AP gaat komende maanden steekproeven doen bij zorgaanbieders om databeveiliging

De Autoriteit Persoonsgegevens gaat de komende maanden steekproeven uitvoeren bij zorgaanbieders. Daarbij wil de Nederlandse privacytoezichthouder controleren hoe de aanbieders omgaan met databeveiliging.

Bij die steekproeven bezoekt de Autoriteit Persoonsgegevens zorgaanbieders, zoals ziekenhuizen en huisartsenposten. Daarbij wil de toezichthouder controleren hoe de aanbieders omgaan met bijvoorbeeld gezondheidsinformatie van patiënten en cliënten.

De toezichthouder schrijft onder meer dat alleen behandelaars en bevoegde medewerkers medische patiëntendossiers mogen bekijken. Zorgaanbieders moeten dit controleren en die gegevens goed beveiligen tegen hackers en datalekken. "De AP ziet dat lang niet alle zorgaanbieders hun beveiliging op orde hebben. Ook gaan er regelmatig dingen mis wanneer zorgaanbieders patiëntgegevens met elkaar uitwisselen."

Het afgelopen jaar kreeg de Autoriteit Persoonsgegevens 6800 datalekmeldingen van organisaties die actief zijn in de gezondheids- en welzijnsectoren. Dit was in 2024 ook de grootste groep melders. De toezichthouder merkt op dat de zorgsector een populair doelwit is voor cybercriminelen, die vaak dreigen met het verkopen of publiceren van gevoelige informatie. "De gevolgen van zo'n hack kunnen groot zijn, zoals eerder dit jaar te zien was bij het laboratorium van Clinical Diagnostics. De AP is een onderzoek gestart naar de hack bij het laboratorium dat gegevens verwerkte voor bevolkingsonderzoeken."

Door Hayte Hugo

Redacteur

Feedback • 03-12-2025 12:28 15

03-12-2025 • 12:28

15

Lees meer

19 nov 2025

Europa wil privacyregels 'versimpelen', maar privacyorganisaties zijn kritisch

40

18 okt 2025

Verkiezingen 2025: alle ict-, AI- en cyberplannen van partijen op een rij

201
AP wil strenge regels voor handhavingsonderzoek overheid via openbare bronnen
AP wil strenge regels voor handhavingsonderzoek overheid via openbare bronnen Nieuws van 19 november 2025
Datalek Postcode Loterij gaf 1580 deelnemers inzage in elkaars gegevens - update
Datalek Postcode Loterij gaf 1580 deelnemers inzage in elkaars gegevens - update Nieuws van 27 oktober 2025
Autoriteit Persoonsgegevens en tennisbond stoppen rechtszaak na uitspraak EU-Hof
Autoriteit Persoonsgegevens en tennisbond stoppen rechtszaak na uitspraak EU-Hof Nieuws van 18 oktober 2025
Toezichthouder kan klachten over techbedrijven niet meer met voorrang behandelen
Toezichthouder kan klachten over techbedrijven niet meer met voorrang behandelen Nieuws van 17 oktober 2025
AVG-boete voor kredietbedrijf Experian is 2,7 miljoen euro, boete blijft staan
AVG-boete voor kredietbedrijf Experian is 2,7 miljoen euro, boete blijft staan Nieuws van 17 oktober 2025
AP en ACM: AI-chatbots mogen mensen niet volledig vervangen bij klantenservice
AP en ACM: AI-chatbots mogen mensen niet volledig vervangen bij klantenservice Nieuws van 2 oktober 2025
AP roept LinkedIn-gebruikers op instellingen te wijzigen tegen AI-training
AP roept LinkedIn-gebruikers op instellingen te wijzigen tegen AI-training Nieuws van 24 september 2025
Raad van State houdt AVG-boete voor DPG in stand, maar verlaagt die met de helft
Raad van State houdt AVG-boete voor DPG in stand, maar verlaagt die met de helft Nieuws van 24 september 2025
Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging
Autoriteit Persoonsgegevens: extra budget is feitelijk juist een verlaging Nieuws van 17 september 2025
Autoriteit Persoonsgegevens krijgt volgend jaar ruim 4 miljoen euro meer budget
Autoriteit Persoonsgegevens krijgt volgend jaar ruim 4 miljoen euro meer budget Nieuws van 16 september 2025
Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener
Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener Nieuws van 4 september 2025
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek Zorgstelsel

Reacties (15)

-Moderatie-faq
15
15
5
0
0
9
Wijzig sortering

Sorteer op:

Weergave:
Luchtbakker 3 december 2025 12:35
Goed om aan te kondigen, dan weten ze alvast waarop ze zich kunnen voorbereiden. Want dit hoor je natuurlijk alleen tijdens periodes op orde te hebben toch?

Ik snap nooit waarom je dit van te voren zou aankondigen? Onverwachte bezoeken horen de standaard te zijn. Alleen dan kan je problemen detecteren.
Reageer
SpaceDok @Luchtbakker3 december 2025 12:37
De bezoeken zullen onaangekondigd zijn. Deze melding zelf zal hopelijk een wake-up call zijn voor de instellingen die het (nog) niet op orde hebben.
Reageer
Luchtbakker @SpaceDok3 december 2025 12:39
De bezoeken zullen onverwacht zijn. Deze melding zelf zal hopelijk een wake-up call zijn voor de instellingen die het (nog) niet op orde hebben.
Nee, dit hoort geen wake-up call te zijn. Dit hoort altijd onder de aandacht te zijn, en niet nog eens extra door een wake-up call. En erg onverwacht is het niet als je weet dat ze komende maanden een steekproef gaan doen. Je weet namelijk dat ze komen, alleen niet binnen welk tijdsbestek.
Reageer
Robbierut4 @Luchtbakker3 december 2025 12:46
[...]


Nee, dit hoort geen wake-up call te zijn. Dit hoort altijd onder de aandacht te zijn, en niet nog eens extra door een wake-up call.
In de perfecte wereld is dat ook zo. In de echte wereld waarin wij leven, is dit toch een extra reminder voor zorginstellingen om wat te doen aan hun databeveiliging. Of een extra stok om mee te slaan voor de privacy georiënteerde medewerker die maar niks gedaan krijgt bij de directie.
Reageer
Tjidde @Robbierut43 december 2025 13:25
Buiten dat veel zorginstellingen het wel goed willen doen, maar niet altijd de kennis hebben. Zowel technisch als praktisch.

Een gemiddelde huisartsenpraktijk, werken wat artsen, assistentes en misschien nog een ondersteuner. Dat zijn allemaal geen beroepen waarbij je extreem veel weet van databeveiliging. En laten zich maar sturen door derde partijen.

Waarbij het extreem makkelijk is om een foutje te maken.

Ik heb het niet over grote ziekenhuizen, die zouden daar gewoon een IT team voor moeten hebben.
Reageer
J_van_Ekris @Luchtbakker3 december 2025 12:47
Ik snap nooit waarom je dit van te voren zou aankondigen? Onverwachte bezoeken horen de standaard te zijn. Alleen dan kan je problemen detecteren.
Het is geen politiemacht die voortdurend kan partouileren en invallen kan doen. Omdat het doel is dat partijen zich aan de wet gaan houden, niet om boetes te incasseren. Nu krijg je een hele sector in beweging met de gedeachte dat ze nog net op tijd alles op orde kunnen krijgen. Anders heb je wellicht een paar slechte partijen te pakken, maar bij publicatie leunt de rest relaxed achterover omdat ze de dans ontsprongen zijn.
Reageer
Luchtbakker @J_van_Ekris3 december 2025 12:51
[...]

Het is geen politiemacht die voortdurend kan partouileren en invallen kan doen.
Nee, wel interne afdelingen zoals cybersecurity en securityspecialisten, en bij dit soort organisaties ook pentesters die dag in dag uit bezig zijn de security te doorbreken, zowel via de voordeur als achterdeur. Ik kom dagelijks bij soortgelijke bedrijven over de vloer waar dit vaak gewoon tot de orde van de dag is. Zo ver dat je zelfs random wordt aangesproken door interne pentesters die vragen of je iets voor ze wilt doen.

En dit soort maatregelen kosten geld, maar de privacy van de burgers hoort zwaarder te wegen. Organisaties die hier niet aan meewerken horen wat mij betreft fikse boetes te krijgen die hoog genoeg zijn dat het de directe direct pijn doet in hun eigen portemonnee.
Reageer
CAPSLOCK2000
@Luchtbakker3 december 2025 12:49
Ik snap nooit waarom je dit van te voren zou aankondigen? Onverwachte bezoeken horen de standaard te zijn. Alleen dan kan je problemen detecteren.
Ze kondigen natuurlijk niet aan waar ze gaan controleren.
Dus ze controleren er 10 en 1000 anderen gaan voor de zekerheid ook maar eens aan de slag.

Ik zeg niet dat het goed is, maar mensen zijn lui en komen vaak pas in actie als er wat druk is.

Gelukkig is dit geen onderwerp dat je even 3 weken goed doet om daarna weer op de oude voet verder te gaan. Je zal zaken structureel moeten aanpakken, software kopen, configureren, procedures opstellen, etc...


Gezien de stand van zaken in de wereld ga ik er van uit dat een hoop hun zaakjes nog niet op orde hebben. Veel meer dan de AP ooit kan controleren. Met een goede waarschuwing is dus een hoop verbetering te bereiken, ook al is dat niet zo als het zou moeten zijn.

[Reactie gewijzigd door CAPSLOCK2000 op 3 december 2025 12:50]

Reageer
Tc99m @Luchtbakker3 december 2025 12:57
Als je als zorgaanbieder naar aanleiding van dit bericht nu pas in actie komt, ben je te laat voor een onaangekondigde inspectie. Zelfs als het jou met kunst en vliegwerk lukt om snel iets op te zetten (conform de wettelijke eisen en de richtlijnen die de sector heeft afgesproken), toont het ontbreken van verslaglegging over de voorgaande periode (waar de AP zeker naar gaat vragen) aan dat je het niet op orde had en dan val je alsnog door de mand.

Als de 'dreiging' van een inspectie er echter toe leidt dat zorginstellingen die het in de basis wel goed op orde (denken te) hebben, toch nog even goed gaan kijken of het inderdaad allemaal wel klopt, en daarbij nog een paar zaken optimaliseren, is dat alleen maar winst - niet in de laatste plaats voor de privacy van de patiënt (waar het uiteindelijk om draait). Het doel van de AP is uiteindelijk ook niet om verwerkers te betrappen of beboeten, maar er om voor te zorgen dat er veilig met onze gegevens wordt omgegaan.

[Reactie gewijzigd door Tc99m op 3 december 2025 12:58]

Reageer
Triblade_8472 @Luchtbakker3 december 2025 13:21
Geweldig toch? Als ze zich voorbereiden dan zal de beveiliging juist opgekrikt worden.

Hopelijk schrikken alle zorginstellingen en gaan ze ermee aan de slag.
Reageer
loewie1984 3 december 2025 12:55
Vooropgesteld goed dat de AP dit doet, maar de AP heeft het ook erg druk en heeft dit dan de juiste prioriteit als de inspectie JGZ in principe hetzelfde kan doen, en de verantwoordelijkheid volgens mij ook daar primair ligt.

Als je als zorginstelling NEN7510 niet op orde hebt, krijg je ook te maken met JGZ en niet met de AP. Dus ik zou verwachten dat zij op zijn minst hierbij betrokken zouden zijn.
Reageer
gpon 3 december 2025 12:56
Het zijn vooral de kleinere partijen die dit niet in orde hebben. Maar een steekproef zegt wel erg weinig en klinkt nogal summier.
Reageer
PhRiXoS 3 december 2025 13:23
Het afgelopen jaar kreeg de Autoriteit Persoonsgegevens 6800 datalekmeldingen van organisaties die actief zijn in de gezondheids- en welzijnsectoren. Dit was in 2024 ook de grootste groep melders.
Je zou kunnen denken dat de zorg hun zaakjes niet op orde heeft... Maar je kunt ook denken dat de zorg al sinds jaar en dag processen heeft om dingen te melden die niet goed gaan en daarom veel meer melden dan andere bedrijven...Zomaar een gedachte
Reageer
FrostyPeet @PhRiXoS3 december 2025 13:33
Zeker. je hebt ook de FONA (fouten, ongevallen en near-accidents). Tussen twee haakjes, wie bedenkt zo'n rare Nederlandse en Engelse afkorting?

De zorg heeft een meld- en rapportage cultuur. Echt alles (moet) worden vastgelegd. Er zijn ook veel registers, waarin van alles wordt opgelegd. Ziekenhuizen hebben vergeleken met 20 jaar geleden een hoge doorloopsnelheid van patiënten, je wordt vaak nog half gammel ontslagen. De kans op fouten stijgt daardoor. De kans op onontdekte fouten stijgt ook omdat de patiënt al weg is.
Reageer
FrostyPeet 3 december 2025 13:24
Ik heb hier wel een raar gevoel bij.

Het is nuttig om bedrijven en instellingen attent te houden over privacy gevoelige zaken als datalekken.

Gezien de krakende toestand van de zorg in NL komt het op mij over als dat iemand de bandenspanning controleert van een roestige auto, die met plakband bij elkaar wordt gehouden.

Er zijn zoveel problemen in de zorg die in mijn ogen veel urgenter zijn.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq