AP gaat komende maanden steekproeven doen bij zorgaanbieders om databeveiliging

De Autoriteit Persoonsgegevens gaat de komende maanden steekproeven uitvoeren bij zorgaanbieders. Daarbij wil de Nederlandse privacytoezichthouder controleren hoe de aanbieders omgaan met databeveiliging.

Bij die steekproeven bezoekt de Autoriteit Persoonsgegevens zorgaanbieders, zoals ziekenhuizen en huisartsenposten. Daarbij wil de toezichthouder controleren hoe de aanbieders omgaan met bijvoorbeeld gezondheidsinformatie van patiënten en cliënten.

De toezichthouder schrijft onder meer dat alleen behandelaars en bevoegde medewerkers medische patiëntendossiers mogen bekijken. Zorgaanbieders moeten dit controleren en die gegevens goed beveiligen tegen hackers en datalekken. "De AP ziet dat lang niet alle zorgaanbieders hun beveiliging op orde hebben. Ook gaan er regelmatig dingen mis wanneer zorgaanbieders patiëntgegevens met elkaar uitwisselen."

Het afgelopen jaar kreeg de Autoriteit Persoonsgegevens 6800 datalekmeldingen van organisaties die actief zijn in de gezondheids- en welzijnsectoren. Dit was in 2024 ook de grootste groep melders. De toezichthouder merkt op dat de zorgsector een populair doelwit is voor cybercriminelen, die vaak dreigen met het verkopen of publiceren van gevoelige informatie. "De gevolgen van zo'n hack kunnen groot zijn, zoals eerder dit jaar te zien was bij het laboratorium van Clinical Diagnostics. De AP is een onderzoek gestart naar de hack bij het laboratorium dat gegevens verwerkte voor bevolkingsonderzoeken."

Door Hayte Hugo

Redacteur

Feedback • 03-12-2025 12:28 52

03-12-2025 • 12:28

52

Lees meer

19 nov 2025

Europa wil privacyregels 'versimpelen', maar privacyorganisaties zijn kritisch

40

18 okt 2025

Verkiezingen 2025: alle ict-, AI- en cyberplannen van partijen op een rij

201
AP wil strenge regels voor handhavingsonderzoek overheid via openbare bronnen
AP wil strenge regels voor handhavingsonderzoek overheid via openbare bronnen Nieuws van 19 november 2025
Datalek Postcode Loterij gaf 1580 deelnemers inzage in elkaars gegevens - update
Datalek Postcode Loterij gaf 1580 deelnemers inzage in elkaars gegevens - update Nieuws van 27 oktober 2025
Autoriteit Persoonsgegevens en tennisbond stoppen rechtszaak na uitspraak EU-Hof
Autoriteit Persoonsgegevens en tennisbond stoppen rechtszaak na uitspraak EU-Hof Nieuws van 18 oktober 2025
Toezichthouder kan klachten over techbedrijven niet meer met voorrang behandelen
Toezichthouder kan klachten over techbedrijven niet meer met voorrang behandelen Nieuws van 17 oktober 2025
AVG-boete voor kredietbedrijf Experian is 2,7 miljoen euro, boete blijft staan
AVG-boete voor kredietbedrijf Experian is 2,7 miljoen euro, boete blijft staan Nieuws van 17 oktober 2025
AP en ACM: AI-chatbots mogen mensen niet volledig vervangen bij klantenservice
AP en ACM: AI-chatbots mogen mensen niet volledig vervangen bij klantenservice Nieuws van 2 oktober 2025
AP roept LinkedIn-gebruikers op instellingen te wijzigen tegen AI-training
AP roept LinkedIn-gebruikers op instellingen te wijzigen tegen AI-training Nieuws van 24 september 2025
Raad van State houdt AVG-boete voor DPG in stand, maar verlaagt die met de helft
Raad van State houdt AVG-boete voor DPG in stand, maar verlaagt die met de helft Nieuws van 24 september 2025
Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging
Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging Nieuws van 17 september 2025
Autoriteit Persoonsgegevens krijgt volgend jaar ruim 4 miljoen euro meer budget
Autoriteit Persoonsgegevens krijgt volgend jaar ruim 4 miljoen euro meer budget Nieuws van 16 september 2025
Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener
Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener Nieuws van 4 september 2025
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek Zorgstelsel

Reacties (52)

-Moderatie-faq
52
52
26
3
0
20
Wijzig sortering

Sorteer op:

Weergave:
Luchtbakker 3 december 2025 12:35
Goed om aan te kondigen, dan weten ze alvast waarop ze zich kunnen voorbereiden. Want dit hoor je natuurlijk alleen tijdens periodes op orde te hebben toch?

Ik snap nooit waarom je dit van te voren zou aankondigen? Onverwachte bezoeken horen de standaard te zijn. Alleen dan kan je problemen detecteren.
Tc99m @Luchtbakker3 december 2025 12:57
Als je als zorgaanbieder naar aanleiding van dit bericht nu pas in actie komt, ben je te laat voor een onaangekondigde inspectie. Zelfs als het jou met kunst en vliegwerk lukt om snel iets op te zetten (conform de wettelijke eisen en de richtlijnen die de sector heeft afgesproken), toont het ontbreken van verslaglegging over de voorgaande periode (waar de AP zeker naar gaat vragen) aan dat je het niet op orde had en dan val je alsnog door de mand.

Als de 'dreiging' van een inspectie er echter toe leidt dat zorginstellingen die het in de basis wel goed op orde (denken te) hebben, toch nog even goed gaan kijken of het inderdaad allemaal wel klopt, en daarbij nog een paar zaken optimaliseren, is dat alleen maar winst - niet in de laatste plaats voor de privacy van de patiënt (waar het uiteindelijk om draait). Het doel van de AP is uiteindelijk ook niet om verwerkers te betrappen of beboeten, maar er om voor te zorgen dat er veilig met onze gegevens wordt omgegaan.

[Reactie gewijzigd door Tc99m op 3 december 2025 12:58]

Polydeukes @Tc99m4 december 2025 14:54
Wij hebben onlangs "bezoek" gehad van de AP en die heeft ons op een hele constructieve manier geholpen om te verbeteren. Zeker, ze hebben aangegeven waar we nog niet compliant waren en welke risico's we (of onze klanten) hierdoor liepen en wat er nodig was om compliant te worden... Uiteraard wel met de dreiging van boetes als het niet geregeld zou worden, maar het ging op hele professionele en opbouwende manier.
SpaceDok @Luchtbakker3 december 2025 12:37
De bezoeken zullen onaangekondigd zijn. Deze melding zelf zal hopelijk een wake-up call zijn voor de instellingen die het (nog) niet op orde hebben.
Luchtbakker @SpaceDok3 december 2025 12:39
De bezoeken zullen onverwacht zijn. Deze melding zelf zal hopelijk een wake-up call zijn voor de instellingen die het (nog) niet op orde hebben.
Nee, dit hoort geen wake-up call te zijn. Dit hoort altijd onder de aandacht te zijn, en niet nog eens extra door een wake-up call. En erg onverwacht is het niet als je weet dat ze komende maanden een steekproef gaan doen. Je weet namelijk dat ze komen, alleen niet binnen welk tijdsbestek.
Robbierut4 @Luchtbakker3 december 2025 12:46
[...]


Nee, dit hoort geen wake-up call te zijn. Dit hoort altijd onder de aandacht te zijn, en niet nog eens extra door een wake-up call.
In de perfecte wereld is dat ook zo. In de echte wereld waarin wij leven, is dit toch een extra reminder voor zorginstellingen om wat te doen aan hun databeveiliging. Of een extra stok om mee te slaan voor de privacy georiënteerde medewerker die maar niks gedaan krijgt bij de directie.
Tjidde @Robbierut43 december 2025 13:25
Buiten dat veel zorginstellingen het wel goed willen doen, maar niet altijd de kennis hebben. Zowel technisch als praktisch.

Een gemiddelde huisartsenpraktijk, werken wat artsen, assistentes en misschien nog een ondersteuner. Dat zijn allemaal geen beroepen waarbij je extreem veel weet van databeveiliging. En laten zich maar sturen door derde partijen.

Waarbij het extreem makkelijk is om een foutje te maken.

Ik heb het niet over grote ziekenhuizen, die zouden daar gewoon een IT team voor moeten hebben.
William_H @Tjidde3 december 2025 13:38
Waarom moet dat altijd intern zijn geregeld. En wat is er erg aan een derde partij die je inhuurt. Als die goed z'n werk doet...
Cambionn @William_H3 december 2025 15:23
Maar dat is niet altijd intern geregeld? Vaak genoeg juist uitbesteed. @Tjidde zegt ook "en laten zich maar sturen door derde partijen".

Maar hoe moeten die artsen inschatten welke partij ze moeten hebben om het aan uit te besteden onder welke contracten? De grote boeren die een "gegarandeerd ok all-in pakket" aanbieden zijn Amerikaans, en dat willen we liever niet omdat kritieke diensten dan afhankelijk worden van. Maar lokale partijen moet je ook filteren, want genoeg die beloftes maken en niet waar maken zelfs al hebben ze de leuke certificaatjes. Helaas toch te veel die zich nog altijd door audits heen bullshitten. Ik heb oprecht bedrijven met een ISO27001 en NEN7510 gezien die geen ISMS hadden en eigenlijk niet eens wisten wat dat was. Hoe dan...

Als het dan mis gaat, dan kan krijg je gewijs tussen zorginstantie en leverancier. Soms blijkt het dan juridisch toch bij de zorginstantie te liggen terwijl die dacht het geregeld te hebben, maar die door gebrek aan kennis fouten hebben gemaakt. Die hadden dan geen slechte bedoelingen en wisten ook niet beter. Vaak worden de mogelijke consequenties ook helemaal niet goed ingeschat door het gebrek aan kennis, waardoor de vaak al beperkte budgets in de keuze "zorgkwaliteit" en "databeveiliging" vaak naar de eerste vallen. Vanuit een arts snap ik dat helemaal, maar het moet wel opgelost worden. Enige manier om dat te doen is voorlichting en forceren door middel van controle (en het liefst daarna helpen fixen ipv enkel beboeten, al is het maar door ze de goede kant op te sturen).
Panzer Dean @Tjidde3 december 2025 13:47
Zo goed als elke huisarts is aangesloten bij een zorggroep die nou net precies dit soort dingen op hoort te pakken net zoals ze doen met veel it gerelateerde onderwerpen.
kooka @Tjidde3 december 2025 16:29
Het is niet alleen het maken van 'fouten', maar infobeveiliging in de zorg blijft elke keer een afweging tussen veiligheid en beschikbaarheid. In de zorginstelling waar ik werk gaat de discussie over bijv datauitwisselen vaak tussen de functionaris gegevensbescherming die meer aan de kant van veiligheid zit en de arts die de info nodig heeft om te kunnen behandelen of de patient die zijn gegevens in wil kunnen zien.
J_van_Ekris @Luchtbakker3 december 2025 12:47
Ik snap nooit waarom je dit van te voren zou aankondigen? Onverwachte bezoeken horen de standaard te zijn. Alleen dan kan je problemen detecteren.
Het is geen politiemacht die voortdurend kan partouileren en invallen kan doen. Omdat het doel is dat partijen zich aan de wet gaan houden, niet om boetes te incasseren. Nu krijg je een hele sector in beweging met de gedeachte dat ze nog net op tijd alles op orde kunnen krijgen. Anders heb je wellicht een paar slechte partijen te pakken, maar bij publicatie leunt de rest relaxed achterover omdat ze de dans ontsprongen zijn.
Luchtbakker @J_van_Ekris3 december 2025 12:51
[...]

Het is geen politiemacht die voortdurend kan partouileren en invallen kan doen.
Nee, wel interne afdelingen zoals cybersecurity en securityspecialisten, en bij dit soort organisaties ook pentesters die dag in dag uit bezig zijn de security te doorbreken, zowel via de voordeur als achterdeur. Ik kom dagelijks bij soortgelijke bedrijven over de vloer waar dit vaak gewoon tot de orde van de dag is. Zo ver dat je zelfs random wordt aangesproken door interne pentesters die vragen of je iets voor ze wilt doen.

En dit soort maatregelen kosten geld, maar de privacy van de burgers hoort zwaarder te wegen. Organisaties die hier niet aan meewerken horen wat mij betreft fikse boetes te krijgen die hoog genoeg zijn dat het de directe direct pijn doet in hun eigen portemonnee.
sapphire @Luchtbakker3 december 2025 14:16
En dit soort maatregelen kosten geld, maar de privacy van de burgers hoort zwaarder te wegen. Organisaties die hier niet aan meewerken horen wat mij betreft fikse boetes te krijgen die hoog genoeg zijn dat het de directe direct pijn doet in hun eigen portemonnee.
Organisaties die zorg verlenen worden vaak gefinancierd met publiek geld, dat kun je maar één keer besteden en alles wat nar security gaat kun je niet in je primaire proces steken.

Geef ze een dikke boete en dan? Zorgverlener in de problemen, mensen die zorg afnemen in problemen en uiteindelijk kost het ons als burger weer geld. Ik ben het helemaal met je eens dat het een serieuze zaak is maar boetes uitdelen is hier imho geen oplossing. Ga dan met die organisaties om tafel zitten om te kijken hoe/wat/waar het misgaat en hoe ze dit gaan oplossen + controle achteraf.

Ik ga er iig vanuit dat geen enkele bestuurder moedwillig van security een potje maakt, wel dat ze soms 47 ballen tegelijk hoog moeten houden en dan wil er wel eens één doorheen schieten. Maargoed misschien ben ik iets te optimistisch en bevooroordeeld door mijn werkveld in de zorg :+
Cambionn @sapphire3 december 2025 15:10
Ik ga er iig vanuit dat geen enkele bestuurder moedwillig van security een potje maakt, wel dat ze soms 47 ballen tegelijk hoog moeten houden en dan wil er wel eens één doorheen schieten. Maargoed misschien ben ik iets te optimistisch en bevooroordeeld door mijn werkveld in de zorg :+
Ja in dit veld is het meestal een combi van gebrek aan kennis en een gebrek aan prio. Vaak wordt helaas niet gezien wat de waarde is tot het mis gaat, want tot die tijd is het enkel een kostenpost. Niet eens per se voor winsten (hoewel in grotere organisaties dat ook meespeelt, bij je lokale huisarts wat minder), maar idd ook omdat ze maar zo veel geld hebben en moeten kiezen tussen dat investeren in dingen die direct de kwaliteit van de zorg beïnvloed en beveiliging. En als je dan door het gebrek aan kennis ook nog niet de gevolgen goed in schat...
sapphire @Cambionn3 december 2025 15:43
Gebrek aan kennis vind ik een slecht excuus, daarvoor heb je mensen onder je zoals een CISO ;)

Prioriteit komt vaak helaas ná een incident.
Jammere is vooral dat bijvoorbeeld wat ik bij ons zie dat de bestuurders het inmiddels ook wel weten, We een (imho) goede CISO hebben, team IT en alles wat er onder valt het ook wel wil, ziet, en mogelijkheden krijgt maar dat op de werkvloer het onderwerp totaal helemaal niet leeft op een enkeling na.

Ik ben vrijwel dagelijks aan het uitleggen aan medewerkers (en hun managers) waarom ons wachtwoord beleid is wat het is, waarom we MFA hebben, waarom 'alleen een simpel wachtwoord' niet meer voldoende is en dat we inderdaad de AIVD niet zijn maar zeker een interessant doelwit omdat.....
En dan hebben we komende jaren nog een groep mensen die de nostalgie nog heeft 'dat vroegâh toen we alles nog op papier deden het allemaal veel beter was'.


Ja zorg en IT is altijd een leuk onderwerp :)
Cambionn @sapphire3 december 2025 15:57
Gebrek aan kennis vind ik een slecht excuus, daarvoor heb je mensen onder je zoals een CISO
Tja, de huisarts in het dorp heeft over het algemeen geen CISO en dat is een aardig deel van de doelgroep van dit bericht ;) .

Maar verder helemaal met je eens hoor. Ik ben aardig bekend met IT voor de zorg, en werk nu ook op een positie waar ik wat van de security/privacy dingen mag (en moet) vinden. Ons "geluk" is dat een grote investeerder paar jaar terug is gehackt (ongerelateerd aan ons). Ik zeg altijd voor de grap dat dat de beste manier is om budget te krijgen, maar helaas is het wel een beetje realiteit. En helaas hou je ook dan niet alles tegen (je kan gewoon niet continue bij honderden mensen over de schouder meekijken) wat er op andere afdelingen gebeurd, maar daarvoor heb je processen om daarmee om te gaan. Maar je leven is met budget/support van hogerop iig wel een stuk makkelijker for sure.
sapphire @Cambionn3 december 2025 16:09
Nee maar huisartsen zijn vaak lid van een overkopelende branch organisatie dus dat is dan gezamenlijk te regelen/in te huren.

Ik heb ook weinig verstand van deursloten maar aangezien ik het niet zo tof vind dat mijn huis leeggeroofd word heb ik daarvoor iemand ingehuurd die er een nieuwe deur met modern slot in gezet heeft ;)
Het.Draakje @sapphire3 december 2025 17:00
Ja, ...... en IT is altijd een "probleem". Tot het management daar een prio van maakt.

Las onlangs dat een bankier ontslagen was omdat hij de rekening van zijn ex bekeek. Het kan dus wel.

(En dan lees je ook berichten dat zorgmedewerkers het dossier van "Barbie" (whoever the f**** that is) bekeken is vanuit nieuwsgierigheid).

De lessen die daaruit voortvloeien:
  • Je kunt vastleggen wie, wat mag zien
  • Je moet daar op controleren
  • Je moet daar op handhaven, met sancties
(Dat is de prio van de directie, en het kost geen drol).

1e overtreding: waarschuwing. 2e: Je mag een week niet in het ziekenhuis komen (en dus krijg je 1/4 korting op je salaris. Leg dat zelf maar uit aan je collega's en thuis. 3e overtreding: zoek maar een andere baan, binnen x tijd (al dan niet bij een ander ziekenhuis).

Niemand vindt het leuk als "men" weet dat ik mentale problemen heb (gehad). Of dat mijn plasser niet meer functioneert. Dat een vakman (/vrouw) daar geen informatie over wenst geeft (aan "men") lijkt me best te verdedigen. Dat daar een stukje "ongemak" (in de vorm van een "lastig" en "geheim" paswoord) bij hoort is eveneens goed uit te leggen. Ik ben (als patiënt) niet echt blij als de verpleegster op Facebook wenst te verklaren dat ik in het ziekenhuis lig omdat ik aan mijn anus ben geopereerd. (Dat vindt ik, als man, toch behoorlijk kut).

In het jaar 0 was de patiënt al blij als er een pleister aanwezig was. Hopelijk is de geneeskunde wat verder geprofessionaliseerd. Informatiebeveiliging hoort daar tegenwoordig bij. Heb je daar geen begrip voor, dan moet je gewoon een andere baan zoeken. Succes (want bij de meeste banen is dat toch wel een onderdeel van de functie).

Voor die mensen die vroegâh zo leuk vonden: Vroeger bestond er niet zoiets als televisie, auto's, computers of elektriciteit (in huis). (Ja, ik heb die tijd nog meegemaakt). Tijden veranderen. Pas je maar aan. Of zoals Robert Long ooit zong: heb je angst voor morgen, dan moet je vandaag gaan hangen.
CAPSLOCK2000
@Luchtbakker3 december 2025 12:49
Ik snap nooit waarom je dit van te voren zou aankondigen? Onverwachte bezoeken horen de standaard te zijn. Alleen dan kan je problemen detecteren.
Ze kondigen natuurlijk niet aan waar ze gaan controleren.
Dus ze controleren er 10 en 1000 anderen gaan voor de zekerheid ook maar eens aan de slag.

Ik zeg niet dat het goed is, maar mensen zijn lui en komen vaak pas in actie als er wat druk is.

Gelukkig is dit geen onderwerp dat je even 3 weken goed doet om daarna weer op de oude voet verder te gaan. Je zal zaken structureel moeten aanpakken, software kopen, configureren, procedures opstellen, etc...


Gezien de stand van zaken in de wereld ga ik er van uit dat een hoop hun zaakjes nog niet op orde hebben. Veel meer dan de AP ooit kan controleren. Met een goede waarschuwing is dus een hoop verbetering te bereiken, ook al is dat niet zo als het zou moeten zijn.

[Reactie gewijzigd door CAPSLOCK2000 op 3 december 2025 12:50]

Triblade_8472 @Luchtbakker3 december 2025 13:21
Geweldig toch? Als ze zich voorbereiden dan zal de beveiliging juist opgekrikt worden.

Hopelijk schrikken alle zorginstellingen en gaan ze ermee aan de slag.
gaskabouter @Luchtbakker3 december 2025 13:41
De bedoeling is niet om mensen te betrappen maar zaken te verbeteren en leren van fouten.
Clu3M0r3 @Luchtbakker3 december 2025 14:27
Ik snap nooit waarom je dit van te voren zou aankondigen?
Als ze het van tevoren niet aankondigen dan is de ellende die de AP aantreft waarschijnlijk stukken groter, dus ook meer wekt voor de AP. Kennelijk (gezien het grote aantal lekken dat in 2024 en 2025 gemeld is) zit de AP daar niet op te wachten of hebben ze er de capaciteit niet voor.
Onverwachte bezoeken horen de standaard te zijn.
Precies.
Cambionn @Luchtbakker3 december 2025 15:05
Je gaat niet ff gauw je hele cybersecurity kunnen fixen na zo'n aankondiging. En zo wel, is dat een blijvend process wat je veranderd die je ook niet ff weer terug draait als je denkt dat ze weg zijn.

Ten eerste omdat dit grote processen betreft en niet enkel ff tegen Pietje zeggen dat hij het goed moet doen. Ten tweede omdat je ook bewijs moet hebben hoe je het geregeld hebt, hoe je dit controleert, en de vondsten daarvan. Dat vervalsen zou wellicht mogelijk zijn, dan kloppen je audit trails niet en als ze daar achter komen heb je een nog veel groter probleem.
CivLord @Luchtbakker4 december 2025 12:46
Goed om aan te kondigen, dan weten ze alvast waarop ze zich kunnen voorbereiden. Want dit hoor je natuurlijk alleen tijdens periodes op orde te hebben toch?

Ik snap nooit waarom je dit van te voren zou aankondigen? Onverwachte bezoeken horen de standaard te zijn. Alleen dan kan je problemen detecteren.
Dit is niets iets dat je tijdelijk op orde kan hebben. Dit is organisatorisch goed geregeld, of niet.
Doordat de zorg constant kapot bezuinigd, gereorganiseerd en gereguleerd wordt is de kans dat een gemiddelde zorgorganisatie de middelen heeft om dit goed te organiseren betrekkelijk klein.

De aankondiging is niet zo zeer voor de zorgorganisaties zelf, maar voor de bühne.
De AP is vooral een organisatie die zichzelf publiekelijk op de borst wil slaan om wat ze allemaal wel niet doen. (Meestal snel gevolgd door zieligdoenerij omdat ze van de politiek niet het budget krijgen dat ze graag willen. Wat vervolgens weer gevolgd wordt door het fileren van een overheidsorganisatie door de AP.)
Overheid en de publieke sector zijn dankbare slachtoffers, terwijl Big-tech vrijwel met rust wordt gehouden. (Want Big-tech heeft enge advocaten die van zich af bijten, terwijl de overheid zich niet durft te verdedigen.)
PhRiXoS 3 december 2025 13:23
Het afgelopen jaar kreeg de Autoriteit Persoonsgegevens 6800 datalekmeldingen van organisaties die actief zijn in de gezondheids- en welzijnsectoren. Dit was in 2024 ook de grootste groep melders.
Je zou kunnen denken dat de zorg hun zaakjes niet op orde heeft... Maar je kunt ook denken dat de zorg al sinds jaar en dag processen heeft om dingen te melden die niet goed gaan en daarom veel meer melden dan andere bedrijven...Zomaar een gedachte
gaskabouter @PhRiXoS3 december 2025 13:46
Er vinden jaarlijks enkele miljoenen ingrepen plaats en een veelvoud aan polikliniek bezoeken. En daarbij vinden allerlei wijzigingen in het dossier plaats met bijbehorende uitwisseling. Dus het valt in die zin mee.

Ter illustratie, als ik een brief zie die bij de verkeerde patiënt is ingeladen die verder nog niemand heeft kunnen zien en meteen gecorrigeerd wordt meld ik al een datalek
PhRiXoS @gaskabouter3 december 2025 13:50
exact wat ik bedoel. alle fouten worden gemeld bij de AP. Ap reageert er niet eens meer op.
andere bedrijven melden echt niet als er een iemand in een cc staat die er niet had moeten staan.

AP zou ook kunnen kijken naar wie er nooit of weinig meldt
gaskabouter @PhRiXoS3 december 2025 13:52
Daarnaast lijkt het symboolpolitiek nav... De IGJ kan, en doet dit, ook binnen de reguliere toetsingskaders en kunnen onaangekondigd hierop toetsen. Expertise hebben ze ook gewoon in huis in mijn ervaring
Tc99m @PhRiXoS3 december 2025 14:00
In de zorg is de bereidheid om te melden inderdaad heel erg groot, ook bij kleine en onschuldige datalekken (wat overigens goed is), maar daar staat ook tegenover dat er heel veel gevoelige gegevens bij zorgaanbieders liggen. Het datalek bij Clinical Diagnostics toont wel aan dat als het goed mis gaat, het echt zeer ernstige gevolgen heeft (niet alleen voor de betrokken patiënten, maar ook voor het vertrouwen in het bevolkingsonderzoek). Dus in die zin is het echt wel te verantwoorden dat de AP de zorgaanbieders scherp houdt.
FrostyPeet @PhRiXoS3 december 2025 13:33
Zeker. je hebt ook de FONA (fouten, ongevallen en near-accidents). Tussen twee haakjes, wie bedenkt zo'n rare Nederlandse en Engelse afkorting?

De zorg heeft een meld- en rapportage cultuur. Echt alles (moet) worden vastgelegd. Er zijn ook veel registers, waarin van alles wordt opgelegd. Ziekenhuizen hebben vergeleken met 20 jaar geleden een hoge doorloopsnelheid van patiënten, je wordt vaak nog half gammel ontslagen. De kans op fouten stijgt daardoor. De kans op onontdekte fouten stijgt ook omdat de patiënt al weg is.
Eileen 3 december 2025 14:01
Deze week (!!!) heb ik pas een brief ontvangen van clinical diagnostics. Mijn gegevens zijn bij het datalek betrokken, via onderzoek door de huisarts. Is dat lek niet nog groter dan steeds beweerd wordt?

Goed van de AP dat ze steekproeven gaan doen.

[Reactie gewijzigd door Eileen op 3 december 2025 14:03]

willemb2 @Eileen4 december 2025 13:17
Ik ook vandaag. Ze hebben vorig jaar in opdracht van een plaatselijke poly bloed bij me geprikt. Dus het gaat verder dan deelnemers aan bevolkingsonderzoek baarmoederhalskanker. De mededeling in de brief is: "we houden het dark web continu in de gaten en hebben uw gegevens niet aangetroffen".
gpon 3 december 2025 12:56
Het zijn vooral de kleinere partijen die dit niet in orde hebben. Maar een steekproef zegt wel erg weinig en klinkt nogal summier.
loewie1984 @gpon3 december 2025 13:37
En waaruit valt dit op te maken? Ik heb een paar ziekenhuizen van binnen gezien vanuit mijn rol als informatiebeveiligingsspecialist en mijn indruk is dat het toch echt niet de kleintjes zijn. Ik denk zelfs dat er geen onderscheid te maken is. Beleid en processen bij grote ziekenhuizen kunnen nog zo duidelijk opgesteld zijn, je moet op macro niveau bezig zijn met gegevensbescherming en ik zie dat heel veel operationele medewerkers zich dit niet beseffen. Heel veel ziekenhuizen en zorginstellingen zijn nog bezig met een inhaalrace om überhaupt NEN7510 compliant te worden.

Wat goed is is dat ze eindelijk in bewegen zijn gekomen (al dan niet vrijwillig of gestuurd) en dat er eindelijk serieus omgekeken wordt naar informatiebeveiliging.

[Reactie gewijzigd door loewie1984 op 3 december 2025 14:04]

Panzer Dean @loewie19843 december 2025 13:52
Er waren er 7 in 2022 van de ziekenhuizen die nog niet NEN7510 compliant waren volgens de inspectie. Volgens voor zover ik weet voldoen alle ziekenhuizen in Nederland hier nu aan.

https://www.igj.nl/documenten/2023/11/16/ziekenhuizen-maken-stevige-inhaalslag-met-informatiebeveiliging
Tc99m @gpon3 december 2025 13:40
Het zijn vooral de kleinere partijen die dit niet in orde hebben.
Kun je dat onderbouwen? Er zijn namelijk ook serieuze incidenten bekend bij grote partijen (zoals Clinical Diagnostics, niet bepaald een kleine partij), maar ook ziekenhuizen zijn regelmatig rondom dit onderwerp in het nieuws (zoals de bekende berichten waarbij medewerkers zonder toestemming of medeweten in het dossier van patiënten kijken). Dat het vooral kleinere partijen zijn is dus niet mijn beeld eigenlijk.

Een steekproef zegt inderdaad weinig an sich, maar het kan de sector wel even wakkerschudden. Alle zorgaanbieders (alleen de ziekenhuizen en huisartsenposten zijn er al een paar honderd, in totaal heb je het over tienduizenden grote en kleine aanbieders) inspecteren is niet realistisch, tenzij je er jaren voor uittrekt.

[Reactie gewijzigd door Tc99m op 3 december 2025 13:56]

the_shadow @Tc99m3 december 2025 16:25
Het op orde hebben van je beleid en processen (en techniek om dingen af te dwingen) is iets dat voornamelijk is weggelegd voor grotere organisaties: die hebben de mensen om dit te doen. Je hebt het dan al snel over de ziekenhuizen. Kijk je naar kleinere partijen als VVT (Verpleeg-, Verzorgingshuizen, Thuiszorg) en huisartsen, dan hebben die het te doen met een handje vol mensen die uberhaupt aan de ondersteunende kant van de organisatie zitten. Die hebben maar verdomd weinig tijd om zich bezig te houdne met compliance.

De organisaties in de zorgsector heeft al een goed aantal jaren de verplichting om "aantoonbaar te voldoen aan de NEN7510", maar je ziet dat het voornamelijk de grotere organisaties zijn die zich kunnen laten certificeren.
loewie1984 3 december 2025 12:55
Vooropgesteld goed dat de AP dit doet, maar de AP heeft het ook erg druk en heeft dit dan de juiste prioriteit als de inspectie JGZ in principe hetzelfde kan doen, en de verantwoordelijkheid volgens mij ook daar primair ligt.

Als je als zorginstelling NEN7510 niet op orde hebt, krijg je ook te maken met IGJ en niet met de AP. Dus ik zou verwachten dat zij op zijn minst hierbij betrokken zouden zijn.

[Reactie gewijzigd door loewie1984 op 3 december 2025 16:17]

_Richie_ @loewie19843 december 2025 13:43
Het is IGJ en niet JGZ maar dit ter zijde.

Ik werk zelf in de zorg en zie dat regelmatig brieven / correspondentie van patiënten naar de verkeerde huisarts gaan, soms is dit een ICT koppeling, soms is het de oude huisarts, soms een verkeerde (verkeerde naam). Maar ik denk dat gezien het aantal wisselingen van patientgegevens / correspondentie 6800 meldingen eigenlijk reuzemeevalt.

Ik zie op de website van Enovation (die Edi beheert, berichtenverkeer naar huisartsen), dat er ruim een half miljoen berichten per dag worden verstuurd.

Verder heb je soms verwisselingen in de zin dat een gescand formulier in een verkeerd patientendossier wordt geplaatst (en patient dit dus te zien krijgt) etc.

Deze datalekken worden gezien het bewustzijn en de meldcultuur vaak gemeld maar of het nu veel consequenties heeft dat een brief bij een verkeerde huisarts komt, denk het niet (niet dat ik het allemaal wil goedpraten maar dit zijn geen hacks!).
loewie1984 @_Richie_3 december 2025 14:02
Je hebt gelijk ik bedoelde de IGJ.
Neurd @_Richie_3 december 2025 19:47
Ik betwijfel of het dit soort datalekken zijn eerlijk gezegd.

Een verstuurde brief aan de verkeerde huisarts moet je wel vastleggen in je datalek documentatie, maar hoeft niet bekendgemaakt te worden aan de ap aangezien de zorginstelling waaraan het gestuurd is ook een wettelijke geheimhoudingsplicht heeft.

Althans, dat is wat ik van onze jurist te horen krijg bij een dergelijk incident.
_Richie_ @Neurd3 december 2025 21:19
Kan je wel eens gelijk in hebben, verkeerde brief hoeft niet gemeld te worden. Zie in het onderliggende rapport dat verkeerde brief wel het grootste aantal is van het aantal meldingen (over alle sectoren) namelijk 7937. Cyberaanval is 6837 keer gemeld.

Per sector is het niet uitgesplitst (helaas).

https://autoriteitpersoonsgegevens.nl/system/files?file=2025-07/Rapportage%20datalekken%202024.pdf

[Reactie gewijzigd door _Richie_ op 3 december 2025 21:25]

FrostyPeet 3 december 2025 13:24
Ik heb hier wel een raar gevoel bij.

Het is nuttig om bedrijven en instellingen attent te houden over privacy gevoelige zaken als datalekken.

Gezien de krakende toestand van de zorg in NL komt het op mij over als dat iemand de bandenspanning controleert van een roestige auto, die met plakband bij elkaar wordt gehouden.

Er zijn zoveel problemen in de zorg die in mijn ogen veel urgenter zijn.
loewie1984 @FrostyPeet3 december 2025 13:34
Wat is de basis? Een betrouwbare, integere en beschikbare informatievoorziening, dat geld voor ieder bedrijf niet alleen voor de zorg. 'Databeveiliging', dat raakt de BIV classificatie:

Een chirurg die geen toegang heeft tot instructievideo's tijdens opereren, raakt Beschikbaarheid
Een dokter die incorrecte informatie in het dossier heeft opgeslagen, dat raak Integriteit
De halve afdeling die het dossier van Samantha (aka Barbie) heeft geopend en gelezen, dat raakt Vertrouwelijkheid.

Dus ja, de Zorg heeft 'bigger fish to fry', maar volgens mij begint het bij het op orde hebben van je informatiebeveiliging.
FrostyPeet @loewie19843 december 2025 13:39
Ik ben het met je eens dat informatie belangrijk is.

Maar als je een half jaar moet wachten voor je aan de beurt bent voor je operatie, die op het laatste moment wordt afgezegd, dan weer een nieuwe afspraak maken, een operatie ondergaan, iets te snel weer thuis mogen "recoveren", bepaalde medicatie niet verkrijgbaar is bij de apotheek (krijg je iets anders mee), tijdelijke thuiszorg die twee maanden tevoren moet worden aangevraagd anders is er "geen personeel". Dat lijkt mij ook belangrijk.
fuzzyIon 3 december 2025 13:47
Niet normaal hoeveel bluetooth apparaten staan te zenden in een ziekenhuis omgeving.
telenut @fuzzyIon3 december 2025 15:01
En wat heeft dat hiermee te maken? Ik zou me meer zorgen maken over de straling ergens anders in een ziekenhuis :-)
Het.Draakje @fuzzyIon3 december 2025 15:17
En dat is een probleem?

Ik zou toch wel wat vragen hebben:

- Welke apparaat stuurt iets uit? (Mijn telefoon heeft bluetooth aan staan omdat ik gebruik maak van een hoofdtelefoon)

- Wat wordt er verstuurd (mijn muziekkeuze is niet echt privacy gevoelig). Een MRI scan (tussen scanner en computer) is ook niet interessant als je niet weet wie de patiënt is. En als je de informatie niet eens (zonder grondige kennis) van het bestand kunt begrijpen dan heeft het ook niet veel zin om het af te luisteren.

- Wat wordt er door "het ziekenhuis"(personeel) verstuurd en wat door clienten (zieken) en bezoekers. (Op een station, zoals Utrecht Centraal, zul je ook veel bluetooth verkeer hebben. En niemand maakt zich daar druk over; terecht).
fuzzyIon @Het.Draakje3 december 2025 16:58
Klopt, je playlist vertelt niets schokkends (behalve dat sommigen nog Frans Bauer luisteren).
Maar het zijn de advertising beacons en protocoldetails die interessant zijn, niet je muziek.

Denk aan:

• apparaat-ID’s
• fabrikant-ID
• type device
• signaalsterkte → afstand inschatten
• rotatie van MAC-adressen (soms gebroken)
• pairing attempts
• services die je telefoon aanbiedt (A2DP, HFP, HID, GATT-profielen etc.)

Zelfs als de payload encrypted is, is de structuur van je gedragsprofiel niet versleuteld.
Bluetooth zegt: “Er is een mens aanwezig met device X dat zich zo en zo gedraagt.”

Voor inbrekers, commerciële trackers, winkels en zelfs open-source tools als BLEak, Kismet, Bettercap is dat goud.

Je hebt gelijk dat de MRI-scan zelf niet interessant is zonder context, maar wie loopt met welk apparaat op welk moment — dat is wel degelijk waardevol.
Het.Draakje @fuzzyIon3 december 2025 17:15
Je hebt gelijk dat de MRI-scan zelf niet interessant is zonder context, maar wie loopt met welk apparaat op welk moment — dat is wel degelijk waardevol.
En dan weet ik dat op X moment dokter Wie om 12:00, een bluetooth verbinding heeft vanaf de MRi scanner naar de computer van zuster nachtegaal voor patiënt 37658 en om 13:05 een verbinding heeft gehad (naar dezelfde zuster) voor patiënt 2435

Het gedragsprofiel (dokter heeft regelmatig contact met assistent) is "goud" waard (hoe dan?). En wat is daarvan de impact op de dokter, verpleegster of patiënten 37658 en 2435, indien de identiteit van de dokter, verpleegster en de patiënten niet bekend zijn ?

Uiteraard zal het gegeven dokter Wie loopt om 12:00 uur een rondje om zijn patiënten in ziekenhuis "Med.Centrum Lutjebroek" enige waarde hebben. Ik zie alleen niet in welke.

Laat staan dat ik er een connectie uit kan afleiden naar enige privacy overtreding.

Maar: surprise me.
fuzzyIon 3 december 2025 19:51
Een aanvaller weet op dag 1 niet wie “patiënt 37658” is, of wie “dokter Wie” is. Maar anonimiteit brokkelt af als suiker in warme thee: langzaam maar onverbiddelijk.

Dat werkt ongeveer zo:

De persoon die elke ochtend tussen 7:45 en 8:10 langs dezelfde kamers loopt?
Dat is geen bezoeker.
Dat is ook geen patiënt.
Dat is routine — dus personeel.

De persoon die altijd op dezelfde plek blijft, met een apparaat dat continu op één verdieping hangt?
Patiënt.

De persoon die vaak tussen meerdere afdelingen zwerft en één keer per uur een vaste route loopt?
Arts.

Je hebt geen namen nodig; functies en verantwoordelijkheden worden vanzelf zichtbaar.

Als apparaat A (dokter) elke dag meerdere keren een paar seconden dicht bij apparaat B (verpleegster) is, en apparaten C en D (patiënten) dezelfde route volgen, dan ontstaat automatisch een graaf (een netwerk van relaties).

Ziekenhuiscontext is relatief voorspelbaar. Dus je kunt:

• zien wie bij wie hoort
• zien wie zorg krijgt
• zien wie intensieve zorg krijgt
• zien wie nauwelijks bezocht wordt
• zien wie samenwerkt
• zien wie wie vervangt
• zien wanneer iets afwijkt van “normale dagen”

Met voldoende samples is dat geen magie, het is statistiek.

Iemand die 1 keer binnenkomt loopt geen gevaar op basis van patroonherkenning. Tenzij je een bekende smartwatch draagt met bluetooth en je bent op dat moment de enige en er is meer informatie via de social media. Bijvoorbeeld bekend persoon heeft aanrijding gehad.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq