Inspectie laakt beveiliging bevolkingsonderzoekslab maar kan geen straf opleggen

Het medische laboratorium Clinical Diagnostics voldeed niet aan de wettelijke norm voor informatiebeveiliging, maar krijgt daarvoor geen boete. Dat meldt de Inspectie Gezondheidszorg en Jeugd. De IGJ kan namelijk geen bestraffende maatregel opleggen. De Autoriteit Persoonsgegevens, die het lab ook onderzoekt, kan dat wel.

Dit nieuws in het kort

  • Het gehackte medische lab Clinical Diagnostics voldeed niet aan verplichte cybersecuritynormen.
  • Als het lab zich hier wel aan had gehouden, was er minder kans geweest op een hack en waren de gevolgen kleiner.
  • Bij de hack in 2025 werden gevoelige medische gegevens van honderdduizenden vrouwen uitgelekt.
  • Bevolkingsonderzoek Nederland wil weer samenwerken met Clinical Diagnostics, zodra de ict-problemen zijn opgelost.

Clinical Diagnostics is verplicht om aan de NEN 7510-norm te voldoen, omdat het werkt met zorgdata. Tijdens de hack in juli 2025 voldeed het lab hier echter niet aan, schrijft de Inspectie Gezondheidszorg en Jeugd. "Het werken volgens deze norm had de kans op een informatiebeveiligingsincident als dit kunnen verkleinen en de gevolgen beperken", schrijft de inspectie.

Het lab had onder meer geen onafhankelijke audit uitgevoerd op de databeveiliging. De risico's bij het verwerken van gegevens werden ook niet periodiek in kaart gebracht. "Zonder inzicht te hebben in die risico's kon zij niet bepalen welke maatregelen nodig waren voor databeveiliging", schrijft de IGJ.

Medische labs die met patiëntgegevens werken zijn op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verplicht te voldoen aan de NEN 7510-norm. Clinical Diagnostics deed dit dus niet, maar de inspectie kan op basis van die wet geen straf opleggen.

De inspectie heeft het lab wel gevraagd om op korte termijn te voldoen aan de norm. Clinical Diagnostics heeft daarop een externe audit laten uitvoeren met een positieve uitkomst en verwacht dat de certificering binnenkort is afgerond. "De inspectie blijft de voortgang en naleving nauwgezet volgen."

Medische gegevens van honderdduizenden vrouwen lekten uit

In augustus vorig jaar werd bekend dat de gegevens van zeker 715.000 Nederlandse vrouwen die een bevolkingsonderzoek naar baarmoederhalskanker hadden ondergaan, waren uitgelekt via Clinical Diagnostics. IGJ en de Autoriteit Persoonsgegevens maakten daarop bekend het lab te onderzoeken. De AP kan, in tegenstelling tot IGJ, wel boetes opleggen.

Het lab betaalde de hackers, waarna ze beloofden de gestolen medische data te verwijderen. Toch is het niet aan te tonen dat de data daadwerkelijk is verwijderd. Kort na de hack is ook een massaclaimactie gestart.

Overigens wil Bevolkingsonderzoek Nederland toch nog steeds samenwerken met Clinical Diagnostics. Volgens het kabinet zijn er geen andere partijen die het werk kunnen overnemen. Het lab moet wel eerst alle ict-problemen oplossen.

cybersecurity, security, beveiliging, lock, slot (beeld: Getty Images, JuSun)
Bron: Getty Images, JuSun

Door Hayte Hugo

Redacteur

Feedback • 13-05-2026 12:26 56

13-05-2026 • 12:26

56

Lees meer

Nederlands OM krijgt 118 aangiften na medisch datalek dat 850.000 mensen raakte
Nederlands OM krijgt 118 aangiften na medisch datalek dat 850.000 mensen raakte Nieuws van 17 februari 2026
Bevolkingsonderzoek gaat weer samenwerken met lab waar eerder hack plaatsvond
Bevolkingsonderzoek gaat weer samenwerken met lab waar eerder hack plaatsvond Nieuws van 6 februari 2026
AP gaat komende maanden steekproeven doen bij zorgaanbieders om databeveiliging
AP gaat komende maanden steekproeven doen bij zorgaanbieders om databeveiliging Nieuws van 3 december 2025
Ombudsman: slachtoffers van Clinical Diagnostics-lek zijn niet goed geïnformeerd
Ombudsman: slachtoffers van Clinical Diagnostics-lek zijn niet goed geïnformeerd Nieuws van 3 september 2025
Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen
Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen Nieuws van 29 augustus 2025
Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium
Nederlandse OM doet strafrechtelijk onderzoek na datalek medisch laboratorium Nieuws van 27 augustus 2025
68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab
68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab Nieuws van 27 augustus 2025
Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen
Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen Nieuws van 22 augustus 2025
Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens
Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens Nieuws van 19 augustus 2025
'Nova kreeg aanbod van ruim een miljoen euro voor gestolen patiëntgegevens'
'Nova kreeg aanbod van ruim een miljoen euro voor gestolen patiëntgegevens' Nieuws van 18 augustus 2025
Clinical Diagnostics doet nog onderzoek naar cyberaanval medische onderzoeken
Clinical Diagnostics doet nog onderzoek naar cyberaanval medische onderzoeken Nieuws van 15 augustus 2025
Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics na hack
Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics na hack Nieuws van 15 augustus 2025
RTL Nieuws: door ransomware getroffen medisch lab heeft losgeld betaald
RTL Nieuws: door ransomware getroffen medisch lab heeft losgeld betaald Nieuws van 13 augustus 2025
Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt
Naast gegevens onderzoek baarmoederhalskanker is ook andere medische info gelekt Nieuws van 11 augustus 2025
Medische data en bsn's van deelnemers baarmoederhalskankeronderzoek zijn gelekt
Medische data en bsn's van deelnemers baarmoederhalskankeronderzoek zijn gelekt Nieuws van 11 augustus 2025
Meer producten en artikelen
Beveiliging en antivirus Privacy Hack Hackers Nederland Onderzoek Zorgstelsel

Reacties (56)

-Moderatie-faq
56
54
21
6
0
23
Wijzig sortering

Sorteer op:

Weergave:
BytePhantomX 13 mei 2026 13:47
Het Haga ziekenhuis heeft een boete gekregen van de AP van 450k en die is later na een rechtszaak verlaagd naar 360k door de rechtbank. Een specifiek onderdeel van de motivatie van de AP bij die boete was, het niet hebben van MFA voor toegang tot patiënt gegevens, wat een eis is in de NEN 7510 norm. De NEN7510 norm was hierbij leidend voor de AP om aan te tonen dat het ziekenhuis niet voldeet aan de eisen en dat heeft stand gehouden bij de rechter. https://www.autoriteitpersoonsgegevens.nl/documenten/boete-hagaziekenhuis

Daarmee is niet voldoen aan de NEN 7510 misschien maar een kleine constatering, maar ontzettend relevant voor de AP om te gebruiken voor het opleggen van een boete.

Nu zijn echter wel de boeterichtlijnen veranderd, zoals recent te zien was bij het boetebsluit van Yango. nieuws: AP geeft taxi-app Yango 100 miljoen euro boete voor doorspelen info aan Rusland. Daarmee zijn de boetbedragen zoals bij het Haga verleden tijd.

Als je dan de omzet van Eurofins pakt (moeder van Clinical Diagnostics) van 7,2mld. Dan kun je in dit geval een boete verwachten van 15 tot 100 miljoen euro. Beetje afhankelijk hoe zwaar de AP hem inzet.

Het jammere is vooral dat de AP onderzoek doet en in dat proces wederhoor vraagt. Discussie met advocaten etc. En pas als alles definitief is, de boete oplegt en publiceert. Dan ben je misschien 2 jaar verder en dan kan er nog een rechtszaak met hoger beroep volgen. Dus we zijn al met al jaren verder voor we echt weten waar het op staat.
Reageer
Evertt 13 mei 2026 12:38
Ik vindt dat eerder Bevolkingsonderzoek Nederland een boete moet krijgen hun zijn de veroorzaker door de gegevens van derden te geven. Bevolkingsonderzoek Nederland had beter gecodeerde gegevens kunnen gebruiken door alleen namen te gebruiken en niet alle gegevens.
Reageer
J_van_Ekris
@Evertt13 mei 2026 13:19
De wet op de Geneeskundige Behandelovereenkomst (WGBO) verplicht het gevruik van echte namen. Immers als de uitslag vervelend is, en de vrouw het behandelend circuit ingaat moet iedereen die hierbij betrokken is het lab kunnen bellen met de vraag "wat heb je exact gezien waarom je deze patient er uit pikte?". En dan MOET men wederzijds vaststellen dat het om dezelfde patient gaat en dan VERPLICHT de WGBO het gebruik van personalia. Dit is ook het expliciete advies geweest toen enkele jaren geleden de AP vanuit het ministerie een adviesaanvraag over het bevolkingsonderzoek kreeg.
Reageer
laurxp @J_van_Ekris13 mei 2026 21:52
Sure, Bevolkingsonderzoek Nederland moet een dossier bijhouden, want zij zijn een zorgverlener, maar waarom heeft een gecontracteerd 3rd-party laboratorium dingen als adresgegevens nodig? Het lab heeft immers geen directe behandelingsrelatie met de patiënt, ze zijn niks meer dan een implementatiedetail van de werking van het Bevolkingsonderzoek!

De patiënt heeft geen direct contact met het lab, en wéét dus niet eens dat het lab die data heeft. Contact voor het opvragen van data loopt dus altijd éérst via het Bevolkingsonderzoek om er achter te komen welk lab het überhaupt is geweest. En als je toch al in het dossier bij het Bevolkingsonderzoek moet kijken om de lab-info te vinden, waarom zou je dan niet tegelijkertijd een anoniem onderzoeksnummer kunnen ophalen om door te geven als referentie bij het lab?
Reageer
J_van_Ekris
@laurxp13 mei 2026 23:09
Sure, Bevolkingsonderzoek Nederland moet een dossier bijhouden, want zij zijn een zorgverlener
Oke, leuke juridische details. BVO Nederland heeft geen behandelrelatie, want het is screening (en er is dus nog geen ziekte vermoed, dus ook geen behandelrelatie). BVO Nederland stuurt de uitnodiging en indien nodig de uitslagen door naar de huisarts, maar ze is geen behandelaar (want geen zorginstelling). Kwam er regelmatig, nooit een patient of bed tegengekomen.
maar waarom heeft een gecontracteerd 3rd-party laboratorium dingen als adresgegevens nodig?
Omdat de wet BSN in de zorg ze dat verplicht. Een patholoog is een medisch specialist, en een pathologielab is een zorgverlener conform WGBO. Dus zijn ze wettelijk verplicht het BSN in de zorg te gebruiken, zelfs voor screeningsonderzoek. De AP heeft dat een paar jaar geleden ook in haar adviesaanvraag geconstateerd (de reden van de adviesaanvraag was of preventief medisch onderzoek ook onder de WGBO en BSN in de zorg vallen. Antwoord: Ja).
Het lab heeft immers geen directe behandelingsrelatie met de patiënt, ze zijn niks meer dan een implementatiedetail van de werking van het Bevolkingsonderzoek!
Dit is echt een fout beeld. De patholoog is een medisch specialist en stelt de medische diagnose dat het uitstrijkje foute boel is of niet. Zijn/haar oordeel (geen simpele telling, maar een medisch oordeel over het celbeeld) is wat de medische diagnose volledig bepaalt. Veel meer behandelrelatie kun je wettelijk niet hebben. Dat de patient de patholoog niet ziet doet er juridisch absoluut niet toe: de patholoog stelt een medische diagnose op basis van een celbeeld, en daarmee is hij per definitie (mede)behandelaar.
De patiënt heeft geen direct contact met het lab,
Dat is ook niet de bedoeling, al is het maar omdat een lab geen WID identificatie kan doen en de patient dus niks mag vertellen (AVG/WGBO dingetje). De medisch specialist van het ziekenhuis daarintegen kan het lab rechtstreeks bellen en op basis van BSN en NAW extra info vragen (want de PAP-klasse alleen is soms te beperkt om onderzoek gericht te starten).
en wéét dus niet eens dat het lab die data heeft. Contact voor het opvragen van data loopt dus altijd éérst via het Bevolkingsonderzoek om er achter te komen welk lab het überhaupt is geweest.
Nee, dat staat netjes in de uitslag wie de diagnose heeft gesteld (als medisch specialist "teken" je altijd de diagnose, en dat is integraal onderdeel van de uitslag). Ook dat is een wettelijke plicht vanuit de WGBO. Het moet zelfs bewaard blijven mocht er een tuchtzaak komen. De medisch specialist in het ziekenhuis weet dus wel genoeg om contact te leggen.
En als je toch al in het dossier bij het Bevolkingsonderzoek moet kijken om de lab-info te vinden
Mensen hebben geen dossier bij BVO Nederland. Die mag haar wettelijke taak uitvoeren (burger uitnodigen, huisarts op de hoogte stellen), maar ze mag geen dossier vormen (want geen zorginstelling).
waarom zou je dan niet tegelijkertijd een anoniem onderzoeksnummer kunnen ophalen om door te geven als referentie bij het lab?
Dat deden we tot de invoering van het BSN. Toen bestond er zoiets als het BVONummer. Leidde tot patientverwisselingen, administratieve splitsingen en administratieve tweelingen. De wet op het BSN heeft daar heel veel ellende opgelost (spreek hier uit eerste hand).

[Reactie gewijzigd door J_van_Ekris op 13 mei 2026 23:22]

Reageer
arjankoole
@laurxp13 mei 2026 21:58
Omdat het lab de patiënt informeert namens het bevolkingsonderzoek. Het bevolkingsonderzoek heeft daar zelf niet de middelen en capaciteit voor. Daarom wordt het uitbesteed aan specifiek dit lab, die kan alles. (Behalve, helaas, goede beveiliging)
Reageer
MSalters @Evertt13 mei 2026 12:57
Daar is 0 juridische basis voor. Zie AVG. Dit mag gewoon, expliciet geregeld.
Reageer
RalphM. @Evertt13 mei 2026 14:41
Ja en nee. Als verwerker mag een bedrijf gevoelige data opslaan namens een Zorginstituut, mits het doel duidelijk omschreven is en proportioneel is. Waar ze wel tekort zijn geschoten is het controleren of hun verwerker wel aan alle wetten en richtlijnen voldoet (WGBO in het specifiek). Desnoods kunnen ze bij hun eigen audit vragen verwerkers in scope op te nemen.
Reageer
bzzzt @GoldenSample13 mei 2026 12:41
Misschien eerst even afwachten wat AP gaat doen voor je je vertrouwen in de overheid opzegt? Ondanks dat ze een massa aan kleinere zaken niet kunnen behandelen lijkt het mij dat deze zaak hun aandacht wel heeft.
Reageer
MSalters @bzzzt13 mei 2026 12:50
En als de IGJ wel bevoegd geweest zou zijn om boetes op te leggen dan hadden we terecht geklaagd dat we teveel ambtenaren hadden, en dat ze dubbel werk zouden doen. De AP heeft hier een panklare zaak, uitgezocht door specialisten.
Reageer
gjkamstra @redslow13 mei 2026 12:59
De Autoriteit Persoonsgegevens is gewoon bezig met een onderzoek
Reageer
Blinkin @redslow13 mei 2026 13:58
Dat komt omdat we in Nederland werken met onschuldig tot het tegendeel is bewezen. Hartstikke leuk dat je klaagt over het niet aanpakken door de overheid. Zolang het onderzoek nog lopende is is dat ook geen realistische verwachting.
Reageer
ronaldvr @bzzzt13 mei 2026 15:01
Ik denk dat je abuis bent het is de Inspectie Gezondheidszorg en Jeugd. die dat controleert en moet controleren en niet de AP. EN het echte probleem is dat de VVD en het CDA alle inspecties ontmanteld hebben de afgelopen jaren, en tandeloos gemaakt. Wikipedia: Inspectie Gezondheidszorg en Jeugd
Reageer
iew @bzzzt13 mei 2026 14:54
Misschien eerst even afwachten wat AP gaat doen voor je je vertrouwen in de overheid opzegt?
Ik denk dat dat weinig gaat helpen, het algehele vertrouwen in de politiek is immers al een behoorlijke tijd historisch laag. Ik denk dat veel mensen het ook wel goed zat zijn om telkens te horen dat 'iets niet kan', te vaak horen we de woorden 'kan niet', vanuit de politiek. Op diverse fronten.
Reageer
bzzzt @iew13 mei 2026 16:57
Je mag kiezen: of je leeft in een rechtsstaat waarin overheid en bedrijven zich aan regels houden waardoor sommige dingen langer duren of je leeft in een dictatuur waarin alles zomaar kan veranderen, zeker voor jou als je niet bij de vriendjes van de dictator hoort.
Reageer
VOODOO_WILLIE @bzzzt13 mei 2026 22:01
Dat eerste is alvast aantoonbaar niet het geval en daar is genoeg berichtgeving (ook hier op tweakers) over te vinden ...
Reageer
bzzzt @VOODOO_WILLIE14 mei 2026 10:27
Geen enkele staatsvorm is perfect. Het alternatief is alleen beroerder. Vertel mij eens welke dictator er over Nederland regeert?
Reageer
VOODOO_WILLIE @bzzzt14 mei 2026 18:11
Vertel mij eens welke dictator er over Nederland regeert?
Dat wordt een semantische discussie ...

Als je een antwoord verwacht dat voldoet aan de ingelepelde beeldvorming van "een dictator" dan kan ik je die niet geven.

Wat in ieder geval een snoeihard feit is, is dat wij allerhande wet- en regelgeving -gedicteerd- krijgen door ondemocratische grensoverschrijdende "instituten". En de meest zichbare (en zogenaamd "democratische") daarvan is de EU (of beter gezegd de EC).

Wat daar verder nog boven, achter en omheen zit is een hele complexe discussie op zich en of dat uiteindelijk uitkomt komt bij een enkele "dictator" is de grote "million dollar question". Als dat zo is dan lijkt diegene, in ieder geval, niet opzichtig op het toneel te staan. Maar dat we "geregeerd" worden door (op z'n minst) een dictatoriaal "clubje", lijkt me nogal duidelijk.
Reageer
bzzzt @VOODOO_WILLIE14 mei 2026 19:16
Je bent op de hoogte dat er om de 5 jaar Europese verkiezingen zijn?

Dat je het met bepaald beleid niet eens bent betekent nog niet dat er geen sprake is van democratie...
Reageer
VOODOO_WILLIE @bzzzt14 mei 2026 21:59
Ja, dat was te verwachten. De/het "mantra der democratie" ...

Leg mij maar eens uit hoe wij dan democratisch de leden van de Europese Commissie kiezen.
Dat je het met bepaald beleid niet eens bent betekent nog niet dat er geen sprake is van democratie...
Dat iets er op papier uitziet als democratie betekent nog niet dat er in de praktijk ook daadwerkelijk sprake van is ...

Er valt ontzettend veel over uit te wijden (bijvoorbeeld dat "democratie" principieel heel wat anders is dan "tirannie van de 'meerderheid'") maar nog los van de hele inherrent onwrikbare structuur in theorie en alle "old boys netwerken" in de praktijk:

Op nationale schaal is je stem al volledig verwaarloosbaar maar op europese schaal is die ronduit homeopatisch. En dan is het sowieso de vraag wat er eigenlijk nog zo "democratisch" aan is.

En, nee, je hoeft me echt niet de theoretische werking van de "representatieve democratie" uit te gaan leggen. In dat sprookje heb ik namelijk veel te lang geloofd en ik ben er niet voor niets van "genezen". :)
Reageer
Thijs_Rallye @GoldenSample13 mei 2026 13:56
Boetes zijn enkel voor particulieren. Niet voor de potentiele nieuwe baankansen van ex-politici he.
Reageer
Kidtchow 13 mei 2026 14:00
Wat ik mis in het verhaal is dat ook de instellingen die hun gegevens aan Clinical Diagnostics aanleverden aangesproken dienen te worden. Als men privacy gevoelige gegevens aan een ander levert dient met zich ervan te vergewissen dat de ander alles goed heeft geregeld.
Reageer
batjes 13 mei 2026 12:34
Misschien dat ik het mis, maar er wordt geen reden gegeven om geen boete uit te delen?

Lekkere wassenneus dus die certificering. Ondanks dat ze hun shit dus niet op orde hadden, geen enkele consequenties? Men gaat ook vrolijk door met deze toko.
Reageer
Cybje @batjes13 mei 2026 12:37
Het staat in het artikel:
De IGJ kan namelijk geen bestraffende maatregel opleggen. De Autoriteit Persoonsgegevens, die het lab ook onderzoekt, kan dat wel.
Dus wellicht krijgen ze nog een boete van de AP (maar daar loopt het onderzoek nog). Maar van de IGJ kan dat dus niet.

[Reactie gewijzigd door Cybje op 13 mei 2026 12:38]

Reageer
Lamith @Cybje13 mei 2026 13:35
Het staat in het artikel inderdaad. Waarom moet in de titel dan toch vermeld worden dat er geen boete gegeven wordt, als de concluderende instantie helemaal geen boetes mag geven?
Reageer
Blinkin @Lamith13 mei 2026 14:00
Waarom t in de titel staat is een hele goede vraag. Qua waarom het in het artikel vermeld staat lijkt mij dit omdat het een logische vraag kan zijn bij zoiets als je het niet vermeld.
Reageer
Niemand_Anders @Cybje13 mei 2026 15:06
Boetes vanuit het AP zijn over het algemeen extreem laag en als er eens een keer een hogere boete uitrolt, dan wordt deze later door een rechter weer verlaagd.

Zolang de boetes lager blijven dan de omzet, heeft een boete geen afschrikkend effect.
Reageer
bzzzt @batjes13 mei 2026 12:44
Als een instantie geen toestemming heeft om boetes uit te delen kunnen ze dat niet. Simpel toch? Anders ga ik morgen ook maar eens mensen op straat bekeuren...
Reageer
The_Woesh @batjes13 mei 2026 13:13
Het staat er letterlijk. IGJ kan geen boetes uitdelen.

Wel kan ik mij voorstellen dat dit de kans op schadevergoedingen in een civiele rechtzaa flink kan vergroten. Het niet voldoen aan een norm waar je wel aan moet voldoen, en zwart op wit door een toezichthouder geconstateerd, is namelijk bewijs van wan-bestuur op een zilveren dienblad aangereikt.
Reageer
PixelPionier 13 mei 2026 12:35
Eigenlijk zou ieder bedrijf dat met data werkt ISO27001 (=NEN7510 in NL) en SOC2 moeten hebben (Odido!)
Reageer
MSalters @PixelPionier13 mei 2026 12:53
Nope. NEN7510 is een specifieke toepassing van de algemene ISO27001 regels voor persoonsgegevens in de zorg.

Je suggestie dat Odido iets met NEN7510 moet is dus erg raar.
Reageer
dwizzy @PixelPionier13 mei 2026 12:59
NEN7510 is laatste keer dat ik leerde, 95% gelijk aan NEN-EN-ISO/IEC 27001 en voor de rest aangepast op de zorg.

Die NEN-EN-ISO/IEC is maar om aan te geven dat er vier lagen organisaties over gepist hebben ;) (Nederlandse vertaalde norm, Europese Norm, die is afgeleid van...)

De opdrachtgever heeft hier gewoon verzaakt. Wij zijn bezig onze ISO27001 af te vinken, en hebben daarbij onze strategische leverancier voor telefonie (Odido) gevraagd om hun ISO27001 en hun Statement of Applicability, waarmee we op papier kunnen beoordelen dat onze keten voldoet.

En in praktijk heb ik in verleden wel eens een wijzigingsverzoek aan dure partijen gestuurd met stapels ISO-certificaten... die klakkeloos en incorrect werden uitgevoerd zonder echt goede verificatie van wie ik was.
Reageer
Quintiemero @PixelPionier13 mei 2026 12:45
HAHA aub niet.
  1. Nen is een apart raamwerk
  2. Iso zegt niks over dat een applicatie veilig of database veilig is
  3. Iso zegt iets dat je processen en controls in place hebt. Niet dat er geen kwetsbaarheden zijn.
Iso wordt ruimschoots overschat. Je kunt zelf de scope bepalen van een ISO. Dit maakt dat veel organisaties niet verder kijken dan een ISO. Oh je hebt ISO, dan ben je bijv. AVG-proof. Euh nee.
Reageer
MSalters @Quintiemero13 mei 2026 12:56
NEN is helemaal geen "apart raamwerk". NEN is het stelsel van Nederlandse normen, van het Nederlands Normalisatie Instituut (NNI). Die zijn gewoon lid van ISO.

Bron: ik zat namens NNI bij ISO bijeenkomsten.
Reageer
Quintiemero @MSalters13 mei 2026 13:23
Dus NEN7510 is precies dezelfde als de ISO27001? Of is het een verglijkbare ISO, maar dan gericht oo zorgpartijen. Dan geldt dus niet NEN7510 = ISO27001.
Reageer
MSalters @Quintiemero13 mei 2026 22:26
Nee, NEN 7510 is geen ISO 27001. Het is uberhaupt geen ISO norm. Het is een Nederlandse norm, onder andere gebaseerd op ISO 27001.
Reageer
Quintiemero @MSalters14 mei 2026 06:20
Dat becoelde ik dus. Dan klopte het eerdere statement niet.
Reageer
PixelPionier @Quintiemero13 mei 2026 13:08
Dit soort reacties veroorzaakt dat bedrijven nog steeds gehacked worden. Er zijn prima standaarden die je kunt volgen maar ze vinden dat vaak lastig of duur of komen met allerlei flauwekul opmerkingen om het vooral niet te doen. Daar waar het in de zorg verplicht is zelfs al heb je maar 1 klant, komen bedrijven met miljoenen klanten er mee weg. Dat is vreemd! Dus een basis set die voor alle bedrijven van toepassing is, ISO27001, SOC2, GDPR zou een mooie eerste stap zijn.
Reageer
laurxp @PixelPionier13 mei 2026 22:10
Integendeel: het cruciale punt is dat het halen van een ISO27001-certificering simpelweg niet genoeg is. Ze kijken voornamelijk naar het vastleggen van bedrijfsprocessen en amper naar de inhoud of het naleven daarvan, en dan ook nog eens voornamelijk op managementniveau. De meest onprofessionele zolderkamer-startup met gatenkaascode kan zo'n papiertje krijgen, het kost alleen een hoop tijd en geld om al het papierwerk op orde te krijgen.

Voor een professionele partij is er dus geen enkel excuus om het niet te hebben - maar het is naïef om te denken dat het halen van de juiste papiertjes genoeg is om daadwerkelijk veilig te zijn. Het is niks meer dan een beginpunt om überhaupt (controleerbaar) veilig te kúnnen zijn.
Reageer
Aaargh! @PixelPionier13 mei 2026 13:13
En evt ISO27701 als ze met persoonsgegevens werken.
Reageer
SVMartin @PixelPionier13 mei 2026 19:52
Eigenlijk zou de afnemer van de dienst van dit bedrijf (dus de ziekenhuizen) moeten controleren of de leverancier voldoet aan de eisen. En dan niet blind een verkoper geloven, maar de informatie beveiliging specialist van de leverancier de juiste vragen stellen.
Reageer
PixelPionier @SVMartin13 mei 2026 21:48
Dat is ook precies wat er in dat soort standaarden staat! Een inkoop SOP met classificatie, risico's en controls!
Reageer
SVMartin @PixelPionier13 mei 2026 23:21
Precies, en waarom gaat alle aandacht dan naar dit lab, en niet (ook) naar het bevolkingsonderzoek?
Reageer
PixelPionier @SVMartin13 mei 2026 23:27
Omdat die simpelweg niet gedaan hebben wat ze volgens die normen en hun eigen SOPs zouden moeten doen. Een audit is ook maar een steekproef.
Reageer
Naafkap 13 mei 2026 12:35
Ongelofelijk. Op deze manier verandert er niets en zal investeren in cyberveiligheid nooit prioriteit hebben


En de gedupeerden hebben het nakijken. Kansloos.
Reageer
HollowGamer 13 mei 2026 12:42
Het is zo krom dat er geen boete is, maar wel die boete wordt betaald aan de hack groepen.

Het is al jaren een puinhoop op gebied van beveiliging. Dat komt mede door alle bezuinigingen en het niet investeren in kennis (laat de markt dat maar oplossen)/verkopen van onze kennis aan andere landen.
Reageer
junkchaser 13 mei 2026 12:54
Dit is dan eigenlijk bijna legaal stelen...
Reageer
dakka 13 mei 2026 13:44
De titel is een beetje misleidend/stemmingsmakend @Hayte, zie de comments, mensen die alleen de titel lezen schieten gelijk naar een conclusie dat ze vrijuit gaan, terwijl de IGJ dat sowieso niet kan of ze het wel of niet willen.

[Reactie gewijzigd door dakka op 13 mei 2026 13:44]

Reageer
Wouterie @dakka13 mei 2026 15:11
Ach ja... zo haal je meteen de reaguurders eruit die niet verder lezen dan de titel.
Reageer
AuteurHayte Redacteur @dakka13 mei 2026 16:19
Ik snap wat je bedoelt, ik heb de kop zojuist aangepast :)
Reageer
dakka @Hayte13 mei 2026 16:43
(y) :)
Reageer

Om te kunnen reageren moet je ingelogd zijn