Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen

Het lek bij Clinical Diagnostics is veel groter dan eerder gemeld, meldt Bevolkingsonderzoek Nederland. Het onderzoekslaboratorium heeft laten weten dat de gegevens van nog eens bijna 230.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker zijn gelekt.

Deze deelnemers komen bovenop het aantal van 485.000 getroffen deelnemers dat eerder is gemeld, schrijft Bevolkingsonderzoek Nederland. Clinical Diagnostics kan niet bevestigen of dit de volledige omvang van het datalek is. In totaal heeft het laboratorium sinds 2017 de gegevens van 941.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker verwerkt. Het gaat daarbij om onder meer naam, adres en woonplaats, soort onderzoek, bsn, testuitslag en de naam van de huisarts.

Bevolkingsonderzoek Nederland heeft besloten alle mensen te informeren van wie ooit gegevens zijn gedeeld met Clinical Diagnostics. De organisatie werkt aan een brief aan alle betrokkenen die sinds 2017 meegedaan hebben aan het onderzoek. Bevolkingsonderzoek Nederland meldt daarin ook welke persoonlijke gegevens mogelijk zijn gelekt. Naar verwachting worden de eerste brieven over twee weken bezorgd.

Op 11 augustus meldde Bevolkingsonderzoek Nederland dat zeker 485.000 deelnemers van het bevolkingsonderzoek naar baarmoederhalskanker waren getroffen door het lek. Enkele uren na die melding bleek echter dat het lek breder was. Volgens RTL Nieuws zijn mogelijk ook gegevens uit huid-, urine-, penis-, vagina- en anusonderzoeken bij het datalek betrokken.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 29-08-2025 10:01
173 • submitter: Nielssss

29-08-2025 • 10:01

Submitter: Nielssss

Lees meer

Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium

Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium Nieuws van 27 augustus 2025

68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab

68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab Nieuws van 27 augustus 2025

Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen

Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen Nieuws van 22 augustus 2025

Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens

Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens Nieuws van 19 augustus 2025

Clinical Diagnostics doet nog onderzoek naar cyberaanval medische onderzoeken

Clinical Diagnostics doet nog onderzoek naar cyberaanval medische onderzoeken Nieuws van 15 augustus 2025

Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics na hack

Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics na hack Nieuws van 15 augustus 2025

RTL Nieuws: door ransomware getroffen medisch lab heeft losgeld betaald

RTL Nieuws: door ransomware getroffen medisch lab heeft losgeld betaald Nieuws van 13 augustus 2025

Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt

Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt Nieuws van 11 augustus 2025

Medische data en bsn's van deelnemers baarmoederhalskankeronderzoek zijn gelekt

Medische data en bsn's van deelnemers baarmoederhalskankeronderzoek zijn gelekt Nieuws van 11 augustus 2025

Meer producten en artikelen

Economie en maatschappij Datalek Security

IT-banen

Meer vacatures

Reacties (173)

Economie en maatschappij
Datalek

29 augustus 2025 11:04

Ik vraag me wel af wat de impact voor de patiënten in kwestie zal zijn. Hoe groot is de schade op persoonsniveau?

In ieder geval liggen BSNs op straat, waarmee dus al identiteitsfraude gepleegd zou kunnen worden.

Daarnaast wil je niet dat medische gegevens van mensen zomaar op straat liggen. Dat is toch geen prettig idee.

Ook kan dit gezondheidsschade opleveren omdat vrouwen nu wellicht niet meer durven deel te nemen aan deze onderzoeken. Hier zijn al voorbeelden van: https://www.tubantia.nl/binnenland/danielle-31-durft-geen-uitstrijkje-meer-na-datalek-mijn-gezondheid-wordt-hierdoor-op-het-spel-gezet~a72dfb56/

Hierdoor loop je het risico dat kanker niet, of te laat, ontdekt wordt met alle potentie gevolgen vandien.

En hoe zeker zijn we dat die hackers groep er niets mee doet?

Die is eenvoudig: niet. Criminelen zijn per definitie niet te vertrouwen. Je kan hopen dat ze hun woord houden, maar garanties heb je niet. Mochten ze ooit geld nodig hebben kunnen ze het altijd alsnog verkopen aan de hoogste bieder.

edit:
Dit was bedoeld als reactie op Ruuuuuubje in 'Clinical Diagnostics-lek groter dan gedacht, nog 230.000 deelnemers getroffen'

[Reactie gewijzigd door wildhagen op 29 augustus 2025 11:06]

Robbierut4 @wildhagen • 29 augustus 2025 14:58

Ook kan dit gezondheidsschade opleveren omdat vrouwen nu wellicht niet meer durven deel te nemen aan deze onderzoeken. Hier zijn al voorbeelden van: https://www.tubantia.nl/binnenland/danielle-31-durft-geen-uitstrijkje-meer-na-datalek-mijn-gezondheid-wordt-hierdoor-op-het-spel-gezet~a72dfb56/

Ik snap dat het niet leuk is als je prive gegevens uitlekken hoor. Zeker BSN niet.

Maar vervolgens in de media je medische gegevens delen en op facebook een groep beginnen?
Dat is toch op zijn zachts gezegd bijzonder, als je zoveel om je gegevens geeft.

ghangster @Robbierut4 • 29 augustus 2025 15:18

Ze kiest toch zelf wat ze tegen de media zegt en op Facebook zet? Ik vind dit niet heel vreemd.

guusdezeeuw @wildhagen • 29 augustus 2025 21:14

Ik denk dat we blij mogen zijn als dit normale hackers zijn en niet een hackersgroep gelinkt aan de Russische veiligheidsdiensten. Want het feit dat ze geen geld willen en institutionele wantrouwen creëren tegen ons zorgapparaat (zorglaboratoria en de huisartsen) en overduidelijk data achterhouden om later ons alsnog ermee te kunnen chanteren zijn voor mij toch wel rode vlaggen.

Nederland zit in election season en de transatlantische politieke gevestigde orde in West-Europa en Amerika staan er op dit moment er sowieso zwak voor. Rusland heeft meerdere keren aangegeven dat ze als bijzaak voor het winnen van de oorlog in Oekraïne op z'n minst hun invloedssfeer van de Koude Oorlog willen terugkrijgen met als het kan de complete politieke controle over Europa. Dat doen ze via "actieve maatregelen", wat ook wel social hacking van een hele maatschappij kan worden genoemd. En hun doel is dat we op 29 oktober op de FVD gaan stemmen of iets wat zoveel mogelijk in die richting is.

Bang worden voor instanties verantwoordelijk voor het uitvoeren van overheidstaken zoals nu met dataverwerking door huisartsen is in ieder geval het meest foute wat we kunnen doen als maatschappij. Het zou helpen als we op een bepaalde manier dit hackschandaal aangrijpen om vol vertrouwen keihard verantwoording op te eisen, zodat maatschappij breed eindelijk eens een keer bloedserieus wordt omgegaan met onze online privacy.

himlims_ @guusdezeeuw • 31 augustus 2025 10:21

data kun je meermaals verkopen

useruser 29 augustus 2025 10:10

Ik vind het vooral schokkend dat het onderzoek zonder aangifte gestart is door de politie. Ik dacht dat aangifte doen volgens AVG verplicht was? Vooral in een dergelijke mega zaak kan ik me niet voorstellen waarom er geen aangifte gedaan is.

In de brief die ze stuurde staat even heel kort vertaald alleen maar "zuur voor je, kijk op de website van de overheid hoe je je kunt wapenen tegen verder misbruik, joe joe "

[Reactie gewijzigd door useruser op 29 augustus 2025 10:12]

Liegebeest @useruser • 29 augustus 2025 12:02

Meldplicht is er vanuit de AVG, maar dat omvat niet meteen aangifte bij de politie. Het zijn twee aparte dingen.

drdelta @useruser • 29 augustus 2025 10:22

Ik vind het vooral schokkend dat het onderzoek zonder aangifte gestart is door de politie. Ik dacht dat aangifte doen volgens AVG verplicht was? Vooral in een dergelijke mega zaak kan ik me niet voorstellen waarom er geen aangifte gedaan is.

Hopelijk komt er een strafrechtelijke vervolging van (de mensen achter) Clinical Diagnostics, want dit is natuurlijk ongekend.

In de brief die ze stuurde staat even heel kort vertaald alleen maar "zuur voor je, kijk op de website van de overheid hoe je je kunt wapenen tegen verder misbruik, joe joe "

Ja, absurd. Onveilige verwerking en opslag van de meest persoonlijke medische data, maar vervolgens 0 verantwoordelijkheid nemen, en het afschuiven op de samenleving.

Cobalt @drdelta • 29 augustus 2025 11:59

Uh, de daders zijn de randsomware afpersers. Als een dief inbreekt en je laptop jat dan is de dief de dader, niet de eigenaar van de woning.

drdelta @Cobalt • 29 augustus 2025 17:10

Als die laptop de medische gegevens van 941.000 Nederlanders bevat, en de dief kan daar zonder wachtwoord oid bij, dan is wat mij betreft de eigenaar van die laptop ook schuldig aan dat datalek.

Pieter-Bas @drdelta • 29 augustus 2025 12:41

Ja, absurd. Onveilige verwerking en opslag van de meest persoonlijke medische data, maar vervolgens 0 verantwoordelijkheid nemen, en het afschuiven op de samenleving.

Het is voorlopig nog niet vestgesteld dat Clinical Diagnostics de wet heeft overtreden. Vooralsnog is het bedrijf slachtoffer van een inbraak waarbij gegevens zijn gestolen.

Natuurlijk is het bij elke inbraak waarbij iets waardevols wordt gestolen zaak om te bekijken of de beveiliging beter kan, of dat de manier van bewaren (online/offline) beter en veiliger kan, maar zelfs als het beter kán betekent het niet dat degene van wie de data gestolen is per definitie nalatig is en aansprakelijk is.

Dat er zo lang is gewacht met het publiceren van het lek is m.i. wel verkeerd. Ik snap dat je niet naar buiten wil treden met meer vragen dan antwoorden, maar je wil toch echt zo snel mogelijk je klanten de kans geven zich te beschermen tegen misbruik van hun data, zelfs als dat enorm veel onrust geeft. Maar ik zou liever een bericht de deur uit moeten gooien dat een aangekondigd lek beperkt is tot slechts de helft van m'n klanten, dan dat ik moet publiceren dat er 200.000 meer klanten betrokken zijn dan wat ik weken te laat heb aangekondigd.

DarthSjaak @drdelta • 29 augustus 2025 10:31

Dat zou wel eens tijd worden dat er iemand van Clinical Diagnostics tot verantwoording wordt geroepen. Fouten kunnen gemaakt worden, maar als blijkt dat er vanwege de kosten is bespaard op beveiliging, dan moet er een voorbeeld gesteld worden.

DataMan @DarthSjaak • 29 augustus 2025 11:27

Er zijn inmiddels drie instanties een onderzoek gestart: OM, Inspectie en AP. Gun ze de tijd om hun werk goed te doen.

drdelta @DarthSjaak • 29 augustus 2025 10:38

Fouten kunnen gemaakt worden, maar als blijkt dat er vanwege de kosten is bespaard op beveiliging, dan moet er een voorbeeld gesteld worden.

Nouja, niet alleen dat. Waarom moet persoonlijke en medisch herleidbare data van 900.000 mensen vanaf het internet toegankelijk zijn, 8 jaar na dato? Dat kun je toch niet rijmen met verantwoordelijke risico beperking.

@drdelta • 30 augustus 2025 06:29

Wie zegt dat de data vanaf het internet toegankelijk was?

wiseger @DarthSjaak • 29 augustus 2025 10:49

Het is zoals @drdelta terecht stelt, niet alleen een kwestie van beveiliging. Het gaat er ook om dat als je dat langdurig in retentie gaat bewaren, waarom je dat in een online systeem zou willen doen in plaats van een offline systeem.

Frank Kroon @wiseger • 29 augustus 2025 11:02

1 systeem is makkelijker, en goedkoper

wiseger @Frank Kroon • 29 augustus 2025 11:09

In dat geval zou het een kosten overweging geweest die tot dit data lek heeft kunnen leiden.

Als dat echt zo is, dan lijkt me een zeer hoge boete wel op zijn plaats, dan begrijpen bedrijven dat de kosten van een data lek vele malen hoger zijn dan een goede data retentie oplossing.

DarthSjaak @wiseger • 29 augustus 2025 11:47

Een boete voor een bedrijf betekent meestal dat de consument indirect betaalt door hogere prijzen. De directie voelt dat amper. Het wordt tijd dat individuen aansprakelijk worden gesteld, want het zijn toch meestal dezelfde personen die dit soort fratsen uithalen.

WargamingPlayer @DarthSjaak • 29 augustus 2025 13:22

Wie ga je dan verantwoordelijk stellen?

De CISO want die moet toezien op de procedures?
De Manager van de IT medewerker omdat hij waarschijnlijk toestemming heeft gegeven om niet te patchen?
Of de beheerder die niet heeft gepatched om onduidelijke redenen?
Misschien de directie omdat deze niet gecontroleerd hebben of alle procedures zijn gevolgd?

Het grote probleem is, wat als het bedrijf procedures heeft en er zijn mensen welke deze niet heeft opgevolgd?

Ik doe heel veel met SOC 2, ISO en andere certificering. En daarin is alles ook altijd op orde. Procedures zijn ingeregeld, middelen zijn er, maar dan gaat het fout omdat een beheerder net even niet lekker in zijn vel zat en dacht, volgende maand. Of de change manager die zei, we hebben een grote database migratie, kun je even een week wachten met patchen?

Wat wanneer er straks gewoon in het systeem een change staat met de opmerking: uitgesteld in verband met ….

In complexe omgevingen even ongepland patchen is ook geen oplossing. Want misschien zou er dan een ander probleem ontstaan zijn en dan was dat nieuws geweest.

Zolang er geen uitslag is over hoe het heeft kunnen gebeuren dan kunnen we niet eens nadenken over schuldvraag. We kunnen alleen nadenken over hoe we het kunnen voorkomen. Maar ook dat is speculatie.

Er zijn natuurlijk ook andere scenario’s mogelijk:

Bijvoorbeeld alles op orde qua procedures, en tijdens de kwartaal RM komt naar boven dat de Netscalers een risico lopen en dat er budget nodig is voor upgrade, veiliger maken, hiervoor wordt aangeraden om bijvoorbeeld de boel dubbel uit te voeren zodat patchen zonder downtijd mogelijk is en een deftige IDS er voor te zetten. En dat is door directie afgewezen en nu mocht het niet gepatched worden omdat downtime niet uit kwam, dan is het een heel ander verhaal.

drdelta @WargamingPlayer • 29 augustus 2025 13:54

Wie ga je dan verantwoordelijk stellen?
De CISO want die moet toezien op de procedures?
De Manager van de IT medewerker omdat hij waarschijnlijk toestemming heeft gegeven om niet te patchen?
Of de beheerder die niet heeft gepatched om onduidelijke redenen?
Misschien de directie omdat deze niet gecontroleerd hebben of alle procedures zijn gevolgd?

Ik zou beginnen met de directie, want die is uiteindelijk bestuurlijk aansprakelijk, en persoonlijk aansprakelijk bij bewezen wanbeleid (zoals grove nalatigheid).

Maar goed, volgens de lettertjes van de wet zal het ongetwijfeld vast wel weer niet verboden zijn om de medische gegevens van 941.000 mensen gestolen te laten worden door ze onveilig 8 jaar na dato nog via het internet toegankelijk te hebben. En de samenleving huilt, terwijl we 941.000 slachtoffers rijker zijn, en de mensen achter dit bedrijf lachend in hun miljoenen zwemmen.

Mathijs Kok @drdelta • 30 augustus 2025 13:27

en de mensen achter dit bedrijf lachend in hun miljoenen zwemmen.

Geef daar eens een aanwijzing voor? Of is de onderbuik de auteur hier?

Het is ronduit schandalig dat zo veel tweakers al hun strenge oordelen klaar hebben en zich niet schamen om onbewezen beschuldigingen rond te sturen terwijl we nog geen enkel idee hebben wat er hier aan de hand is. Sommigen van de luidste stemmen hebben niet eens een idee dat de overheid eisen heeft voor bewaartermijnen en het gebruik van BSN. Dit is een ernstige hack, juist daarom moeten we terughoudend zijn met roeptoeteren.

De bestuurders van CD zwemmen niet lachend in hum miljoenen, ik ben er zeker van dat ze zich enorm druk maken over dit probleem en niet veel gelachen hebben de laatste weken.

Raphaelo @Mathijs Kok • 31 augustus 2025 07:48

[...]

Geef daar eens een aanwijzing voor? Of is de onderbuik de auteur hier?

De bestuurders van CD zwemmen niet lachend in hum miljoenen, ik ben er zeker van dat ze zich enorm druk maken over dit probleem en niet veel gelachen hebben de laatste weken.

En wat is jouw aanwijzing daarvoor? Of ook onderbuik?

bzzzt @DarthSjaak • 29 augustus 2025 13:54

Ok, stel dat je de directie hoofdelijk aansprakelijk maakt, wat denk je dat dan verandert?

Ik voorzie vooral investeringen in de 'papieren werkelijkheid' zodat ze aan kunnen tonen 'alles' gedaan te hebben, ook al vereist een echte security cultuur veel meer dan alleen vinkjes zetten.
Of je daarmee de kans op dit soort hacks echt vermindert is een twijfelgeval.

@wiseger • 30 augustus 2025 06:30

Waarom zou een boete noodzakelijk zijn, als er geen eisen is om dit te doen?

DarthSjaak @Frank Kroon • 29 augustus 2025 11:04

Dat zal het inderdaad wel zijn. Data hoort van een "online" systeem na een tijdje naar een archief systeem te gaan met de juiste retentie. Maar dat kost geld en tijd.....en iemand is verantwoordelijk voor die beslissing.

MennoE @drdelta • 29 augustus 2025 10:59

Het onderzoek van het OM is gericht op wie de gegevens heeft gestolen. Dat is denk ik iets anders dan of deze organisatie fouten heeft gemaakt bij de beveiliging. Al zal informatie daarover mogelijk ook bekend worden door het onderzoek.

Ootje70 @useruser • 29 augustus 2025 10:28

Je moet het lek binnen 72 uur (voorlopig) melden. Bij een lek als dit zou je als organisatie een voorlopige melding moeten doen binnen 72 uur. Voor de definitieve melding is geen termijn bepaald, dat moet zo snel mogelijk. In dit geval moesten ze forensisch onderzoek laten uitvoeren om de grootte te bepalen en inzicht in de betrokkenen en type gelekte gegevens te krijgen. Dat kost tijd en ondertussen kun je vaak niet echt informatie aan de betrokkenen geven anders dan dat ze mogelijk betrokken zijn en dat je ze op de hoogte houdt. Maar je hoeft geen aangifte bij de politie te doen maar het kan wel. Dan kunnen ze bepalen of ze wel of geen onderzoek gaan doen want ook voor de politie heeft dit vaak geen echte prioriteit is mijn ervaring

Economie en maatschappij
Datalek

29 augustus 2025 10:08

Dat maakt dus 715.000 mensen voorlopig het slachtoffer van dit kek.

Echter heeft nu.nl nog iets neer info :

In de gehackte systemen van Clinical Diagnostics in Rijswijk staan de gegevens van ruim 941.000 mensen die sinds 2017 hebben meegedaan aan het bevolkingsonderzoek. Het is niet uit te sluiten dat de gegevens van al die vrouwen zijn gestolen. Daarom krijgen ze in de komende weken allemaal een brief met informatie.

Zie https://www.nu.nl/tech/6367189/lek-bevolkingsonderzoek-groter-dan-gedacht-mogelijk-data-alle-941000-deelnemers-gelekt.html

Het zou dus nóg breder kunnen worden dan die 715.000 waarvan het nu bekend is.

Qua omvang is dit op medisch gebied volgena mij één van de grootste datalekken uit de Nederlandse geschiedenis?

Hopelijk zijn de specifieke daders nog te achterhalen en te vervolgen.

WillySis @wildhagen • 29 augustus 2025 12:21

Wat mij verbaast in niet alleen de omvang van de hack, maar vooral hoeveel gedetailleerde gegevens er van iedere patiënt worden bijgehouden. Natuurlijk, het is gemakkelijk, maar het maakt je ook aantrekkelijk voor hackers. Ik zie liever een strikte "need to know" mentaliteit. Voor gegevens als dit zijn BSN nummer en huisarts of aanvrager eigenlijk al voldoende. Huisarts of aanvragen kan op basis van het BSN nummer de overige gegevens aan de patiënt koppelen en de informatie met de patiënt bespreken.

Als het instituut rechtstreeks met de patiënt moet communiceren, dan zijn de NAW gegevens natuurlijk ook noodzakelijk, maar er is geen nut om die langdurig te bewaren. Op het moment dat het onderzoek is afgerond en de finale communicatie is geweest zijn de NAW gegevens niet meer noodzakelijk. Men kan de patiënt nog altijd via huisarts of aanvrager benaderen. Dat zijn dan gelijk gekwalificeerde personen om medische informatie goed over te brengen.

Sorcerer8472 @WillySis • 29 augustus 2025 12:36

Ja en nee. Strikt genomen is alleen de BSN nodig, maar het grote nadeel is dat je daar een typo in kunt maken en mogelijk verkeerde gegevens aan de verkeerde persoon kunt koppelen. Je zou eigenlijk een soort controlecode daarvoor moeten toevoegen om dat mogelijke probleem uit te sluiten, of een speciaal ID waar controlegetallen in zitten... en elk systeem dat die getallen gebruikt zou bij elke retrieve/store operatie een check moeten doen of het gekoppeld is aan de juiste naam.

Maar zelfs als je het BSN koppelt, dan nog zijn er manieren om die data aan elkaar te linken. Kan me niet voorstellen dat er niet ergens een BSN-database rondzwerft die een flink deel van de NL bevolking bevat. Alleen al dat het BSN vroeger in het BTW-nummer van eenmanszaken zat bijvoorbeeld...

argonvex @Sorcerer8472 • 29 augustus 2025 13:03

Een BSN heeft natuurlijk al een ingebouwde correctiecode, namelijk de elfproef. Dus de kans dat een typfout leidt tot een ander geldig BSN is klein. Niet onmogelijk, maar wel onwaarschijnlijk.

WillySis @Sorcerer8472 • 29 augustus 2025 13:13

Er zijn zelfs meerdere databases die BSN en NAW gegevens aan elkaar koppelen. Wil een hacker wat met een database waar alleen het BSN als identificatie wordt gebruikt, is die database nauwelijks nog iets waard. Men zal dan eerst nog een database moeten vinden en hacken waarmee de BSN nummers aan NAW gegevens worden gelinkt. Dat is wel heel veel extra werk en dan kom je wel in databases waarvan men weet dat die goed beschermd moeten worden. Hacken wordt dan minimaal dubbel zo moeilijk en de hack van de medische gegevens worden veel minder waard, want daar is veel minder interesse voor dan voor alleen de NAW gegevens uit en BSN database.

@WillySis • 29 augustus 2025 13:01

Je vergeet alleen facturatie naar de zorgverzekering, second opinions, ook daarvoor zijn gegevens gewoon noodzakelijk.

@Rolfie • 29 augustus 2025 15:33

Dat wordt allemaal niet door dit bedrijf gedaan. Ze werken in opdracht van Bevolkingsonderzoek Nederland, dus daar gaat de rekening heen.

J_van_Ekris @B64 • 29 augustus 2025 17:14

Dat wordt allemaal niet door dit bedrijf gedaan. Ze werken in opdracht van Bevolkingsonderzoek Nederland, dus daar gaat de rekening heen.

Second opinions, beantwoorden van vragen van behandelend oncologen moet wel degelijk door dit lab gebeuren, en dan is een BSN in praktijk niet voldoende, zeker niet als dat telefonsich gebeurd.

Raphaelo @J_van_Ekris • 31 augustus 2025 07:50

Waarom is een BSN dan niet voldoende? Zeker telefonisch?

@B64 • 29 augustus 2025 18:38

Zo werkt het meestal niet met laboratoriumonderzoeken. Die zijn gewoon een onderdeel van de medische diagnose. Nu zou dit in dit geval wel zo kunnen zijn, omdat dit volledig vanuit de overheid komt, maar dan nog, BSN moet gebruikt worden bij communicatie.

Als ik mijn bloed laat prikken bij een Lab vanuit de huisarts, gaat bijvoorbeeld de declaratie ook direct naar mijn zorgverzekering.

drdelta @wildhagen • 29 augustus 2025 10:16

Qua omvang is dit op medisch gebied volgena mij één van de grootste datalekken uit de Nederlandse geschiedenis?

Dit is toch gewoon het grootste Nederlandse datalek ooit?

@drdelta • 29 augustus 2025 10:29

Waarschijnlijk is de ouderwetse telefoongids het grootste datalek qua bereik (namen en telefoonnummers van alle adressen in Nederland), maar qua gelekte medische informatie lijkt mij dit wel de grootste tot nu toe inderdaad.

Bender @Skit3000 • 29 augustus 2025 10:51

Eigenlijk is dat wel interessant.

In het begin van het internet moest je anoniem zijn want het was gevaarlijk. Maar we hadden een telefoonboek waar namen, adres en telefoonnummers in staan.

Nu zetten we alles online met social media, maar de telefoonboek zoals toen zou nu niet meer kunnen vanwege privacy.

[Reactie gewijzigd door Bender op 29 augustus 2025 10:52]

dr86 @Bender • 29 augustus 2025 11:23

Naar mijn mening was het begin (niet het hele prille begin, maar eind jaren 90/begin 2000) juist helemaal niet anoniem.

Jongeren van toen mijn leeftijd (tieners/twintigers) hadden al hun profielen open en bloot staan.

Hyves, partyflock, cu2 en dergelijke. Veelal met email, telefoonnummer voor en achternaam en woonplaats.

Ik zelf ook omdat dat de manier was om met anderen te contacten en er in iedergeval niet op grote schaal misbruik van gemaakt werd

Economie en maatschappij
Datalek
Security

@dr86 • 29 augustus 2025 12:15

En kwam je in een chatroom kreeg je regelmatig "ASL?" toegestuurd en daar antwoorde je ook gewoon op met leeftijd, geslacht en woonplaats.

jaapzb @Skit3000 • 29 augustus 2025 11:20

BSN is ook gelekt...

Niemand_Anders @Skit3000 • 29 augustus 2025 11:48

Voor het telefoonboek gaf je toestemming voor publicatie. Zonder publicatie had je een 'geheim nummer'.
Geen datalek dus.

Liegebeest @Niemand_Anders • 29 augustus 2025 11:59

Voor zover ik weet was het telefoonboek altijd opt-out. Je gaf helemaal geen toestemming, je moest t expliciet aangeven als je er niet in wilde.

Niemand_Anders @Liegebeest • 29 augustus 2025 13:29

Ik kon bij het aanvragen van een telefoonlijn in '92 direct aangeven of ik een geheim nummer wilde of niet.
Zelfs als je je expliciet moet afmelden, geef je nog steeds toestemming. Vermelding in het telefoonboek heeft tot de jaren 80 zelfs als een plus op het formulier gestaan. Was een verlening van de 'Wie tot 10 kan tellen, kan heel de wereld bellen' campagne. Toen ik in '94 de kikker haalde, werd mij zelfs op het postkantoor gevraagd of ik wel of niet in het telefoonboek wilde staan. Ik had toen ook direct voor 25 gulden mijn brommertrijbewijs gekocht.

911GT2 @Liegebeest • 29 augustus 2025 12:19

Dit klopt je moest actief afmelden. En dat ging niet heel eenvoudig.

Klaus_1250 @Skit3000 • 29 augustus 2025 13:51

Waarom is dat een datalek?

Het was in het verleden heel normaal om naam, adres en telefoonnummer te publiceren. Er waren zelf adresboeken van gemeentes die elk jaar werden uitgegeven waarin je alle inwoners kon vinden (handig als je stamboomonderzoek doet).

Vroeger hadden mensen er ook helemaal geen probleem mee. Ga niet zeggen dat het vroeger beter was, maar digitalisering en internationalisering heeft ook wel echt zijn nadelen.

@Klaus_1250 • 29 augustus 2025 14:16

Datalek had daar ook tussen aanhalingstekens moeten staan. In de huidige tijd zou dit als datalek tellen.

Cyberpuppy @Klaus_1250 • 29 augustus 2025 14:24

Klopt. En wij deden ook nooit een deur op slot. Je kon overal gewoon binnenlopen.

Helaas zijn de tijden veranderd. Tegenwoordig worden mensen niet alleen online lastig gevallen, maar voor je het weet staat er ook iemand aan je voordeur. Kassameisjes met naamkaartje worden op het internet opgezocht en lastig gevallen, en ga zo maar door.

Dus helaas moet je in deze tijden je gegevens wel afschermen.

Economie en maatschappij

@drdelta • 29 augustus 2025 10:28

Dat ligt er aan wat je onder Nederlands datalek verstaat.

Het datalek van Facebook in 2019 had informatie van 5 miljoen Nederlanders.

Bender @lenwar • 29 augustus 2025 10:49

op medisch gebied

Staat in de reactie

DarthSjaak @drdelta • 29 augustus 2025 10:35

Misschien niet het grootste maar wel met de grootste impact. Uitslag van een kankeronderzoek is toch wat ernstiger dan een password van 10 jaar geleden.

M3m3nt0m0r1 @wildhagen • 29 augustus 2025 10:11

Ga er maar vanuit dat alles gestolen is. Alle gegevens van iedereen die daar ooit getest is. Vrouw/Man/....
Dat bedrijf kan net zo goed sluiten. Ze zullen nooit meer testen krijgen voor onderzoeken.

Hawkysoft @M3m3nt0m0r1 • 29 augustus 2025 10:39

Helaas, zo denken jij en ik erover... maar de gemiddelde burger gaat er gewoon weer naar toe om te testen... "maar ik heb toch niks te verbergen?"

gielie @Hawkysoft • 29 augustus 2025 11:00

De "gemiddelde burger" heeft hier helemaal geen keuze in. De testen die zij doen worden vanuit ziekenhuizen/(huis)artsen/ of ander soortige hierheen gestuurd omdat het testen bij dat lab goedkoper is dan in het eigen (ziekenhuis) lab.

@gielie • 29 augustus 2025 12:25

Dat zal wel kloppen, toch wat @Hawkysoft zegt klopt ook. De gemiddelde Nederlander kan het niet gek genoeg zijn vwb datalekken, want ze hebben niets te verbergen denken ze zelf. Ook onder dit nieuws (niet op Tweakers maar elders) genoeg van dat soort reacties gelezen.

gielie @Aardwolf • 29 augustus 2025 13:33

Ik lees dat nergens, wat ik wel lees is dat dit gezegd wordt over de uitslagen die bij dit lek horen of bij facebook ed die de privicy niet zo nauw nemen.

Wat eigenlijk nog een puntje van kritiek is, is dat de meeste mensen niet eens weten dat hun data hier ligt omdat de opdrachtgever (lees behandelend arts) deze info niet deelt of hoeft te delen.

@gielie • 29 augustus 2025 13:55

Klopt ja, Facebook wordt dan ook vaak in 1 zin genoemd. Maar wat heeft Facebook met dit soort lek te maken? vind het nogal debiel eerlijk gezegd en vrij typisch weer dat whataboutisme. Want Facebook slaat geen BSN, adres of medische gegevens op. Ook heb je daar volledige eigen keuze het te gebruiken en in welke mate.
Dus om nu te doen "het maakt niet veel uit want Facebook", dat is toch compleet wat anders? daarnaast ook niet gezegd dat bijna 1 miljoen mensen uit dit lek allemaal Facebook gebruiken of niet privacy-bewust zijn.

CasualKnaller @gielie • 31 augustus 2025 15:24

Dit soort instanties hebben vaak een regionaal monopolie. Bloedprikken blij het lokale 'gezondheidcentrum', zelf een afspraak inplannen en jezelf legitimeren
Dit soort versnipperling werkt dit soort lekken in de hand, zal nog veel vaker gebeuren.

AibohphobiA BoB

@Hawkysoft • 29 augustus 2025 14:30

Helaas, zo denken jij en ik erover... maar de gemiddelde burger gaat er gewoon weer naar toe om te testen... "maar ik heb toch niks te verbergen?"

Ik ben bang dat de 'gemiddelde burger' juist denkt dat ze er beter aan doen om het onderzoek niet te laten doen. Zeker voor vrouwen zijn de onderzoeken vaak geen pretje.
Het gevolg is dat er weer meer gevallen van kanker onontdekt blijven.

Verder denk ik dat dit lek zoveel commotie heeft veroorzaakt dat het lab of gaat sluiten, of snel verbeteringen zal doorvoeren. Daarna zullen ze waarschijnlijk de beste zijn in het beschermen van de gegevens en moet je dus juist daar zijn.

Wat zeker niet helpt is een rellerige Telegraaf (zie onnodige fipo) die het 'dataroof' noemt i.p.v. een datalek. Technisch is het hetzelfde, maar de toon is onnodig en onwenselijk bij een dergelijk gevoelig onderwerp.

bzzzt @M3m3nt0m0r1 • 29 augustus 2025 13:41

Ze zullen nooit meer testen krijgen voor onderzoeken.

Dat zal er toch echt aan liggen of er een gezonde concurrentie is die 'even' een paar honderdduizend testen per jaar er bij kan pakken en de ICT wel op orde heeft. Het alternatief 'helemaal niet meer testen' is ook niet wenselijk.

nervwrecker @wildhagen • 29 augustus 2025 10:22

Grootste weet ik niet alle eigenaars gegevens van alle autobezitters in Nederland waren een paar jaar geleden ook gelekt/gestolen.

nieuws: Gegevens van miljoenen Nederlandse autobezitters zijn te koop op forum

en ook:

nieuws: Gegevens van 800.000 elektrische auto's blootgesteld bij Volkswagen-lek

en zo nog meer van dit soort gevallen je kan er dus wel bijna zeker vanuit gaan dat vrijwel iedereen zen gegevens minimaal 1x gelekt dan wel gestolen zijn.

drdelta @nervwrecker • 29 augustus 2025 10:35

Grootste weet ik niet alle eigenaars gegevens van alle autobezitters in Nederland waren een paar jaar geleden ook gelekt/gestolen.

nieuws: Gegevens van miljoenen Nederlandse autobezitters zijn te koop op forum

Die 2 claims kloppen dus niet, lees je eigen artikel maar na.

Maar je hebt verder waarschijnlijk wel gelijk, het lijkt er op dat dat waarschijnlijk een groter datalek was.

en ook:

nieuws: Gegevens van 800.000 elektrische auto's blootgesteld bij Volkswagen-lek

Er zijn in Nederland niet eens 41.000 elektrische Volkswagens als we deze RDW data moeten geloven. Die 800.000 gaat over heel Europa. Uit dat Tweakers artikel: "In Nederland gaat het om 61.000 auto's".

[Reactie gewijzigd door drdelta op 29 augustus 2025 10:36]

nervwrecker @drdelta • 29 augustus 2025 11:00

ja het gaat erom dat iedereen zijn gegevens wel een keer gelekt zijn... het zijn slechts een aantal voorbeelden van grote hacks exacte aantallen, who knows...

Nedje @wildhagen • 29 augustus 2025 10:56

Dat zegt Tweakers toch ook gewoon, al dan niet met iets andere woorden?

Clinical Diagnostics kan niet bevestigen of dit de volledige omvang van het datalek is.

Het lijkt me in de huidige situatie dan ook beter om er van uit te gaan dat het foute boel is, voor alle vrouwen waarvan de test uitslagen door die partij zijn verwerkt..

Rogers @wildhagen • 29 augustus 2025 11:31

Het corona datalek was miljoen mensen.
https://opgelicht.avrotro...nummers-en-adresgegevens/

Gelukkig zijn er mensen verantwoordelijk gehouden...

[Reactie gewijzigd door Rogers op 29 augustus 2025 11:32]

TweakerIsMyName @wildhagen • 29 augustus 2025 12:20

Sturen ze ook een brief als men verhuisd is (misschien zelfs naar het buitenland)? Misschien is 'slachtoffer' wel overleden en partner inmiddels verhuisd.

Men zou toch ook zelf aan de hand van bijv BSN en geboortedatum (hash in db) moeten kunnen checken of data gelekt is.

Datalek
Economie en maatschappij

@wildhagen • 29 augustus 2025 14:53

Uit geen enkel bericht valt nmm tot nu toe op te maken dat er een redelijke verwachting was dat men wel genoeg controle over alle persoonsgegevens had. Dat is juist ook waarom er bij twijfel over de omvang van een datalek al verplicht een melding moet worden gedaan bij de toezichthouder. Het hoort vanaf het begin dus al aangenomen te worden dat alle gegevens gelekt zijn, niet slechts een deel. Het enige verschil is dat het bedrijf nu pas enige zekerheid heeft hoeveel het zelf in aantal nog kan (laten) achterhalen.

roelboel 29 augustus 2025 11:05

Ik las dit artikel op NRC en kan me er echt over opwinden: https://www.nrc.nl/nieuws/2025/08/25/waarom-trokken-de-afpersende-hackers-hun-losgeldeis-opeens-in-en-andere-vragen-over-de-datalek-van-clinical-diagnostics-a4904010

Iedereen wijst naar elkaar en niemand is verantwoordelijk want de papieren werkelijkheid is in orde want er is een "Functionaris Gegevensbescherming" en andere nietszeggende bobo's met bullshitbanen die niets kunnen behalve zich juridisch indekken. Wat een blamage.

DataMan @roelboel • 29 augustus 2025 11:44

Ik kan het artikel niet lezen, maar wat verwacht je? Als de omvang van de hack nog niet duidelijk is, als er inmiddels drie instanties onderzoek doen? Wat als je iets communiceert dat je later weer moet intrekken? Je kan de krantenkoppen al vast invullen.

Dan is het wijsheid om niets te communiceren en te wachten tot er duidelijkheid is. "Als je geschoren wordt moet je stilzitten" en dat is het beste wat het lab nu kan doen.

Er nog nooit iets goed gekomen uit hijgerigheid. Het is naar voor betrokkenen, maar wacht de uitslag van de onderzoeken gewoon af, zodat helder is wat er nu precies allemaal buit gemaakt is en wat dit betekent.

Ik heb links en rechts veel meningen gelezen over hoe het lab de gegevens heeft opgeslagen, maar ik heb nergens nog kunnen lezen hoe het daadwerkelijk geregeld is en langs welke weg de hack gelopen is. Misschien zijn de gegevens buit gemaakt ondanks allerlei beveiligingsmaatregelen en doordacht ontwerp. Misschien is het allemaal een grote amateuristische bende. We weten het niet en zolang we het niet weten is alles speculatie.

BCC @roelboel • 29 augustus 2025 11:18

Yup - de wetegeving loopt hier ook enorm in achter. Als ze nou eens beginnen met het verbieden en/of strafbaar stellen van het betalen van deze criminelen, dan is dat verdienmodel direct afgelopen.

TijsZonderH Nieuwscoördinator @BCC • 29 augustus 2025 14:23

Dan gaan de betalingen gewoon ondergronds door. Er is genoeg onderzoek gedaan dat zegt dat dat juist averechts werkt. Daar hebben we eerder al een artikel over geschreven: review: Losgeldverbod voor ransomware: het gevoel zegt ja, het onderzoek zegt nee

magician2000 @TijsZonderH • 29 augustus 2025 22:21

---

[Reactie gewijzigd door magician2000 op 29 augustus 2025 22:24]

kimborntobewild @TijsZonderH • 29 augustus 2025 23:51

Of het averechts werkt of niet: het is fout om in te gaan op de eisen van de afpersers. Ik ben het met BCC eens, alleen nog sterker: het moet zelfs verboden worden überhaupt te reageren op afpersers. Als bedrijven stiekum ondergronds toch betalen, en het wordt ontdekt, dan moet het bedrijf worden opgeheven en/of overgenomen door de overheid.

Ik heb je artikel daar gelezen, en niets daaruit ondersteunt naar mijn mening dat je moet onderhandelen met de zware criminelen. Juist het tegenovergestelde.

[Reactie gewijzigd door kimborntobewild op 30 augustus 2025 00:07]

Raphaelo @TijsZonderH • 31 augustus 2025 07:53

Het feit dat wetgeving niet zou werken heeft Nederland nog nooit tegengehouden.

Edit, heb je linkje gelezen, maar dat gaat enkel over of verzekeringen voor ransomware nuttig zijn...

[Reactie gewijzigd door Raphaelo op 31 augustus 2025 07:56]

loki504 @BCC • 29 augustus 2025 14:08

Denk je dat? Belangrijke/gevoelige info van bijna 1 miljoen NL vrouwen zal alsnog aardig wat opleveren op het darkweb. Uiteraard leverd afpersen nog meer op. Maar ergens denk ik je prima van kan leven

kimborntobewild @kdekker • 30 augustus 2025 00:11

stel dat je het verbiedt: een bedrijf kan daardoor op of over de rand van failliesement komen

Des te beter. Bedrijven die afpersers stimuleren in hun criminele gedrag, mogen van mij failliet gaan. Je wilt bedrijven die dit criminele gedrag niet alleen in stand houden maar zelfs stimuleren, helemaal niet hebben.

kdekker @kimborntobewild • 30 augustus 2025 08:32

Ik had het over het slachtoffer. Stimuleren in crimineel is dan wel sterk framen. In de meeste gevallen is het onkunde, te weinig mensen, etc. Wat je nu doet is het slachtoffer de schuld geven. Dat er van nalatigheid sprake kan zijn, is evident, daarmee ben je geen uitlokker/dader. De hackers zijn dader.

[Reactie gewijzigd door kdekker op 30 augustus 2025 08:35]

Datalek
Economie en maatschappij

@roelboel • 29 augustus 2025 14:13

Dus omdat een functionaris persoonsbescherming en een toezichthouder opmerken wat deze functies wel en niet zijn en mogen noem je het naar elkaar wijzen en bullshit banen? Als een huisarts uitleg geeft dat deze toch echt geen gespecialiseerd kno-arts is dan ga je het toch ook niet zomaar negatief afdoen als naar elkaar wijzen en bullshitbanen? Dan lijkt me toch eerder de vraag waarom je zelf verwachtingen hebt die kennelijk niet kloppen?

Het nieuws is dat het bedrijf tot de conclussie komt dat er van veel meer personrn hun gegevens niet goed beschermd zijn. Waarbij men eerder de indruk wekte dat het er minder zouden zijn. De vraag lijkt me eerder hoe het komt dat kennelijk niemand in het bedrijf weet om hoeveel gegevens het gaat. En waarom er mensen zijn die kennelijk bewust of onbewust besluiten dat het beter is de personen minder serieus te nemen dan de eigen voorkeuren en belangen.

Vaevictis_ @roelboel • 29 augustus 2025 15:27

Logisch bij dit soort blunders wil niemand verantwoordelijkheid nemen, hoe pijnlijk dat ook is. Want verantwoordelijkheid nemen staat synoniem aan schuld bekennen. Natuurlijk zijn er wel verantwoordelijken je hebt de data processor dat is het lab daar is iets heel erg mis gegaan. De FG is wettelijke taak en die had samen met de privacy officer ook Bevolkingsonderzoek Nederland moeten inlichten niet alleen de AP.

Martinez- @roelboel • 29 augustus 2025 15:43

Ik zou een FG juist niet als een bullshitbaan omschrijven, maar als essentiële rol in de verwerkingen.

Bierkameel 29 augustus 2025 10:22

Mijn vrouw heeft net deze week zo'n dik pakketje van Bevolkingsonderzoek Nederland ontvangen maar door deze hack durft ze er niet meer aan mee te doen.

Ik snap ook niet waarom dit lab al die gegevens nodig had, enkel een BSN is toch voldoende want die is uniek.

wiseger @Bierkameel • 29 augustus 2025 10:53

BSN zou geeneens nodig hoeven zijn. Gewoon een uniek nummertje dat naar je huisarts gecommuniceerd is, kan meer dan genoeg zijn. Je huisarts ontvangt de uitslag op dat nummertje en koppelt het aan de juiste patiënt.

Het is juist die luiheid van we pakken maar de BSN et cetera, dat is handig, die is uniek, wat elke keer tot problemen leidt. Gewoon minimale gegevens vertrekken zodat het onderzoek anoniem gedaan wordt en alleen de huisarts weet over welke patiënt het gaat en je hebt al deze ellende niet.

Want let wel, de huisarts is de bewaarder van je medische dossier.

Economie en maatschappij
Datalek
Security

@wiseger • 29 augustus 2025 12:23

En dan ontstaat er weer een kans op verwisseling van nummers met alle gevolgen vandien. Dan moet er weer ergens een link liggen tussen die nummers en het BSN en is die link ooit weg, dan worden de resultaten ook waardeloos.

Stel dat een labo ineens merkt dat er een fout is gemaakt in de resultaten en zij moeten alle betrokken personen daarover informeren, hoe gaan zij dit doen als zij niet weten van wie de resultaten zijn? Dan ga je zeggen: men kan dit melden aan de arts en die kan het doorgeven aan de patient. Maar wat als die arts ondertussen gestopt is met werken? Of de zorginstelling die het deed is overkop gegaan? Wat als de link tussen dat nummertje en het BSN nergens meer te vinden is?

En dat kan in sommige gevallen een verschil betekenen tussen een normaal leven of een sterk verstoord leven en in het ergste geval zelfs de dood.

Neen, er is een verdomd goede reden dat het BSN bij de resultaten zit. En dat is net geen luiheid.

wiseger @Blokker_1999 • 29 augustus 2025 13:08

De uitslagen gaan ook via de huisarts. Het lab informeert de deelnemers niet zelf m.b.t. de uitslagen van de onderzoeken.

En een BSN heb je niet nodig, NAW met geboortedatum / plaats zouden dan voldoende zijn. Want juist de BSN is zeer gevaarlijk in verkeerde handen, je kan er gewoon toeslagen bij de belastingdienst mee aanvragen.

En je kan ook gewoon een centraal register aanleggen om een medisch ID te koppelen aan een persoon.

Meteen over leven- en dood gaan beginnen is echt een drogreden om BSN te gebruiken.

Crysania @wiseger • 29 augustus 2025 15:51

Ik ben het met je eens dat het eigenlijk niet nodig "zou moeten zijn". Echter de wet schrijft dit wel voor bij communicatie rondom gezondheidzorg:

https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn/bsn-in-de-zorg

dus dat het gebruikt is tsja dat snap ik. dat die gegevens allemaal zo makkelijk gehacked konden worden snap ik dan weer niet. hou dat soort info in ieder geval van elkaar gescheiden en zoek intern het BSN weer op als je met een andere instelling zoals een ziekenhuis of arts gaat communiceren.

intern in je system ook het BSN als identificatie gebruiken is een bad practice. echter verwacht ik dat er hier wel meer bad practices zijn gevolgd...

wiseger @Crysania • 29 augustus 2025 16:13

Dan snap ik helemaal niks van de gegevens redundantie. Als BSN het nummer is dat gebruikt wordt voor unieke identificatie, dan heeft men verder ook helemaal niets nodig in de administraties. Dus waarom koppelen al die organisaties er dan ook de NAW en geboortedatum aan vast?

Dan hadden de lab resultaten gewoon op BSN nummer staan en via het BSN nummer gecommuniceerd worden naar de huisarts of andere partijen?

Maar waarom de overheid hetzelfde nummer wil gebruiken voor de belastingen en toeslagen, voor alles wat met werkgever / werknemers zaken te maken heeft en als meest belangrijkste gegeven in de gehele zorg sector, is mij een compleet raadsel. Dat maakt het nummer juist zo privacy gevoelig en zo gevaarlijk als derden het in handen krijgen.

CasualKnaller @wiseger • 31 augustus 2025 15:31

Niet alles gaat direct via de huisarts, vaak moet de patient zelf een afspraak met een 'lokatie' maken en zichzelf legitimeren. Techniek is niet de enige factor hier....

Klaus_1250 @wiseger • 29 augustus 2025 14:06

Want juist de BSN is zeer gevaarlijk in verkeerde handen, je kan er gewoon toeslagen bij de belastingdienst mee aanvragen

Ik neem aan dat elke organisatie die met BSNs werkt, controleert of er niet mee gefraudeert word. Want BSNs worden al jaren gelekt, dat beperkt zich echt niet tot dit specifiek datalek. Als jij vroeger een VOF oid had, dan bestond jouw BTW nummer gewoon uit je BSN met een toevoeging.

Maar goed, BSN stamt af van Sofi stamt af van fiscaal nummer en in het verleden waren er minder goede regels. Als je bijvoorbeeld naar de nummers van gezinsleden ging kijken, zag je daar ook nog wel een verband. Huidig BSN is volgens mij wel volledig willekeurig.

Martinez- @wiseger • 29 augustus 2025 11:04

Nee, geen luiheid, een wettelijke verplichting.

wiseger @Martinez- • 29 augustus 2025 11:57

Een wettelijke verplichting om BSN nummer op te nemen wanneer een medisch laboratorium onderzoek doet als derde partij?

Dat gaat mijn pet te boven. Weet je toevallig ook welke wet(ten) dat dan zouden zijn?

Martinez- @wiseger • 29 augustus 2025 12:09

Laten we de bewijslast niet omdraaien, daar deze al veelvuldig gedeeld is geworden.

Kan je mij een bron delen waaruit blijkt dat het luiheid is?

Crysania @wiseger • 29 augustus 2025 15:51

https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn/bsn-in-de-zorg

@wiseger • 30 augustus 2025 06:36

Misschien moet je daarom eerst verdiepen in dit soort onderwerpen. Dan zie je hoe compex dit onderwerp is.

Wat sls het lab de data ook weer moeten doorsturen?
Of een second opinion nodig is?

Hoe denk je bijvoorbeeld dat een bloedonderzoek die aangevraagd wordt door een huisarts gedeclareerd wordt bij je zorgverzekering?

@wiseger • 29 augustus 2025 13:06

uniek nummertje

Per huisarts? Per lab?

Je huisarts ontvangt de uitslag op dat nummertje en koppelt het aan de juiste patiënt.

Wat als een lab de data of specimens moet doorsturen, voor verder onderzoek?

Een lab zal ook direct je zorgverzekering declareren, dus daar zal je ook iets voor moeten bedenken.

Hoe zie je dit met een apotheek precies?

wiseger @Rolfie • 29 augustus 2025 13:23

Een zorgverzekering declaratie gaat via je verzekeringsnummer.

Je hebt een voorkeursapotheek. Die ontvangt de recepten op NAW en geboorte datum van de huisarts. Mijn apotheek heeft me nog nooit om mijn BSN gevraagd. Ze vragen altijd naam en geboortedatum.

Als een lab iets door moet sturen, kunnen ze hun eigen identificatie eraan geven. Zo gaat het tenslotte ook als de patiënt bloed of urine afstaat. Wordt er een barcode op de staven geplakt die overeen komen met het verwijsnummer op je verwijzing.

Als jan-en-allemaal in zorgsector continue je BSN nummer van hop naar her sturen, dan begrijp ik wel dat die vroeg of laat uitlekken.

@wiseger • 29 augustus 2025 14:01

Een zorgverzekering declaratie gaat via je verzekeringsnummer.

Nee, je BSN nummer. verzekeringsnummer is gebonden aan je zorgverzekering en gebruiken ze bij de zorgverzekering intern bijvoorbeeld.
De declalatie gaat via je BSN nummer, want daarop kunnen ze je uniek matchen en traceren, waar je verzekerd bent.

Je hebt een voorkeursapotheek. Die ontvangt de recepten op NAW en geboorte datum van de huisarts. Mijn apotheek heeft me nog nooit om mijn BSN gevraagd. Ze vragen altijd naam en geboortedatum.

Weet je dat heel zeker? De kans op fouten is veel te groot, daarnaast is het verplicht om je BSN nummer hiervoor te gebruiken.
Dat ze daar nog nooit omgevraagd hebben, is heel wat anders dan dat ze de data niet hiermee verwerken. De meeste medewerkers hoeven je BSN zelfs niet eens te zien, maar de uitwisseling zal bijna 100% zeker met je BSN gedaan worden.

Als een lab iets door moet sturen, kunnen ze hun eigen identificatie eraan geven. Zo gaat het tenslotte ook als de patiënt bloed of urine afstaat.

Lab declareerd met je BSN nummer, daarmee kunnen ze ook bij de bloedafname controleren dat de persoon die langs komt, ook werkelijk de juiste persoon is.

En het doorsturen hoeft niet weer terug te komen bij het lab, maar kan direct naar de aanvrager doorgestuurd worden. Scheelt veel tijd en mogelijkheid op fouten.

Intern gebruiken ze natuurlijk wel een ander (niet BSN) nummer, maar voor de rest zal alles via een BSN gaan, zodra het verstuurd moet worden.

Wordt er een barcode op de staven geplakt die overeen komen met het verwijsnummer op je verwijzing.

Klopt een intern nummer. Maar zodra je uitslagen gecommuniceerd moeten worden, gebruiken ze je BSN nummer naar je aanvrager toe.

Mathijs Kok @wiseger • 30 augustus 2025 13:14

Als jan-en-allemaal in zorgsector continue je BSN nummer van hop naar her sturen, dan begrijp ik wel dat die vroeg of laat uitlekken.

Dan moet je een polieke partij vinden die de regels wil veranderen. En omdat je BSN enorm veel problemen heeft opgelost gaat data nooit gebeuren.

Ruuuuuubje @Bierkameel • 29 augustus 2025 10:46

Dacht ik ook eerst, maar... Lees even de comments onder de vorige artikelen hierover. Helder uitgelegd door verschillende Tweakers dat die gegevens zelfs verplicht zijn.
Kort: Om medische fouten (patientverwisseling) te voorkomen moeten alle resultaten aan BSN gekoppeld worden.

drdelta @Ruuuuuubje • 29 augustus 2025 11:00

Maar geen enkele partij is verplicht om persoonlijke en medische gegevens via het internet toegankelijk op te slaan.

mareck1 @drdelta • 29 augustus 2025 11:17

En het is ook zeker niet noodzakelijk om alles op 1 plek op te slaan zodat het allemaal makkelijk in 1 keer kan worden gedownload.

Het is gewoon aan alle kanten een geval van criminele incompetentie.

Zentac @mareck1 • 29 augustus 2025 15:31

Dit dus, we hebben het teveel over wat er wel of niet opgeslagen was, en te weinig over hoe dit allemaal in een keer op te vragen was. Was het versleutelt? Was er maar een enkele sleutel nodig om alles te ontcijferen? Wie hadden die mogelijkheid? Het is echt absurd wat hier gebeurt is.

Mathijs Kok @mareck1 • 30 augustus 2025 13:17

Het is gewoon aan alle kanten een geval van criminele incompetentie.

Blijbaar weet jij al hoe deze hack is gedaan (onthou dat we de laatste paar maanden een aantal maal kwestbaarheden hebben gevonden die gebruikt werden voor ze gepatched werden). Zoals zo vaak willen tweaker zonder ook maar een idee te hebben van de details barbertje laten hangen. Krijg je altijd wel een paar plusjes voor.

R_Zwart @Bierkameel • 29 augustus 2025 10:47

Een BSN is een persoonsgegeven, dus nog steeds niet anoniem. Combineer het met andere gestolen data en je hebt ook alles.

Een random nummer zou het helemaal anoniem maken, maar alleen aan de kant van het lab. Ergens moet een tabel bestaan om die code te koppelen aan NAW/BSN. En die kan ook weer gestolen worden. Alle oplossingen komen helaas niet verder dan wat meer werk voor de hackers. Maar als data waardevol genoeg is, is dat geen barriere. Je kunt de beveiliging natuurlijk zo complex maken dat de waarde die je beveiligd in het niet valt bij de moeite die je moet doen om het te stelen, maar dan kan het weer zo ingewikkeld worden dat er weer andere problemen ontstaan (bijvoorbeeld dat niemand meer weet hoe het werkt).

Als het makkelijk was, was het geen probleem.

[Reactie gewijzigd door R_Zwart op 29 augustus 2025 10:47]

ledroledro @R_Zwart • 29 augustus 2025 11:07

BSN zouden ze gehashed moeten hebben opgeslagen. Zo kun je nog wel matchen tussen systemen maar blijft BSN onbekend.

Economie en maatschappij
Datalek
Security

@ledroledro • 29 augustus 2025 12:24

Want een rainbowtable aanleggen is moeilijk voor zoiets voorspelbaars ...

moijamie @Blokker_1999 • 29 augustus 2025 13:23

Je zou de BSN hash kunnen maken met een salt, dan moet je ook eerst de salt weten voordat je een rainbow table kan maken.

grimselman @moijamie • 30 augustus 2025 10:47

Een salt wordt onversleuteld opgeslagen. Je kunt er niets mee omdat er voor iedere hash een andere salt wordt gebruikt.

ahbart @Bierkameel • 29 augustus 2025 10:48

BSN zou ik nou juist niet gebruiken maar ene uniek gegenereerde code. BSN is een persoonsgegeven wat valt onder de avg.

@ahbart • 29 augustus 2025 13:03

uniek gegenereerde code

uniek per aanvrager, uniek per lab?
Wat als een lab verder onderzoek moet doen, en samples door moet sturen?

Hoe zie jij dan facturatie, want een lab zal een declaratie moeten sturen naar je zorgverzekering. Hoe gaat dit met een uniek nummer?

[Reactie gewijzigd door Rolfie op 29 augustus 2025 13:04]

dev-random 29 augustus 2025 10:14

Waarschijnlijk denkt iedereen nu wel 3x na voordat ze nog een keer hun gegevens aanbieden voor onderzoek. De schade hiervan op de lange termijn door niet uitgevoerde studies of te kleine datasets en gemiste inzichten is enorm.

Economie en maatschappij
Datalek

@dev-random • 29 augustus 2025 10:24

Dat is een reëel gevaar inderdaad, er zijn al vrouwen die aangegeven hebben niet meer te durven meedoen aan medische onderzoeken uit angst dat hun gegevens uitlekken. Zie als voorbeeld dit artikel: https://www.tubantia.nl/binnenland/danielle-31-durft-geen-uitstrijkje-meer-na-datalek-mijn-gezondheid-wordt-hierdoor-op-het-spel-gezet~a72dfb56/

De slachtoffers hebben zich ook verenigd in een hulpgroep op Facebook om elkaar te helpen: https://www.facebook.com/profile.php?id=61579929771579

WillySis @wildhagen • 29 augustus 2025 12:09

Het gevaar wat je loopt al een kanker (in vroeg stadium) niet ontdekt wordt is levensbedreigend. De kans dat jouw gegevens gehackt worden is aanwezig, maar niet zo verschrikkelijk groot. Als je gegevens op straat komen te liggen kan dat heel vervelend zijn, maar zeker niet levensbedreigend.

Iedereen moet de afweging zelf maken, maar dit zijn wel onderzoeken die zo zijn opgezet dat in minimaal 60% van de gevallen een levensbedreigende ziekte kan worden opgespoord op het moment dat die nog behandelbaar is. Doe je niet mee aan het onderzoek, dan loop je de kans dat de ziekte bij jou te laat wordt ontdekt.

smartsys @dev-random • 29 augustus 2025 10:45

Het probleem is dat jaren geleden niet eens gevraagd werd of je je info wilde delen. Het werd gewoon gedeeld.

In dit geval gaat het overigens om informatie van het laboratorium dat zelf de onderzoeken heeft uitgevoerd in opdracht van 3e partijen. Door deel te nemen aan het onderzoek is automatisch je data daar terecht gekomen.

Ik hoop niet dat het lekken van deze data mensen ervan weerhoudt om aan dit soort onderzoeken mee te doen. Kanker vroegtijdig vinden vergroot de overlevingskansen aanzienlijk.

Ik hoop dat de hackers woord houden en de data niet verder verspreiden en vernietigen.

DarkCrow 29 augustus 2025 10:10

Ik begrijp dat het een utopische gedachte is dat iets waterdicht beveiligd kan worden. Alleen wat ik niet begrijp is of data nou standaard gepseudonimiseerd, geanominiseerd en/of versleuteld wordt?

Het zou namelijk erg schrijnend zijn als dit gewoon klakkeloos in een databron opgeslagen staat bij zo'n dergelijke grote partij, of mis ik nu iets?

timvisee @DarkCrow • 29 augustus 2025 10:14

De beste (enige?) oplossing is natuurlijk om data helemaal niet op te slaan, dan loop je ook geen risico om het te lekken.

Dat is hier wellicht een naïve of zelfs onhaalbare gedachten, maar bij veel andere lekken is dat niet zo.

Mathijs Kok @timvisee • 29 augustus 2025 10:17

De beste (enige?) oplossing is natuurlijk om data helemaal niet op te slaan, dan loop je ook geen risico om het te lekken.

Ze MOETEN het bewaren omdat de wet het vereist.

Economie en maatschappij

@Mathijs Kok • 29 augustus 2025 10:29

Is dat zo? Waarom moet een laboratorium het bewaren? Is het niet logischer dat een opdrachtgever het moet bewaren? (Ik spreek je dus niet tegen, voor het geval, maar het klinkt voor mij niet logisch.)

@lenwar • 29 augustus 2025 18:39

Omdat de opdrachtgever alleen het eind resultaat krijgt. Eventueel verdere data, moet het lab bewaren.

CPV @lenwar • 29 augustus 2025 10:46

De opdrachtgever? Dacht je dat de gemiddelde huisarts beter beveiligd is?

Economie en maatschappij

@CPV • 29 augustus 2025 10:58

Dat is weer een ander verhaal. Mijn vraag is, waarom een laboratorium deze data 'moet' bewaren. Het is logischer dat 'Bevolkingsonderzoek Nederland' (wat volgens mij de opdrachtgever is) de data bewaard, of inderdaad de huisartsen.

smartsys @lenwar • 29 augustus 2025 10:55

Als de opdrachtgever in het contract met de uitvoerende partij heeft opgenomen dat die ook zorg moeten dragen voor het verzamelen en bewaren van de data, dan zal die partij die taak op zich nemen.

Dit geeft alleen wel duidelijk aan dat cybersecurity toch echt véél serieuzer genomen moet worden dan tot nu toe het geval is. De "dit overkomt ons niet" houding moet echt veranderen naar "wanneer zijn wij aan de beurt en wat kunnen we doen om de schade te beperken"?

Ik ben geen ontwikkelaar, maar heb hier wel met een ontwikkelaar over gesproken. Ook over encryptie bijv. Hij zei: Je kunt je data gerust encrypted opslaan. Dat helpt tegen iemand die je database(s) steelt, maar als iemand toegang heeft tot een client, dus waar de decyptiesleutels bekend zijn, kan de database daar worden uitgelezen en heb je met een omweg exact hetzelfde. Je moet de beveiliging van software veel serieuzer nemen. Ook zaken als MFA moet standaard zijn in software oplossingen. Er moet gedragsdetectie in. Ga controleren hoe groot opgevraagde datasets zijn en zet daar limieten op. Als de grootste query van een normale gebruiker 10MB is, zou het systeem een query van 15MB van die gebruiker moeten afbreken en rapporteren zodat er onderzoek naar gedaan kan worden. 10MB past echt een shitload aan plain text in. Komen er ook afbeeldingen bij, dan wordt het groter, maar op zo'n manier moet je gedrag gaan monitoren en er op gaan sturen om te voorkomen dat zomaar enorme hoeveelheden data worden gestolen.

In dit geval is meer dan 1TB data over een internet lijn "verdwenen". Niemand is het opgevallen dat er UREN en UREN lang een enorme hoeveelheid data is verstouwd naar een onbekend extern IP. Dat soort dingen moeten ook opvallen en gemeld worden. Die meldingen moet dan ook direct serieus werk van gemaakt worden. Oftewel je moet SOC's hebben waar 24/7 mensen omgevingen monitoren en afwijkend gedrag direct opvalt.

Economie en maatschappij

@smartsys • 29 augustus 2025 11:15

Als de opdrachtgever in het contract met de uitvoerende partij heeft opgenomen dat die ook zorg moeten dragen voor het verzamelen en bewaren van de data, dan zal die partij die taak op zich nemen.

Als dat het geval is, dan zou het eventueel een legitiem iets kunnen zijn. Had ik niet aan gedacht

Er is niet één generieke manier van beveiligen. Ook MFA doet weinig als de client, bijvoorbeeld, buggy is, of er een zwakte in een back-end zit. Authenticatie is tenslotte alleen maar 'toegang', niet 'databeveiliging'. Kijk naar SQL-injections, daar zijn zat voorbeelden van toegang waar de authenticatie domweg genegeerd wordt. Of vage script-injections "Als authenticatie gefaald is, ga dan door", dan maakt het niet uit of je MFA hebt of niet.

Gedragsdetectie kan inderdaad een goede zijn, maar kan ook lastig zijn om goed te bouwen (denk aan backups/migraties/enz. Dat kunnen ook grote datastromen zijn die mogelijk naar een cloud-omgeving gaan.) Gevoelsmatig zou je inderdaad een datastroom van 1TB wel moeten kunnen detecteren, maar stel dat ze die data in een cloud-systeem hebben staan, dan moet je al op een heel andere manier gaan detecteren dan dat je het in huis doet. Ook zaken als throttling (maximaal zoveel entries uitlezen per minuut/seconde, en alarmeren als daar overheen gegaan wordt.), kan een goede taktiek zijn, maar dan ligt het er net aan wat de aard van de applicatie is.

Maar goed. Volgens mij weten we niet hoe ze aan de slag zijn gegaan, en we zitten hier natuurlijk met heel veel bijzonder goede stuurlui aan de wal

DataMan @lenwar • 29 augustus 2025 11:31

Wetgeving. Het lab moet het ook bewaren, omdat de termijnen waarop de gegevens nog door de patient opgevraagd kunnen worden zo lang zijn dat je op geen enkele andere manier kan garanderen dat de gegevens nog koppelbaar zijn.

We hebben ooit besloten dat we een centraal EPD "eng" vinden en dit is de consequentie. Dat "eng" was gebaseerd op de misvatting die toen een rol heeft gespeeld in het politiek ongeïnformeerde besluit en een hoop populistisch gezever: de gedachte had postgevat dat een centraal EPD 1 grote centrale database zou zijn.

Economie en maatschappij

@DataMan • 29 augustus 2025 12:08

Maar is het niet logischer dat de opdrachtgever (Bevolkingsonderzoek Nederland) de uitslagen moet bewaren? Dat lab is wat mij betreft slechts uitvoerend?

DataMan @lenwar • 29 augustus 2025 12:54

De wet schrijft anders voor. Of beter gezegd: er zijn talloze wetten die elkaar tegenspreken en het is schier onmogelijk om tot een eenduidige implementatie te komen (ervaringsdeskundig). Dus is de oplossing dat de BSN bij het medisch record (in deze dus een labuitslag) bewaard wordt. Dat is de enige manier om te borgen dat de gegevens over 20 jaar nog opvraagbaar zijn.

@Mathijs Kok • 29 augustus 2025 10:25

Maar er is bewaren en bewaren. Als je het naar tape dumpt en de tape in een kluis legt bewaar je het ook en geen hacker of ransomware die er bij komt.

wiseger @Mathijs Kok • 29 augustus 2025 10:48

Bewaren is heel iets anders dan online beschikbaar zijn. Bewaren kan prima in een offline systeem.

Economie en maatschappij
Datalek
Security

@DarkCrow • 29 augustus 2025 12:17

Zelfs al versleutel je data in rust, zolang de database actief is en benaderbaar is vanuit je software maakt dat ook niet veel uit. Want je moet dus zelf ook gewoon bij die data kunnen.

dev-random @DarkCrow • 29 augustus 2025 12:32

Alleen de uitvoerende partij mist hier duidelijk iets; Privacy by design.

Namen had men prima kunnen vervangen door een gegenereerde dataset, adressen had men kunnen terugbrengen naar gemeente/provincie en de BSN mag ook iedere andere willekeurige identifier zijn.

Als er iemand met security expertise rondloopt bij Clinical Diagnostics weet die persoon nu heel goed wat we bedoelen met "Assume breach" én is het tijd voor een carrière switch.

@dev-random • 29 augustus 2025 18:40

Nee, ze volgen hoe de wet in elkaar zit. BSN is hoe de uitwisseling en de uniciteit aangeeft.

dev-random @Rolfie • 29 augustus 2025 20:24

Precies dit soort interpretaties zorgen dat het zo gruwelijk mis kan gaan

Je kan zowel aan de bewaarplicht voldoen als geanonimiseerd verwerken.

Verschillende datasets, die aan elkaar te relateren zijn, met een verschillend risicoprofiel met bijpassende maatregelen zou een gezonde basis moeten zijn waardoor de impact hier minimaal had kunnen zijn.

@dev-random • 29 augustus 2025 21:26

lastige is, de meer kosten,de complexiteit zonder dat het moet. Alles kost geld en daar draait het toch allemaal om.
Want draaien de databases dan op 1 server of ook 2 servers? Of 2 instances? Hoe zorg je er voor dat die ook 100% gelijk blijven? Moet de sync vanuit de client applicatie gedaan worden, of vanuit een service? Het klinkt allemaal gemakkelijker dan het vaak is.

Waarom zou je dit moeten doen, als het niet nodig is? Alles draait om requirements.

Mathijs Kok @dev-random • 30 augustus 2025 13:33

Namen had men prima kunnen vervangen door een gegenereerde dataset, adressen had men kunnen terugbrengen naar gemeente/provincie en de BSN mag ook iedere andere willekeurige identifier zijn.

De wet staat dat gewoon niet toe. Hoe vaak moet dat nu nog uitgelegd worden?

Advanced03 29 augustus 2025 10:26

Hoop dat het er goed onderzocht wordt, en als er fouten zijn gemaakt keihard aanpakken.

R_Zwart @Advanced03 • 29 augustus 2025 10:49

En niet alleen het management aanpakken maar alle betrokkenen in de hele organisatie meenemen in het onderzoek.

DeCode 29 augustus 2025 10:30

Interessant ook dat het moederbedrijf van "Clinical Diagnostics", genaamd "Eurofins", nog niet gereageerd heeft op dit incident terwijl ze dezelfde (gebrekkige) beveiliging gebruiken in al hun laboratoria...

https://maps.app.goo.gl/ii76ae86N7787Kkk6

nexhil @DeCode • 29 augustus 2025 14:23

Misschien heb ik het gemist, maar waar kan ik vinden hoe deze hack heeft plaatsgevonden en welke beveiliging er omzeild is?

Mathijs Kok @nexhil • 30 augustus 2025 13:35

Misschien heb ik het gemist, maar waar kan ik vinden hoe deze hack heeft plaatsgevonden en welke beveiliging er omzeild is?

Je hebt niets gemist, maar zoals altijd wil het internet eerst barbertje ophangen en daarna uitzoeken wat er gebeurt is.

DefaultError 29 augustus 2025 10:06

bron: Telegraaf

“De Autoriteit Persoonsgegevens wil nog niet reageren op de berichtgeving over de dataroof bij een laboratorium in Rijswijk. Een woordvoerster van de Autoriteit Persoonsgegevens (AP) zegt dat de instantie niet gaat reageren zolang een onderzoek loopt. De AP kondigde al eerder aan het datalek te onderzoeken, evenals de Inspectie Gezondheidszorg en Jeugd. Daarna lieten het OM en de politie weten een strafrechtelijk onderzoek te zijn begonnen. Inmiddels zijn er dus nog eens bijna 230.000 gedupeerden bijgekomen.”

Om te kunnen reageren moet je ingelogd zijn