Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium

Het Nederlandse Openbaar Ministerie start een strafrechtelijk onderzoek naar het recente datalek bij het medische laboratorium Clinical Diagnostics. Daarbij zijn gegevens van ten minste 485.000 vrouwen gestolen die meededen aan het bevolkingsonderzoek baarmoederhalskanker.

Volgens het OM is de maatschappelijke impact van het datalek dusdanig groot dat het, in samenwerking met de politie, op eigen initiatief een strafrechtelijk onderzoek is gestart. Het doel van het onderzoek is om te achterhalen wie de gegevens hebben gestolen. Bij een cyberaanval op het medische laboratorium zijn zowel persoonsgegevens als medische informatie van honderden duizenden mensen gestolen. De daders hebben de aanval naar eigen zeggen opgeëist en beloofden de gestolen informatie te verwijderen.

Het overheidsorgaan zegt dat slachtoffers geen aangifte meer hoeven te doen als zij van stichting Bevolkingsonderzoek Nederland een brief hebben gekregen. Het onderzoek staat los van eventuele civiele procedures, waarvan er onlangs in ieder geval een grootschalige zaak is gestart.

Het OM stelt dat het onderzoek gestart is naar aanleiding van de melding van Bevolkingsonderzoek Nederland, dat op 11 augustus het datalek openbaarde. Daaruit bleek dat 485.000 vrouwen die baarmoederhalskankeronderzoek hadden laten doen, slachtoffer waren van de cyberaanval. Sindsdien werd echter uit meerdere bronnen duidelijk dat niet alleen deelnemers van baarmoederhalskankeronderzoek, maar deelnemers van uiteenlopende medische onderzoeken in de gestolen dataset voorkwamen. Het is niet duidelijk of hier ook onderzoek naar wordt gedaan. Het OM was niet voor de publicatie van dit artikel bereikbaar voor vragen. Ook de Nederlandse Autoriteit Persoonsgegevens doet onderzoek naar het incident.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yannick Spinner

Redacteur

Feedback • 27-08-2025 18:21
43 • submitter: wildhagen

27-08-2025 • 18:21

Submitter: wildhagen

Lees meer

68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab

68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab Nieuws van 27 augustus 2025

Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen

Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen Nieuws van 22 augustus 2025

Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens

Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens Nieuws van 19 augustus 2025

Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics na hack

Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics na hack Nieuws van 15 augustus 2025

RTL Nieuws: door ransomware getroffen medisch lab heeft losgeld betaald

RTL Nieuws: door ransomware getroffen medisch lab heeft losgeld betaald Nieuws van 13 augustus 2025

Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt

Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt Nieuws van 11 augustus 2025

Medische data en bsn's van deelnemers baarmoederhalskankeronderzoek zijn gelekt

Medische data en bsn's van deelnemers baarmoederhalskankeronderzoek zijn gelekt Nieuws van 11 augustus 2025

Meer producten en artikelen

Politiek en recht Privacy Cybercrime Datalek Medisch Nederland Openbaar Ministerie

IT-banen

Meer vacatures

Reacties (43)

pebertje01 27 augustus 2025 18:43

Voor mij blijft het onduidelijk waarom zo'n laboratorium persoonlijke gegevens nodig heeft... iemand die dit weet??

bytemaster460 @pebertje01 • 27 augustus 2025 19:30

Zorginstellingen zijn gerechtigd om deze gegevens te verwerken. Het reduceert medische risico's. Het is een utopie om te verwachten dat alle zorginstellingen in Nederland op uniforme wijze data kunnen gaan uitwisselen. De zorg is geen geautomatiseerd proces Afname van lichaamsmateriaal, het bestickeren van buizen en containers gebeurt vaak handmatig, vaak worden er nog nummers overgeschreven of overgetypt. Ik werk zelf voor verschillende labs in een ziekenhuis en zie hoeveel fouten er dagelijks op een lab uit worden gehaald JUIST omdat je naam, geboortedatum, BSN en geslacht beschikbaar hebt. Met alleen een nummer werken zou technisch kunnen, maar dan worden fouten die aan het begin van de keten gemaakt worden niet meer opgemerkt en zullen we moeten accepteren dat het aantal medische fouten stijgt.

Guru Evi @bytemaster460 • 27 augustus 2025 19:56

Zoveel mogelijk de mens uit dit proces halen is het antwoord. Er zijn oplossingen zoals barcodelezers en RFID die een groot deel van dit probleem oplossen.

Toen mijn vrouw ons laatste kindje kreeg (in een ander land) was er een armband met je naam en een barcode, en dan alles moest, eerst de barcode op je arm, dan de tubes voor het bloed etc etc en met de barcode kreeg de verpleegsters ook het dossier te zien op een scherm in de kamer of eenmaal in een 'gewoon' bed, hadden ze een iPad of iPhone mee. En moesten ze de 'verkeerde' tube of medicijnen inscannen, dan krijgen ze een waarschuwing.

En ja, dat wil zeggen dat een mens af en toe eens een paar extra stapjes moet doen of herstarten of meerdere malen je arm geven, maar beter dan overal de naam, geboorte etc etc opplakken. Ik heb al een tijdje niet in de ziektezorg gewerkt, maar het was al jaren geleden de gewoonte dat je niet meerdere patienten in dezelfde kamer tegelijkertijd mag behandelen, noch mocht je exclusief vertrouwen op "bekende/zichtbare" informatie (zoals naam) van de patient om zo fouten of fraude te vermijden (of mensen die ze niet allemaal op een rijtje meer hebben).

En zoals men soms zegt, al die regeltjes zijn in bloed geschreven.

[Reactie gewijzigd door Guru Evi op 27 augustus 2025 20:07]

bytemaster460 @Guru Evi • 27 augustus 2025 20:22

Zoals ik al zei is het technisch allemaal mogelijk, maar de mens uit de zorg halen is gewoon niet mogelijk. De zorg vraagt acties op een moment. Tegen een patiënt die in nood is kun je niet zeggen "computer says no". Het proces gaat gewoon door. geautomatiseerde processen gaan uit van standaatdprocessen. Dat is in de zorg lang niet altijd zo. Vaak wordt er bloed afgenomen omdat men snel moet zijn. Daarna worden pas etiketten geplakt en testen aangevraagd.

Tussen wat de IT bedankt en de praktijk op de werkvloer zit een groot gat. Je kunt automatisering bedenken en 1000 variaties coveren en op de dag dat het in productie gaat doet variatie 1001 zich voor.

je kunt wel niet meerdere patiënten in één kamer behandelen. De afgenomen bloedbuizen uit het hele land komen wel op een lab bij elkaar

richardbloem @bytemaster460 • 27 augustus 2025 20:23

Je kunt ook met twee nummers en/of met nummers met ingebouwde foutdetectie/correctie werken. Daarnaast zijn er bar/QR codes, vingerafdrukken, irisscans etc. Naam, geboortedatum en BSN zijn veel te gemakkelijk bruikbaar voor verkeerde doeleinden.

Maar het grootste probleem voor mij is dat medische gegevens niet geographisch gecompartimenteerd zijn. Dat er bij een lek toegang is verkregen tot een HALF MILJOEN personen, is voor mij onbestaanbaar.

Ja het is misschien lekker gemakkelijk dat een medisch persoon meteen toegang heeft tot heel Nederland ongeacht waar de patient woont. Echter vroeger met de kaartenbakken werd er hooguit 1 locatie getroffen.

Het enige nadeel van geographische compartimentering is dat je een keer wat data moet meenemen als je naar een ander district verhuist. Dat lijkt me het toch wel waard. IT systemen zijn nooit 100% veilig en na alle data lekken van de afgelopen jaren moeten we toch een keer begrijpen dat er voor sommige zaken fysieke scheidingen en compartimenteringen nodig zijn.

bytemaster460 @richardbloem • 27 augustus 2025 20:31

Je kunt ook met twee nummers en/of met nummers met ingebouwde foutdetectie/correctie werken.

Zoals gezegd kan het technisch allemaal, maar het moet werkbaar zijn op een lab. Losse nummers zeggen alsnog niets. Wanneer je een mogelijk verwissling wilt corrigeren of een discrepantie wil oplossen wil je een patient identificeren aan zijn gegevens en niet aan codes. Je hebt te maken met mensen van allerlei denkniveaus en opleidingsniveaus. Hoe je het ook wendt of keert, een naam, geboortedatum en geslacht zijn voor een mens veel gemakkelijker te matchen dan een 12-cijferig nummer. Die werkelijkheid zorgt ervoor dat er in de zorg met volledige gegevens gewerkt wordt om medische risico's te verkleinen.

richardbloem @bytemaster460 • 27 augustus 2025 21:25

<sarcasme mode on> Nog gemakkelijker (of als wilt nog 'werkbaarder') is het, om gewoon het medisch dossier op de arm te tatooeren. Zo worden er nog minder fouten gemaakt. <sarcasme mode off>

Maar even serieus, waarom is het zo belangrijk dat medische gegevens privé blijven? Dat is niet omdat mensen graag een geheimpje willen hebben. Dat is met name om mensen te beschermen tegen misbruik vaak met financiele doeleinden. Ik denk dat deze data vooral interessant zijn for verzekeringen, geldverstrekkers en andere diensten die graag mensen in kaart brengen voor een gepersonaliseerd aanbod of afwijzing inclusief sollicitaties voor een baan, inclusief je bestaanszekerheid in tijden van extreme politieke regimes. Als je gegevens op straat liggen kun je nooit meer zeker zijn dat de persoon tegenover je niet op de hoogte is.

Daarom moeten we enig gemak opofferen om privacy te garanderen. In het ideale geval kost het misschien iets meer tijd en levert het goede privacy op. In een ander geval kost het veel geld en tijd en levert het niets op omdat men het te lastig vindt en gewoon weer naar naam, leeftijd en geslacht teruggrijpt zoals vroeger. Echter nu is het ook nog universeel beschikbaar op internet van honderdduizenden personen omdat alles centraal is opgeslagen of benaderbaar gemaakt zonder comparimentering van data.

J_van_Ekris @richardbloem • 27 augustus 2025 23:28

Maar even serieus, waarom is het zo belangrijk dat medische gegevens privé blijven? Dat is niet omdat mensen graag een geheimpje willen hebben. Dat is met name om mensen te beschermen tegen misbruik vaak met financiele doeleinden. Ik denk dat deze data vooral interessant zijn for verzekeringen, geldverstrekkers en andere diensten die graag mensen in kaart brengen voor een gepersonaliseerd aanbod of afwijzing inclusief sollicitaties voor een baan, inclusief je bestaanszekerheid in tijden van extreme politieke regimes. Als je gegevens op straat liggen kun je nooit meer zeker zijn dat de persoon tegenover je niet op de hoogte is.

Dit soort partijen wordt gewoon geacht zich aan de wet te houden. En een verzekeraar weet allang wat jij mankeert, omdat hij de rekening betaald. Maar die info mag niet gebruikt worden voor commerciele doeleinden. Doet men dat toch, dan gaat men wel met het AVG wapen zwaaien.

Daarom moeten we enig gemak opofferen om privacy te garanderen. In het ideale geval kost het misschien iets meer tijd en levert het goede privacy op. In een ander geval kost het veel geld en tijd en levert het niets op omdat men het te lastig vindt en gewoon weer naar naam, leeftijd en geslacht teruggrijpt zoals vroeger.

Dit doen we omdat we willen voorkomen dat mensen dood gaan door een verkeerde behandeling. Dit gaat niet over 10 seconden meer werk per patient, dit gaat over een nummer wat teveel lijkt op een ander nummer, of identiek is aan een ander nummer maar wel van een andere zorgverlener komt. En dna worden uitslagen verwisseld. En dan gaan er patienten dood. Dit is geen hypothetisch verhaal, dit is namelijk de situatie voor de invoering van het BSN in de zorg. Dit soort patientverwisselingen zijn enorm teruggedrongen door de invoering van het BSN in de zorg.

pebertje01 @bytemaster460 • 27 augustus 2025 19:33

Helder.. dankjewel.

pdidi @bytemaster460 • 27 augustus 2025 23:58

Het gebruiken van meerdere persoonsgegevens wil nog niet zeggen dat ze ook allemaal bij iedere zorgaanbieder moeten worden opgeslagen. Die kunnen prima real-time opgehaald worden uit de Basisregistratie Personen (BRP), dan gebruikt worden om bv op een sticker te printen, om daarna weer te verwijderen. In de administratie van de zorgaanbieder staat dan alleen nog maar de BSN

Triblade_8472 @pebertje01 • 27 augustus 2025 18:46

Staat in vele gerelateerde artikelen.
Het is in dit geval een zorgverlener en hiermee wettelijk verplicht dit nummer te houden.

Puffino @Triblade_8472 • 27 augustus 2025 22:38

Is een laboratorium dan opeens een zorgverlener?

Triblade_8472 @Puffino • 27 augustus 2025 22:52

Als ze (technisch) meer doen dan alleen een lab zijn: ja.

J_van_Ekris @Puffino • 27 augustus 2025 23:32

Is een laboratorium dan opeens een zorgverlener?

Dat zijn ze al decennia. Een patholoog (want pathologie laboratorium bekijkt uitstrijkjes) is een medisch specialist die zelfstandig een diagnose stelt, en dus een zorgverlener. Sterker nog, zo'n 90% van de oncologie-diagnoses worden door de patholoog gesteld. De oncoloog zet dan de bijbehorende behandeling in.

Enige verschil met de oncoloog is dat hij wat makkelijker centraal te huisvesten is tussen ziekenhuizen in (logistiek overzichtelijker) en dat hij relatief weinig levende patienten ziet. Maar pathologen nemen soms ook weefsel af of doen secties.

J_van_Ekris @pebertje01 • 27 augustus 2025 19:48

Voor mij blijft het onduidelijk waarom zo'n laboratorium persoonlijke gegevens nodig heeft... iemand die dit weet??

Zoals Bytemaster al goed aangeeft: het reduceert het risico op patientverwisseling. Vroeger werkte men in dit soort labs met het inschrijfnummer van de opdrachtgever, maar je ziet dat daardoor er echt uitslagen verwisseld kunnen worden omdat al die opdrachtgevers bij 1 beginnen te tellen, en mensen dus verkeerd behandeld worden.

De wet die het BSN in de Zorg verplicht dan ook het gebruik van het BSN in alle electronische uitwisseling tussen medisch specialisten. In het verleden heeft het CBP (zoals de AP vroeger heette) op verzoek van het ministerie gekeken naar het gebruik van het BSN voor alle bevolkingsonderzoeken (formeel juridisch is er namelijk bij het bevolkingsonderzoek nog geen sprake van een patient of een medische behandeling), en die concludeerde toen dat het BSN gewoon verplicht was, ook voor dit soort preventieve zorg. De NAW gegevens zitten daar altijd bij, deels om bij electronische uitwisseling ook die te kunnen controleren (men wil echt niet dat uitslagen verwisseld worden...) maar ook als de ene specialist de andere belt. Dan is het wederzijds vaststellen dat je het over dezelfde patient hebt op basis van het onderzoeksnummer en patientgegevens vaak veel effectiever dan een BSN herhalen.

[Reactie gewijzigd door J_van_Ekris op 27 augustus 2025 19:49]

TheMak @pebertje01 • 27 augustus 2025 23:17

Achteraf wil je dosseirs kunnen bekljken. Op zijn minst de tuchtcommissie. Maar ik neem aan dat er instanties zijn die de overlijdenscijfers naast de foto’s willen leggen

Yordi- 27 augustus 2025 19:50

Het is ongelofelijk hoe in een welvarend Nederland digitale veiligheid nog steeds hopeloos onderschat wordt. Door zowel wetgever, controlerend orgaan en uitvoerder. De enige branche waar het geregeld is, is de financiële sector met proactieve toetsing van DNB en ECB. De rest kan gewoon prutsbedrijfjes inhuren, hobbyTweaker hier, hobbyTweaker daar. Oh en data? Loopt wel los toch? Een keertje NEN7510 certificeren? Prima toch? Kijk we verder niet meer naar om.

bytemaster460 @Yordi- • 27 augustus 2025 19:56

Dat valt in de praktijk heel erg mee. De meeste problemen ontstaan nog steeds doordat medewerkers zich niet aan de regels en protocollen houden. Daar is geen technische oplossing tegenop gewassen.

gaskabouter @bytemaster460 • 27 augustus 2025 20:19

Dat is zo zwart wit gesteld dat het altijd waar is en altijd onzin.

je definieert "problemen" (ict, storingen, calamiteiten ?) niet en pretendeert daarnaast dat er altijd een technische oplossing is. Ik heb nog nooit een technische oplossing zorg zien verlenen. Het zijn hooguit hulpmiddelen. En van alle problemen die ik op mijn werkdag tegenkom is zeker de helft ict gerelateerd omdat er een programma of koppeling of weet ik wat stopt met werken.

Ik doe al bijna twintig jaar calamiteiten onderzoek en je laat hiermee goed zien geen inzicht te hebben in de complexe processen die leiden tot een incident. Bovendien zorgt je vingerwijzen niet bepaald voor een transparant en leerbaar klimaat.

Je doet alle mensen die werken in de zorg tekort door het zo negatief neer te zetten. Ik kan je verzekeren dat ik meer probleem voorkom door me gemotiveerd niet aan het protocol te houden dan andersom.

[Reactie gewijzigd door gaskabouter op 27 augustus 2025 20:23]

bytemaster460 @gaskabouter • 27 augustus 2025 20:27

Ik doe mensen in de zorg juist helemaal niet tekort. Zij kiezen juist vaak voor het belang van de patiënt door ter plekke een oplossing te verzinnen die voor de patiënt het minst belastend is of de minste risico's vormt. Ad hoc oplossingen betekenen wel dat geautomatiseerde processen spaak kunnen lopen en je dus meer gegevens wil hebben om controles uit te voeren als het spaak loopt.

gaskabouter @bytemaster460 • 27 augustus 2025 20:37

Nee. Je stelling is dat problemen nog steeds ontstaan doordat mensen zich niet aan protocollen houden. En dat is gewoon niet waar. Meer dan 60% van de hiaten in de patiëntenzorg (ziekenhuiszorg) betreft een ict storing waar geen menselijke factor bij betrokken is.

Maar omdat de zorgmedewerkers daaromheen werken leidt het zelden tot daadwerkelijke incidenten in de zorg. Wel tot de nodige ongemakken, oponthoud en frustratie

bytemaster460 @gaskabouter • 27 augustus 2025 20:40

Je haalt nu twee dingen door elkaar. Die reactie gaf ik op iemand die beweerde dat we in Nederland de IT beveiliging niet op orde hebben. Dat ging niet over de zorg maar over het algemeen. Daar reageerde ik op.

Maar omdat de zorgmedewerkers daaromheen werken leidt het zelden tot daadwerkelijke incidenten

Precies en daarom moet dat ook zo blijven en kun je dus niet alles technisch dichtspijkeren met nummers en barcodes. Dat is dus precies wat ik de hele tijd probeer te zeggen.

kimborntobewild @bytemaster460 • 27 augustus 2025 20:13

Dat valt in de praktijk helemaal niet mee. Er zijn zowat wekelijks lekken.
De belangrijkste regel/protocol bestaat niet eens: dat zou moeten zijn: dat het verboden wordt om te reageren op de afpersers. Zolang bedrijven/instellingen ingaan op de eisen, zal het probleem sowieso niet weggaan. Het is geen garantie, maar wel een voorwaarde. Net zoals Open Source ook geen garantie is voor software zonder spyware, maar het is wel een voorwaarde.

[Reactie gewijzigd door kimborntobewild op 27 augustus 2025 20:17]

bytemaster460 @kimborntobewild • 27 augustus 2025 20:25

Het gaat niet alleen om afpersers als het gaat om het schenden van protocollen. Even snel iets in productie aanpassen is overal verboden maar het gebeurt bijna overal toch, zeker als er geld of andere risico's mee gemoeiod zijn. Ook dat kan een lek veroorzaken.

DefaultError @bytemaster460 • 27 augustus 2025 21:42

Jawel policies.

nutty @bytemaster460 • 27 augustus 2025 22:41

Enorme boetes doet het gedrag van leidinggevenden echt wel bewustmaken om beveiliging , en het gedrag van personeel goed in de gaten te blijven houden.

Cybercrime
Nederland
Politiek en recht
Privacy
Datalek

27 augustus 2025 18:27

Het doel van het onderzoek is om te achterhalen wie de gegevens hebben gestolen.

Lijkt me een prima eerste stap. Het is te hopen dat het OM ook tot daadwerkelijke strafrechtelijke vervolging over gaan mochten ze de daders weten te traceren. Mocht dat mogelijk zijn, uiteraard.

Wordt in dit onderzoek ook gekeken naar de beveiliging van dit laboratorium, op het gebied van de opslag, of die wel voldeed aan de redelijke eisen? Of is dat helemaal buiten scope van het onderzoek?

[Reactie gewijzigd door wildhagen op 27 augustus 2025 18:27]

RobbieB @wildhagen • 27 augustus 2025 18:31

Dat laatste is waar de IGJ onderzoek naar doet, niet de politie: https://www.igj.nl/actueel/nieuws/2025/08/22/igj-start-onderzoek-naar-laboratorium-clinical-diagnostics-rijswijk

Politiek en recht

@wildhagen • 27 augustus 2025 18:39

Wordt in dit onderzoek ook gekeken naar de beveiliging van dit laboratorium, op het gebied van de opslag, of die wel voldeed aan de redelijke eisen? Of is dat helemaal buiten scope van het onderzoek?

Waarom zou het OM dat op eigen houtje doen? Het OM richt zich normaliter primair op de opsporing en vervolging van strafbare feiten. Alleen als er sprake is van ernstige nalatigheid die mogelijk strafrechtelijk relevant is, kan dit onderdeel van hun onderzoek worden. Het toezicht op de beveiliging en naleving van zorgvuldigheidsnormen ligt in Nederland bij de AP en in de zorgsector eventueel ook bij de Inspectie Gezondheidszorg en Jeugd (JGI).

Ook kan er naar aanleiding van dit nog een vervolging worden ingezet, als informatie uit de civiele procedure aanleiding geeft voor het OM om (opnieuw, of voor het eerst) te beoordelen of er strafbare feiten zijn gepleegd. Dit zou dan vooral betrekking hebben op mogelijke nalatigheid van het laboratorium, niet enkel op de rol van de hackers.

[Reactie gewijzigd door jdh009 op 27 augustus 2025 18:49]

Triblade_8472 @jdh009 • 27 augustus 2025 18:44

Tenzij er gefraudeerd is bij het verstrekken van certificaten? Kan het OM je hiervoor eigenlijk vervolgen?

Immers hebben Deloitte medewerkers ook examenfraude gepleegd, dus wie weet is hier certificeringafraude gepleegd.

Wat ik mij afvraag is wie de certificeringsinstantie(s) zijn en hoe zij hierin staan.

RobbieB @Triblade_8472 • 27 augustus 2025 18:59

Met wat voor certificaten? ISO27001? Want een 27001 certificering is geen enkele garantie dat je je beveiliging op orde hebt. Je certificeert alleen het management systeem. Je kunt daarin prima aangeven dat je bepaalde zaken nog niet op orde hebt en ermee bezig bent. En dan krijg je gewoon je certificering.

Aan iedere certificering ligt een rapport ten grondslag, dat onafhankelijk getoetst zou kunnen worden door de raad van accreditatie. Maar daar heeft de politie of het OM niks mee te maken.

GroeneEend 27 augustus 2025 20:17

Ik hoop dat er ook onderzoek gedaan wordt in hoeverre het lab zich gehouden heeft aan de beveiligingseisen voor zorg-informatie (iso 7510), zoals encryptie (zodat er informatie onleesbaar is, ook al is er een lek) en 2fa. Ik krijg toch sterk de indruk dat het lab zich hier niet aan gehouden heeft. Wat niet alleen de verantwoordelijkheid van het lab is, maar ook van Bevolkingsonderzoek Nederland. Ik vraag me ook af of zij zich wel aan hun plicht gehouden hebben om ervoor te zorgen dat de dataverwerking (het lab) zich aan de beveilingseisen hield. De volledige verantwoordelijkheid bij het lab neerleggen is niet juist.

gaskabouter @GroeneEend • 27 augustus 2025 20:40

Ik werk al een tijdje in de zorg. Kun je mij vertellen waar die eisen staan?

Die zijn er namelijk niet. Er staat in de wet en allerlei iso certificaten dat je iets aan veiligheid moet doen maar niet hoe.

Ik laat mij door ict vertellen wat veilig is en ik vertel hun wat werkbaar is. Uit dat gesprek komt beleid. Er zijn geen eisen als encryptie of 2fa, hoe logisch dat ook lijkt maar wetgeving is traag en als het zou specifiek zou zijn kom je in de problemen als die technieken achterhaald zijn. Vandaar dat ze algemeen geformuleerd zijn en de toetsing aan "het veld" wordt overgelaten

[Reactie gewijzigd door gaskabouter op 27 augustus 2025 20:44]

GroeneEend @gaskabouter • 27 augustus 2025 21:05

Dat staat in NEN 7510. Als zorgverlener ben je verplicht aan te tonen dat je hier aan voldoet. Het verbaast me nogal dat je als ICTer (?) in de zorg hier niet van op de hoogte bent. Maar dat geeft dan wellicht gelijk ook het probleem aan?

Het ontbreken van 2FA kan bijvoorbeeld behoorlijke boetes opleveren: https://www.intrakoop.nl/kennisbank/details/artikelen/2019/09/24/tweefactor-authenticatie-en-de-avg

gaskabouter @GroeneEend • 27 augustus 2025 21:16

Ik ben geen ict er. En de tekst is duidelijk. Er staat niets in de wet. Maar haga krijgt een boete omdat ze aangeven volgens de nen norm te werken en daar dus niet aan voldoen, ze houden zich dus niet aan hun eigen regels. En waar het hier om ging is dat niet duidelijk was welke medewerkers hadden gekeken naar het dossier van een bn-er.

En ik kan je verklappen ze hebben het nog steeds niet is ook niet werkbaar. Je logt in met je pasje. That s it. Soms een wachtwoord ter controle. Als iemand zijn computer open laat staan kun je overal bij.

Je kan als instelling prima kiezen dit soort normen niet te implementeren maar dan zul je op een andere manier moeten aantonen aan de wet te voldoen. En als er shit komt heb je iets uit te leggen.

En er werkt geen instelling volgens 2fa. Pasje op de lezer en gaan. In mijn andere ziekenhuis alleen een wachtwoord. Als je van buitenaf inlogt wel 2fa maar binnen de muren echt niet. Ik ken eigenlijk ook geen bedrijf waar je zodra je van je scherm bent uitlogt en weer met 2fa moet inloggen

GroeneEend @gaskabouter • 27 augustus 2025 21:32

Het laboratorium heeft geen eigen beleidsregels en moet zich daardoor automatisch aan NEN7510 houden.

Wat ik uit jouw tekst haal, is dat veel zorginstellingen eigenlijk (nog steeds) niet voldoen aan basic beveilingseisen. Ik hoop dat de ophef hier eindelijk eens aan gaan doen en bv naar overheidsinstellingen kijken die aan BBN eisen moeten voldoen.

De 2FA gaat overigens over de infornatiesystemen, niet over operating systems zoals windows. En 2FA voor informatiesystemen is best normaal.

gaskabouter @GroeneEend • 27 augustus 2025 21:49

Het laboratorium heeft natuurlijk wel eigen beleidsregels waarom zouden ze dat niet hebben? Wat denk je wat voor bedrijven dit zijn?

Hoe zie je 2fa voor je in de praktijk zoals ik die schets. Ken je ook maar 1 bedrijf wat telkens als je op zaak inlogt 2fa eist als je naar de wc geweest bent?

En alles draait gewoon onder Windows, als je daar in zit kun je het epd gewoon opstarten.

In denk dat je geen idee hebt hoe het werkt in de zorg en dit soort lekken heeft daar ook helemaal niets mee te maken.

Dit is gewoon een hacker die een ict probleem heeft uitgebuit. Zoals dat buiten de zorg ook voortdurend gebeurt. Deze casus is helemaal niet exemplarisch voor d zorg maar voor de risico's van digitalisering.

GroeneEend @gaskabouter • 27 augustus 2025 23:37

Het gaat natuurlijk specifiek om beleidsregels over informatiebeveiliging, niet om willekeurige beleidsregels. En nee, die heeft het laboratorium niet.

Nogmaals, 2FA gaat over het gezondheidsinformatiesysteem, niet over Windows. Als je naar de WC gaat, moet je je PC verplicht locken bij alle informatiebeveiligingsregels die ik ken. Dat is in de gezondheidszorg niet anders.

En ja, bij heel veel organisaties, bedrijven en overheid, moet je opnieuw 2FA uitvoeren bij systemen met persoonsgegevens (als je bent uirgelogd). Ik ben werkelijk geschokt dat dit kennelijk bij de systemen die jij gebruikt niet hoeft. Dat zijn werkelijk minimale basiseisen voor dit soort systemen.

Uit jouw reacties is wel duidelijk af te leiden dat informatiebeveiliging in de zorg niet erg volwassen is. Bij overheidsorganisaties die met persoonsgegevens en al helemaal medische gegevens werken worden aanzienlijk strengere maatregelen geïmplementeerd.

Als de zorg zo onvolwassen is in informatiebeveiliging, is het morgen weer raak. Best een triest vooruitzicht.

[Reactie gewijzigd door GroeneEend op 27 augustus 2025 23:39]

Jenny 79 27 augustus 2025 20:35

Ik ben óók één van de gelukkige vrouwen....Ik heb altijd geweigerd om met het bevolkingsonderzoek mee te doen vanwege jarenlange seksueel misbruik door stiefvader en heb Cptss. Maar dit jaar stuurde ze een zelf test. Tjonge jonge hoezo opdringerige gedrag tonen om een zelf test te sturen terwijl je dat niet zelf kunt! Dus toch maar naar de huisarts en zij heeft voor de zekerheid een uitstrijkje met de zelf test en zelf heeft ze gewoon een uitstrijkje gedaan zodat het zeker goed was, en het niet overnieuw moest. En nou liggen ook nog al mijn gegevens in criminele handen. Zelfs mijn sofi nummer. En sluiten ze de brief af. Kijk uit voor fraude..grapjassen.

Ik heb werkelijk geen idee verder wat ik nu allemaal moet aanpassen online. Wachtwoord van Google account veranderen en Microsoft account ook. Maar ik weet het allemaal niet meer. Wegens ADHD moet ik veel opschrijven op papier en screenshots maken, heb ik een keyboard waar ik tekst naar het klem bord kan kopiëren en vastzetten zodat het blijft staan. Maar screenshots hebben hackers graag las ik. Pff...

Datalek
Cybercrime
Privacy
Nederland

27 augustus 2025 18:42

Het overheidsorgaan zegt dat slachtoffers geen aangifte meer hoeven te doen als zij van stichting Bevolkingsonderzoek Nederland een brief hebben gekregen.

Het doen van aangifte is niet slechts om de politie en om onderzoek te laten doen. Het is ook om expliciet duidelijk te maken dat er naar mening van het slachtoffer wettelijke grenzen zijn overschreden. Dat is niet zomaar iets om als politie en OM te negeren. Wat de politie en om wel doen door selectief voor slachtoffers te bepalen wat wel en niet nodig is.

Het is goed dat er onderzoek is gestart. Maar dat hoort niet selectief als argument gebruikt te worden dat aa gifte door specifieke slachtoffers niet meer nodig zou zijn. Dan hoort de politie en om op zijn minst duidelijk te maken dat ze het zelf niet nodig vinden en dat het voor slachtoffers nog wel belangrijk kan zijn van dit recht gebruik te maken. Anders is men van twee walletjes aan het eten. Aan de ene kant willen dat mensen aangifte doen om het eigen belang expliciet te maken, aan de andere kant geen aangifte willen omdat politie en om zelf wel bepalen wat voor slachtoffers belangrijk is. Het geeft een compleey verkeerd signaal over het belang van aangifte als je dat als politie en om op welke manier dan ook probeert te voorkomen. Dan ben je niet bezig slachtoffers in hun recht te laten maar selectief te beïnvloeden wat voor slachtoffers nodig is. En dat is geen taak van de politie of OM.

DefaultError 27 augustus 2025 22:05

Ik denk dat het wijs is om het onderzoek af te wachten voordat er allerlei scenario’s de wereld in geslingerd worden. De vraag is urgent, waarom is er een lek ontstaan waarbij veel cliënt gegevens op straat zijn beland.

bussie66 27 augustus 2025 23:09

Doen ze ook strafrechterlijk onderzoek bij zich zelf?

Mapuck 27 augustus 2025 23:11

Laat ze maar snel aangepakt worden, niet eens een excuus staat er in de brief. Schandalig is dat. Je hebt de boel niet voor elkaar. vervolgens wacht je te lang met melden en als je met de billen bloot moet bied je niet eens je excuus aan. Niet alleen een strafrechtelijk onderzoek is op zijn plaats maar tevens onvoorwaardelijke gevangenisstraffen.

Om te kunnen reageren moet je ingelogd zijn