Je data ligt nog steeds op straat

Master FX

@Mr.Monk • 27 augustus 2025 16:09

Dat was ook wel een beetje de insteek van mijn reactie. Ik snap dat deze als ongewenst / irrelevant wordt gemodereerd. Maar dit gevoel komt gewoon als eerste bij mij op. Zo'n nobel advocatenkantoor dat in de bres springt voor de vrouwen die dit onrecht is aangedaan. Dit staat natuurlijk los van het feit dat het echt hel erg is wat ze is overkomen. Maar het lost helemaal niks op.

BezurK @Master FX • 27 augustus 2025 15:55

Ja ik begrijp alle slachtoffers ook wel. Want als je geld krijgt kun je daarmee je gegevens weer veiligstellen.

Zoidberg_AvG @BezurK • 27 augustus 2025 16:09

Je kunt wel super cynisch gaan doen over dat geld de geleden schade niet kan repareren, maar het ontmoedigd bedrijven wel om lichtzinnig met cybersecurity om te gaan en zet iets positiefs tegenover het negatieve wat de slachtoffers overkomt.

jaspermeul @Zoidberg_AvG • 27 augustus 2025 16:14

Maar dat zou een taak van de overheid moeten zijn via het AP. Laat die maar zwaardere boetes opleggen.

Massaclaims zijn niks meer dan een verdienmodel voor de advocaten, vaak via verzekeringen afgedekt dus uiteindelijk gewoon door diezelfde consument betaald.

m4gn3t @BezurK • 27 augustus 2025 15:58

Uiteraard, zo gaan die dingen

MSteverink @Master FX • 29 augustus 2025 15:05

Het advocatenkantoor steekt daar tijd en middelen in, en neemt het risico om er niets aan te verdienen. Het is inderdaad bewonderenswaardig.

StephanVierkant

27 augustus 2025 16:05

Jammer dat we de Amerikaanse claimcultuur hier ook lijken te krijgen. Ik zie niet helemaal in hoe dat in dit geval ook maar iemand helpt, behalve dan die advocaten.

De vrouwen in kwestie hebben (in juridische zin) geen schade en voor zover zij schade hebben, heeft een klein geldbedrag echt geen enkele zin. We kennen in Nederland (gelukkig) niet snel smartengeld toe, omdat geld een privacyschending immers niet ongedaan maakt. Waar ze bijv. wel mee geholpen zijn is dat zij hun BSN-nunmer kunnen wijzigen bij een datalek met zoveel impact. Laten we zorgen dat we juristen daarvoor een oplossing laten bedenken.

Ik snap de gedachte dat een financieel risico toevoegen (bijvoorbeeld een schadeclaim zoals deze) bij een datalek kan helpen om de bestuurders aan te sporen meer prioriteit te geven aan beveiliging. Maar dat de (volstrekt voorspelbare) gigantische reputatieschade in dit geval niet genoeg heeft geholpen, is het ultieme bewijs dat een financiële prikkel niet het wondermiddel is dat dit soort datalekken voorkomt. Dit simplificeren tot 'laat ze maar betalen en dan komt het wel goed' brengt een oplossing alleen maar verder weg.

[Reactie gewijzigd door StephanVierkant op 27 augustus 2025 16:10]

Vizzie @StephanVierkant • 27 augustus 2025 16:13

Enerzijds volg ik je redenering, maar anderzijds vind ik dat een bedrijf als er niets gedaan wordt wel heel makkelijk wegkomt met "oh sorry" en de reputatieschade.

E.e.a. hangt er wat mij betreft van af of ze hun beveiliging en het minimaliseren van de data die ze in huis hebben serieus namen en goed op orde hadden en er desondanks toch derden toegang kregen tot de data (dan valt ze denk ik weinig te verwijten) of dat ze hier onzorgvuldig mee zijn geweest omdat ze er (bijvoorbeeld) niet te veel geld aan kwijt wilden zijn.

In dat laatste geval zou ik het wel gepast vinden als er acties volgen, hoewel ik dat liever zou zien in de vorm van persoonlijke (wellicht strafrechtelijke) aansprakelijkheid van de bestuurders die hiertoe hebben besloten dan in de vorm van een massaclaim waar alleen de betrokken advocaten rijk van worden.

StephanVierkant

@Vizzie • 27 augustus 2025 16:41

Je doet alsof die reputatieschade iets immaterieels is. De realiteit is echter dat het voortbestaan van klantrelaties nu op het spel staan.

Mathijs Kok @StephanVierkant • 27 augustus 2025 17:13

Je doet alsof die reputatieschade iets immaterieels is. De realiteit is echter dat het voortbestaan van klantrelaties nu op het spel staan.

Inderdaad, als ze niets te verwijten valt (er zijn recent enkele kwetsbaarheden aan het licht gekomen die gebruikt werden voor er patches waren), zijn ze gewoon medeslachtoffer.Tweaker willen meteen een strop aan de boom maar we weten nog niets van de redenen

Vizzie @StephanVierkant • 2 september 2025 08:12

Nee. Dat schrijf ik nergens, dat lees jij erin. Ik zeg dat als ze e.e.a. niet goed op orde hadden dat ik vind dat er meer gevolgen aan moeten zitten dan reputatieschade. Bedrijven hebben wat mij betreft een zware verantwoordelijkheid wanneer ze met (medische) persoonsgegevens werken.

Triblade_8472 @StephanVierkant • 27 augustus 2025 16:24

Wat ik hoop is dat de (juridische en publieke) straf aankomt bij andere bestuurders en zij beter gaan opletten bij hun digitale beveiliging. Dat ze niet gaan denken in kosten, maar in preventie.

Daarnaast, kunnen een berg mensen vele jaren na nu opeens problemen krijgen. Wie zegt dat het bedrijf dan nog bestaat om je recht te halen? Dat is nou het het probleem met een uniek en onwijzigbaar bsn.

themadone @Triblade_8472 • 27 augustus 2025 18:05

Daar is een tijd geleden al een mooie wet over aangenomen waarin bestuurders in dit soort gevallen hoofdelijk aansprakelijk gesteld kunnen worden.

Was goed merkbaar in de aanvragen voor nieuwe projecten, want toen was er ineens budget en interesse in IT beveiliging. Stuk over de wet heeft in het FD gestaan, dus alle ceo's meteen in paniek lol.

Ontopic moeten we in Nederland gaan zorgen dat een BSN wijzigbaar wordt, de mogelijke moedwillige fraude is in dit soort gevallen vanuit de slachtoffers totaal niet aan de orde dus waarom niet iedereen gewoon een nieuw BSN en een database ergens met oud > nieuw voor het doublechecken op toekomstige fraude.

Aluhoedje op

De rede dat dit niet zomaar kan is omdat de uitwisseling tussen overheden/semi overheden en private instanties voor geen meter geregeld is en de wijziging er in veel gevallen toe zal leiden dat je wordt gezien als een compleet nieuw persoon. Het grappige is dat dit voor de slachtoffers veel minder relevant is als voor de instanties die de schulden/belasting/social credits etc bijhouden.

Cobb @StephanVierkant • 27 augustus 2025 16:32

Gelijk maar tegelijkertijd is het ook wel ons manco geworden. Dit is namelijk ook precies de reden waarom Chemours ons zo'n leuk landje vind.

MSteverink 27 augustus 2025 16:08

Vooropgesteld: ik weet dat Clinical Diagnostics steken heeft laten vallen. Allereesrt dat ze deze diefstal niet hebben kunnen voorkomen, en wat ze hebben gedaan en nagelaten na de diefstal is bedroevend.

Maar dan nog zijn ze toch het slachtoffer in deze zaak, niet de dader?

Killemov @MSteverink • 27 augustus 2025 16:25

De opzet van het onderzoek heeft gefaald i.v.m. kostenbesparing. Dus kun je stellen dat door kostenbesparing alle persoonsgegevens bij het laboratorium terecht zijn gekomen. Daar zit dus het probleem. Dat die gegevens vervolgens gestolen zijn is een symptoom.

Mit-46 @MSteverink • 27 augustus 2025 16:30

Zij zijn zeker ook slachtoffer, maar daarmee verdwijnt niet opeens hun verantwoordelijkheid.

Roemenië claimt nu ook een schadevergoeding voor de gestolen kunstwerken uit het Drents museum om maar een voorbeeld te noemen. Dat museum in Drenthe is ook slachtoffer, maar had de verantwoordelijkheid om de kunstwerken goed te beveiligen zolang deze bij hen lagen.
(Of Roemenië het nu bij de juiste claimt laat ik even in het midden.)

Ik vind de schade die hier geleden is veel groter dan die kunstwerken die gesloten zijn. Het betreft bijna een half miljoen mensen en ondanks dat het niet in "waarde" is uit te drukken zoals gestolen goud is de impact vele male groter.

Wanneer je besluit gegevens te bewaren dan heb je verantwoordelijkheden net zoals je deze zou hebben wanneer je besloten had om iets anders van andere te bewaren. Wellicht onderschatten bedrijven dit principe.

[Reactie gewijzigd door Mit-46 op 27 augustus 2025 16:45]

OCU-Macs @MSteverink • 27 augustus 2025 17:10

De daders zijn de hackers. Laat dat duidelijk zijn,

Op dit moment is het nog helemaal niet duidelijk of Clinical Diagnostics onvoldoende heeft gehandeld om haar data te beschermen. Vanuit de AVG is er omgekeerde bewijslast, dus CD moet aantonen hoe ze e.e.a. op orde hadden.

De advocaten sorteren inmiddels voor op het geval dat CD het niet op orde had, en een zaak dus aangespannen kan worden, maar dit zou dus ook nog anders kunnen uitpakken indien WEL blijkt dat CD haar zaken op orde had, maar ondanks dat alsnog gecompromitteerd raakte.

ouweklimgeit 27 augustus 2025 17:36

En waar komen deze gegevens weer terecht?

https://datalekbevolkingsonderzoek.nl/ gebruikt het Amerikaanse Webflow.com om alle persoonsgegevens te verwerken en https://claimbevolkingsonderzoek.nl/ is een simpele Wordpress website met de wpforms plugin.

Ik begrijp werkelijk niet waarom iemand die zich zorgen maakt over zijn data, zijn contactgegevens zo weer klakkeloos invult op een willekeurige website.

Webgnome @ouweklimgeit • 27 augustus 2025 17:38

dat een website WordPress draait met een plugin is niet heel relevant toch?

themadone @Webgnome • 27 augustus 2025 17:54

Wel als je met die website zeer gevoelige informatie verwerkt. No offense, maar daar verwacht ik beter als een standaard cms'je met een third party plugin.

TWyk 27 augustus 2025 16:04

Voor het verkrijgen van een schadevergoeding moet je schade aantonen en daar een prijs aan hangen

Dat is in deze situatie lastig.

Solo 27 augustus 2025 18:27

Heel goed! Vorige week schreef ik nog dat de organisatie in kwestie er te makkelijk mee weg kwam toen ik de brief las. Nu deze actie, vrouwlief is aangemeld hoor.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (146)

Sorteer op:

Weergave: