Bevolkingsonderzoek gaat weer samenwerken met lab waar eerder hack plaatsvond

Bevolkingsonderzoek Nederland wil weer samenwerken met Clinical Diagnostics. Bij dat laboratorium lekten vorig jaar gevoelige, medische gegevens van tienduizenden vrouwen uit. Volgens de verantwoordelijke staatssecretaris kan het niet anders, omdat er geen andere partijen zijn die dat werk kunnen overnemen. Het lab moet wel eerst beter worden beveiligd.

Dat schrijft staatssecretaris voor Jeugd, Preventie en Sport Judith Tielen in een Kamerbrief. Tielen brengt de Tweede Kamer daarin op de hoogte van een hack op een medisch laboratorium in de zomer van vorig jaar. Toen werd het lab Clinical Diagnostics gehackt, waarbij onder andere gegevens van deelnemers aan het nationaal bevolkingsonderzoek naar baarmoederhalskanker werden buitgemaakt. Bevolkingsonderzoek Nederland (BVO) stopte toen direct de samenwerking met dat laboratorium.

Die samenwerking wordt nu weer opgestart, schrijft Tielen. Dat gaat niet van harte, want Tielen erkent in haar brief meerdere keren hiermee niet blij te zijn. Er is echter noodzaak om de samenwerking te hervatten. Door het wegvallen van Clinical Diagnostics zijn er nog maar twee laboratoria die baarmoederhalskankeronderzoek kunnen doen. "Van BVO en het RIVM begrijp ik dat het vinden van een ander laboratorium dat op korte termijn het werk kan en wil overnemen, niet haalbaar is", schrijft Tielen.

Nu al worden uitnodigingen voor een nieuw bevolkingsonderzoek naar baarmoederhalskanker later uitgestuurd dan de organisaties en de overheid zouden willen. Daarom kijken alle partijen noodgedwongen weer naar Clinical Diagnostics. Nederlandse burgers lijken daarmee overigens minder moeite te hebben. Uit onderzoek van BVO bleek dat het merendeel van de deelnemers aan het bevolkingsonderzoek zich niet laat tegenhouden door de hack en dat het mogelijk moet zijn het vertrouwen in het bevolkingsonderzoek weer terug te winnen. Slechts een minderheid zegt dat onderzoek helemaal niet meer te willen doen. Onder de streep is het daarom voor de volksgezondheid nuttiger wél met Clinical Diagnostics te werken dan niet.

Tekortkomingen in beveiliging

De overheid heeft consultancybureau PwC onderzoek laten uitvoeren naar de beveiliging van Clinical Diagnostics. Die schoot tekort. Tielen geeft geen details over dat onderzoek, maar zegt wel: "Uit het onderzoeksrapport van PwC volgt dat op de punten van de operationele processen, ict-systemen, datastromen en onderliggende ict-infrastructuren tekortkomingen bestaan." Ze zegt verder 'geschrokken te zijn' van de tekortkomingen, maar dat ze de beslissing van BVO om weer met Clinical Diagnostics samen te werken 'alles afwegende snapt'.

Daar zitten voorwaarden aan. Zo krijgt Clinical Diagnostics eerst zes maanden de tijd om alle ict-problemen op te lossen. Daarna gaat PwC weer onderzoek doen. Pas als daaruit blijkt dat alle problemen zijn opgelost, kan de samenwerking weer worden hervat.

Security/Hackers/Hack. Bron: Witthaya Prasongsin/Moment/Getty Images

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-02-2026 11:50
26 • submitter: Chocoball

06-02-2026 • 11:50

26

Submitter: Chocoball

Lees meer

AP gaat komende maanden steekproeven doen bij zorgaanbieders om databeveiliging
AP gaat komende maanden steekproeven doen bij zorgaanbieders om databeveiliging Nieuws van 3 december 2025
AI wordt op zijn vroegst in 2028 ingezet voor borstkankeronderzoek in Nederland
AI wordt op zijn vroegst in 2028 ingezet voor borstkankeronderzoek in Nederland Nieuws van 15 oktober 2025
Ombudsman: slachtoffers van Clinical Diagnostics-lek zijn niet goed geïnformeerd
Ombudsman: slachtoffers van Clinical Diagnostics-lek zijn niet goed geïnformeerd Nieuws van 3 september 2025
Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen
Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen Nieuws van 29 augustus 2025
Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium
Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium Nieuws van 27 augustus 2025
68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab
68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab Nieuws van 27 augustus 2025
Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen
Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen Nieuws van 22 augustus 2025
Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens
Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens Nieuws van 19 augustus 2025
Meer producten en artikelen
Beveiliging en antivirus Privacy Hack Nederland

Reacties (26)

-Moderatie-faq
26
26
13
1
0
11
Wijzig sortering

Sorteer op:

Weergave:
ATS 6 februari 2026 12:01
Wat ik me afvraag: waarom krijgt een laboratorium allerlei privacygevoelige gegevens die ze niet nodig heeft voor het doen van het daadwerkelijke onderzoek? Je zou denken dat een uniek ID voor elk sample genoeg zou moeten zijn om terug te rapporteren wat de uitslag is. Waarom krijgt zo'n lab inzicht in van wie het sample was, en weet ik veel hoeveel meer data?

Ik zou daarom zeggen dat er meer aan de hand is dan alleen de beveiliging bij dit concrete lab. De hele werkwijze van Bevolkingsonderzoek Nederland moet tegen het licht gehouden worden. Ze zouden zelf geen data moeten verstrekken aan partijen die deze data niet nodig hebben voor hun taak.
Reageer
Cyb @ATS6 februari 2026 12:11
Exact. Er wordt nu met het vingertje gewezen naar Clinical Diagnostics, maar elk bedrijf wordt vroeg of laat gehackt, al dan niet zonder dat ze het door hebben. Bevolkingsonderzoek Nederland had kunnen weten dat dit een keer zou gaan gebeuren, maar toch hebben ze er voor gekozen om volstrekt onnodig allerlei persoonsgegevens aan Clinical Diagnostics te verstrekken. Dat maakt niet alleen Clinical Diagnostics onbetrouwbaar, maar ook Bevolkingsonderzoek Nederland.
Reageer
gorgi_19 @ATS6 februari 2026 13:21
Als je deze quote leest, moeten ze dan de wet veranderen:
Erkende zorgverleners in Nederland zijn wettelijk verplicht om het BSN van hun patiënten vast te leggen en te bewaren. Ze gebruiken het BSN als ze gegevens over patiënten uitwisselen. Daarom zat het BSN ook in het lek bij Clinical Diagnostics. Met het nummer kunnen de onderzoeken aan de juiste personen worden gekoppeld.
Ook de autoriteit persoonsgegevens bevestigd dit:
https://www.autoriteitper...nummer-bsn/bsn-in-de-zorg
Ook moeten zorgaanbieders het BSN gebruiken als zij gegevens uitwisselen met andere zorgaanbieders, zorgverzekeraars en indicatieorganen.
Met het BSN heb je al een persoonsgegevens in de hoogste categorie. Het BSN moeten ze gebruiken. Clinical Diagnostics of Bevolkingsonderzoek Nederland kan dus niet bepalen dat ze een random sample nummer gebruiken.
Reageer
MacGyverNL @gorgi_196 februari 2026 13:40
De vraag is dan (en geen van de links die je geeft lijkt dat duidelijk te maken) of Clinical Diagnostics wel telt als zorgaanbieder of indicatieorgaan (ik heb géén idee wat een indicatieorgaan is, maar zorgverzekeraar zijn ze zeker niet). Ga je erheen en nemen zij monsters af? Dan zie ik dat wel ja. Maar krijgen zij een sample opgestuurd vanuit je huisarts of zo, en loopt de terugkoppeling via je huisarts, zijn ze dan niet "slechts" een contractant? Schrijft de wet dan ook voor dat zij het BSN moeten gebruiken?

Dat gezegd hebbend lijkt me de situatie waar elke zorgverlener een koppeltabel moet gaan bijhouden een recept voor medische missers, dus of dat nou wenselijk is is ook maar de vraag.

Edit: Elders wordt ook aangegeven dat ze echt veel meer kregen dan alleen het BSN dus ze zouden zich prima kunnen beperken tot alléén het BSN en dan is het risico dat je direct NAW-gegevens lekt er ook niet. BSN is dan misschien hoogste categorie, maar het gaat al om medische gegevens dus daar kan een BSN best bij. Het probleem is meer de volledige vergaarbak aan overige gegevens, díe zouden ze misschien eens niet hoeven te hebben als 't BSN toch al als koppelnummer wordt gebruikt.

[Reactie gewijzigd door MacGyverNL op 6 februari 2026 13:46]

Reageer
Michelli @ATS6 februari 2026 12:26
Inderdaad. Dit gaat volledig in tegen het beginsel van dataminimalisatie uit de AVG. Een lab zou eigenlijk alleen een ID, sample en het type onderzoek moeten hebben. Laat artsen de data interpreteren.

Zo kreeg het laboratorium onder andere NAW-gegevens, inclusief van mensen die in een Blijf Van Mijn Lijf huis verbleven: https://www.rtl.nl/nieuws/binnenland/artikel/5523135/datalek-laboratorium-blijf-van-mijn-lijf-huis-medische-gegevens
Reageer
cyclone 6 februari 2026 11:57
"Uit onderzoek van BVO bleek dat het merendeel van de deelnemers aan het bevolkingsonderzoek zich niet laat tegenhouden door de hack en dat het mogelijk moet zijn het vertrouwen in het bevolkingsonderzoek weer terug te winnen."

Is dit een openbaar onderzoek want om eerlijk te zijn geloof ik hier helemaal niets van.
Nietszeggende frase van BVO zonder dit publiekelijk te delen en inzicht te geven over hoe groot dit onderzoek was, wie de doelgroep was etc. etc.
Reageer
Bytebandit @cyclone6 februari 2026 12:01
Ik geloof hier ook totaal niets van. Ik werk zelf als software engineer en ik heb toch vanuit mijn omgeving van verschillende vrouwen die aan dit onderzoek hebben meegedaan, vragen gekregen wat deze hack mogelijkerwijs voor gevolgen kan hebben voor hun. Nu snap ik dat dit niet landelijk representatief is, maar dit soort hele specifieke vragen vanuit mijn directe omgeving heb ik nooit eerder gehad.
Reageer
Finraziel @Bytebandit6 februari 2026 12:08
Maar dat zegt toch niet dat ze er vervolgens voor zouden kiezen zich dan maar niet te laten onderzoeken? Ik kan me heel goed voorstellen dat de afweging gemaakt wordt, als je het wel doet zou er misschien een risico kunnen zijn op uitlekken van gegevens... Als je het niet doet is er een risico van het niet op tijd vinden van een aandoening. Dan zou ik ook kiezen voor mijn gezondheid en niet voor dataveiligheid van mijn gezondheid.
Reageer
alex3305 @cyclone6 februari 2026 12:31
Heel kort door de bocht is het dus voor (de getroffen) vrouwen kiezen tussen mogelijk kanker of hun privacy. Dat zou geen keuze horen te zijn.

Tegelijkertijd is het meedoen aan een bevolkingsonderzoek een eigen keuze waar je nog enigszins de controle over hebt. En met gevolgen waar veel mensen zich aan kunnen relativeren. Dat is helaas minder abstract dan het uitlekken van (medische) gegevens waar, na het onderzoek, toch al geen controle over is.
Reageer
xSNAKEX @cyclone6 februari 2026 13:16
Die ervaring heb ik niet wanneer ik het om me heen aan mensen vraag. Het lijkt me ook een vreemde conclusie. Mensen zijn namelijk bereid om in het dagelijkse leven hun privacy op te geven voor de meest basale dingen betreft gemak entertainment etc. En dan zouden ze hier ineens de streep trekken wanneer het zeer belangrijk is voor je gezondheid en het nalaten hiervan kan leiden tot dodelijke gevolgen?

Voor de duidelijkheid, ja ik vind ook dat mensen beter verdienen en ben ook erg benieuwd wat de uitslag van het PWC rapport is en wat voor gevolgen dat gaat hebben.
Reageer
J_van_Ekris 6 februari 2026 11:59
Vreemd. 20 jaar geleden deed vrijwel elk lab in Nederland dit werk (uitstrijkjes worden immers ook gewoon afgenomen in clinische settings) en enkele jaren terug waren het nog 5 labs die al het werk deden. Men heeft in de aanbesteding bewust dit terug gebracht naar 3. In de laatste aanbesteding zijn er dan ook labs afgevallen. Ik snap niet dat men niet langzaam weer kan opschalen.
Reageer
CamelKnight @J_van_Ekris6 februari 2026 13:11
Ik denk dat het volume dat bij dit bevolkingsonderzoek gepaard gaat, van dusdanige grootte is dat veel labs dat niet aankunnen. Te weinig geschoolde medewerkers, te weinig ruimte in de beschikbare panden, organisatie niet voorbereid of geschikt om dusdanig schaalgrootte aan te kunnen (managers, HR, etc.), etc. Dan kun je wel langzaam gaan opschalen maar zeker geschoold personeel vinden is een lastige om op te schalen. Als die mensen er gewoon niet zijn loop je tegen een muur op.
Reageer
Walkur 6 februari 2026 12:01
Tja.. lastig als je er blijkbaar te weinig capaciteit bij andere labs is.

Wat natuurlijk wel helpt dat bij Clinical Diagnostics nu de opeens de ITC wel een prioriteit is en dit mag ik hopen binnenkort veiliger is dan de meeste andere labs.

Best kans dat dit een geval is van een bestuur dat te weining aandacht voor ITC had ondanks al de waarschuwingen van de waarschijnlijk te veel bespaarde ITC afdeling.
Helaas is de ITC toch nog altijd een koste post waarop te veel op bespaard word, vooral als het "toch altijd goed gaat"
Reageer
StefanJanssen @Walkur6 februari 2026 12:26
Ik denk inderdaad dat na een schandaal als dit flink veel geld is ingezet naar beveiliging en mogelijk een van de veiligere plaatsen is voor dit soort dingen.
Reageer
CaptainKansloos 6 februari 2026 12:16
Zo krijgt Clinical Diagnostics eerst zes maanden de tijd om alle ict-problemen op te lossen. Daarna gaat PwC weer onderzoek doen. Pas als daaruit blijkt dat alle problemen zijn opgelost, kan de samenwerking weer worden hervat.
Op zich goed dat er onderzoek gedaan wordt; de vraag is of dit 'papieren tijgerwerk' echt zoden aan de dijk zet. Kennelijk is Clinical Diagnostics in de afgelopen periode iig _niet_ in staat gebleken te voldoen; anders hadden ze niet nogmaals 6 maanden tijd + aanvullend onderzoek aan hun broek gekregen.


Dan rijst m.i. de vraag in hoeverre er een 'cultuur omslag' heeft plaats gevonden daar. Ik snap dat dit een lastig proces is, maar met alleen wat technische verbeteringen bouw je geen vertrouwen op, lijkt me.
Reageer
vinkjb 6 februari 2026 11:56
Waarom niet eerst alles oplossen en dan de boel hervatten. Nu lopen ze nog steeds risico lijkt mij.
Reageer
Christoxz @vinkjb6 februari 2026 12:01
Het lijkt er op dat ze pas na het oplossen mogen hervatten.
Daar zitten voorwaarden aan. Zo krijgt Clinical Diagnostics eerst zes maanden de tijd om alle ict-problemen op te lossen. Daarna gaat PwC weer onderzoek doen. Pas als daaruit blijkt dat alle problemen zijn opgelost, kan de samenwerking weer worden hervat
Reageer
RVervuurt @vinkjb6 februari 2026 12:02
Dat staat ook in het artikel. Zowel in de inleiding als in de laatste alinea.
Reageer
GewoonWaarom 6 februari 2026 12:27
Een laboratorium zou helemaal geen persoonlijke gegevens moeten hebben. Slechts een nummer, waarmee gecommuniceerd wordt. Gegevens worden encrypted naar de huisarts of via een overheidspostbezorger naar de bewoner gestuurd.

Wanneer huisarts de gegevens heeft, wordt bij het lab de gegevens vernietigd.
Reageer
The Zep Man
@GewoonWaarom6 februari 2026 12:31
Een laboratorium zou helemaal geen persoonlijke gegevens moeten hebben. Slechts een nummer, waarmee gecommuniceerd wordt.
Een nummer en bijbehorende dossierstukken zijn persoonsgegevens. Indirect is het geheel herleidbaar naar een persoon.
Reageer
kipppertje 6 februari 2026 13:07
Enorm pijnlijk wat er gebeurd is, maar ik denk dat dit een gezonde houding is. Uiteindelijk is dit laboratorium ook gewoon slachtoffer van een misdrijf. Het is imho beter om gehackte bedrijven een verbetertraject door te laten gaan en daarna weer volop mee te laten doen dan ze uit te sluiten. Door gehackte bedrijven uit te sluiten zorg je er alleen maar voor dat een hack leidt tot faillissement, waarschijnlijk onder een andere naam verder gaan en dat bedrijven die gehackt worden er alles aan gaan doen om het onder de pet te houden.
Reageer
Ulster Seedling @kipppertje6 februari 2026 13:24
Precies. Bovendien kan ik me goed voorstellen dat in dit soort gevallen, na een verbetertraject, het bedrijf in kwestie de zaken beter in orde zal hebben (en houden) dan anderen waar dit (nog) niet is gebeurd. Dus het lijkt me goed om bedrijven in dit soort gevallen een 'tweede kans' te geven, en niet na één incident voor altijd uit te sluiten. (Natuurlijk hangt e.e.a. af van de situatie, maar over het algemeen lijkt dit me niet gek.)
Reageer
CoreData 6 februari 2026 13:07
"De overheid heeft consultancybureau PwC onderzoek laten uitvoeren naar de beveiliging van Clinical Diagnostics. Die schoot tekort."

Waar ik me vooral aan stoor bij dat soort 'onderzoeken' door grote consultancy bureaus, is dat er heel high-level gekeken wordt naar interne procedures rond IT security. Met andere woorden, die audits kijken hooguit na of er voldoende bureaucratie aanwezig is. Uiteraard helemaal niet voldoende om een uitspraak te kunnen doen over de effectieve veiligheid van het netwerk en de IT-systemen. Waar is het dan wel goed voor? Als die bureaucratie netjes aanwezig is kunnen de leidinggevenden zichzelf indekken. Hack met data breach? Niet onze fout, PwC is komen kijken en iedereen is hier verplicht checklistje A en B te ondertekenen alvorens iets naar productie mag.

Let op, ik zeg niet dat "governance" en "internal controls" overbodig zijn. Maar dat soort audits zijn met een grove korrel zout te nemen.

[Reactie gewijzigd door CoreData op 6 februari 2026 13:09]

Reageer
synoniem @CoreData6 februari 2026 13:30
Ik denk dat je daar alleen wat over kan zeggen als je kennis hebt kunnen nemen van het rapport van PWC. Goede kans dat je gelijk hebt maar PWC heeft wel degelijk ter zake kundige onderzoekers die de dagelijkse praktijk (kunnen) onderzoeken.
Reageer
FrostyPeet 6 februari 2026 13:22
Dit geeft al aan dat de gezondheidszorg in Nederland niet gezond is. Het moet allemaal zo goedkoop mogelijk. Dan lukt het niet en komen er commerciële partijen in beeld. Als dat een monopolist is leg je als overheid je nek in de strop.

Als de overheid niets doet en het blijkt na jaren dat er onnodig schade is bij mensen dan gaan die mensen ook weer aanklachten indienen en ontstaat Het Volgende Schandaal waar dan iedereen in de Tweede Kamer "geschokt" op reageert.

Het ergste is dat niemand zich verantwoordelijk voelt en het Grote Vingerwijzen tot een ware kunst is verheven. Daar zal zo'n consultant onderzoek niets aan veranderen.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq