Schrijver: Eberly Haalboom, Manager IT Security Consultants
In augustus 2025 werd bekend dat er een groot datalek heeft plaatsgevonden bij Clinical Diagnostics NMDL, een laboratorium dat in opdracht van Bevolkingsonderzoek Nederland uitstrijkjes en zelftesten analyseert. Bij deze hack zijn de persoonlijke gegevens van meer dan 850.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker gestolen, en het aantal getroffen personen kan nog verder oplopen. Ook is data ontvreemd van huid-, urine- en penisonderzoek. Het gaat om zeer gevoelige informatie, waaronder namen, adressen, geboortedata, burgerservicenummers en in sommige gevallen ook medische testresultaten en zorgverzekeringsgegevens.
De hack vond plaats tussen 3 en 6 juli 2025 en werd uitgevoerd door de hackersgroep Nova. Het betrof een ransomware-aanval, waarbij criminelen gegevens gijzelden en dreigden met publicatie.
Volgens Bevolkingsonderzoek Nederland zijn zij enorm geschrokken van het incident. De organisatie heeft de samenwerking met Clinical Diagnostics tijdelijk opgeschort totdat vaststaat dat de ICT-omgeving van het laboratorium weer veilig is. Nieuwe testen worden inmiddels verwerkt door andere laboratoria, zodat het bevolkingsonderzoek veilig voortgezet kan worden. Belangrijk om te weten is dat het datalek geen enkele invloed heeft op de uitslagen die al zijn verstrekt of nog zullen worden verstrekt.
De gelekte gegevens kunnen echter wel ernstige gevolgen hebben voor deelnemers. Omdat naast persoonsgegevens ook burgerservicenummers en medische informatie zijn buitgemaakt, bestaat er een risico op identiteitsfraude en gerichte phishing. Criminelen kunnen proberen slachtoffers te misleiden door hen te benaderen met realistische berichten die inspelen op hun medische situatie. Van een kleinere groep zijn ook e-mailadressen en telefoonnummers gestolen, waardoor de kans op spam en neptelefoontjes toeneemt. Er zijn zelfs gevallen bekend waarbij adressen van vrouwen die in een blijf-van-mijn-lijfhuis verblijven in verkeerde handen zijn gekomen, wat hun veiligheid direct in gevaar kan brengen.
De impact van dit datalek is groot en gaat verder dan de individuele risico’s. Uit reacties van slachtoffers blijkt dat er sprake is van een forse vertrouwensbreuk. Vrouwen gaven in interviews aan dat zij minder vertrouwen hebben in de overheid en twijfelen of zij in de toekomst nog willen deelnemen aan bevolkingsonderzoeken. Wetenschappers waarschuwen dat dit kan leiden tot zorgmijding, terwijl vroege opsporing van baarmoederhalskanker juist van absoluut levensbelang is.
De Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd zijn beide een onderzoek gestart. Er wordt gekeken of Clinical Diagnostics voldoende maatregelen heeft genomen vooraf om de gegevens te beveiligen en of er juist is gehandeld in de communicatie over het incident. Mocht blijken dat de beveiliging ernstig tekortschiet, dan kunnen er aanzienlijke boetes volgen. Daarnaast onderzoekt Bevolkingsonderzoek Nederland samen met het ministerie van Volksgezondheid en het RIVM hoe herhaling in de toekomst kan worden voorkomen.
Voor betrokkenen die een brief hebben ontvangen van Bevolkingsonderzoek Nederland geldt dat zij alert moeten blijven op mogelijke misbruik van hun gegevens. Het advies vanuit de overheid is om verdachte e-mails en telefoontjes kritisch te bekijken en nooit zomaar persoonlijke informatie te delen. Bij vermoedens van misbruik kan men terecht bij het Centraal Meldpunt Identiteitsfraude.
Het datalek bij het bevolkingsonderzoek baarmoederhalskanker laat zien hoe groot de gevolgen van een hack in de zorg kunnen zijn. Niet alleen deelnemers worden getroffen, maar ook het vertrouwen in vitale publieke programma’s komt onder druk te staan. Juist daarom is het voor organisaties in de zorg cruciaal om databeveiliging en snelle communicatie bij incidenten goed op orde te hebben en continu te verbeteren.
Wanneer je organisatie zelf te maken krijgt met een datalek, is snel en zorgvuldig handelen onmisbaar. Het is van belang dat de omvang van het datalek direct in kaart wordt gebracht, dat er tijdig melding wordt gedaan bij de Autoriteit Persoonsgegevens en dat betrokkenen duidelijk en volledig worden geïnformeerd. Organisaties die te maken krijgen met een datalek kunnen ondersteuning nodig hebben bij het naleven van de wettelijke verplichtingen, het helder informeren van betrokkenen en het treffen van maatregelen om herhaling te voorkomen
Wil je weten hoe wij jouw organisatie kunnen ondersteunen?
Bij het verwerken van een datalek en het herstellen van vertrouwen? Neem dan contact op voor een vrijblijvend adviesgesprek. Eberly Haalboom, Manager IT Security Consultants, ehaalboom@dignitas.nl, 06-52044763.
Meer lezen?
https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/datalek-dit-moet-u-doen
https://nos.nl/nieuwsuur/artikel/2578374-bevolkingsonderzoek-nederland-schokkend-dat-datalek-pas-na-maand-bekend-werd
https://www.bevolkingsonderzoeknederland.nl/nieuws/datalek/
https://www.bevolkingsonderzoeknederland.nl/baarmoederhalskanker/veelgestelde-vragen-datalek/
https://www.rtl.nl/nieuws/binnenland/artikel/5523036/hack-laboratorium-cybercriminelen-ransomware-losgeld-betaald-data
https://nos.nl/artikel/2578649-autoriteit-persoonsgegevens-start-onderzoek-naar-clinical-diagnostics-na-hack
https://nos.nl/artikel/2578338-datahack-bij-laboratorium-veel-groter-deel-gegevens-op-dark-web
https://www.rtl.nl/nieuws/binnenland/artikel/5522760/datalek-baarmoederhalskanker-veel-groter-ook-onderzoek-huid-urine
https://www.nu.nl/tech/6367189/lek-bevolkingsonderzoek-groter-dan-gedacht-mogelijk-data-alle-941000-deelnemers-gelekt
