Gehackt bevolkingsonderzoekslab haalde securitywet niet, maar krijgt geen boete

In dit artikel:

Het medische laboratorium Clinical Diagnostics voldeed tijdens de hack in juli 2025 niet aan de verplichte NEN 7510-standaard voor informatiebeveiliging, stelt de Inspectie Gezondheidszorg en Jeugd (IGJ). De inspectie stelde vast dat het lab geen onafhankelijke audit had uitgevoerd en de risico’s bij verwerking van patiëntgegevens niet periodiek in kaart bracht, waardoor onvoldoende duidelijk was welke beschermingsmaatregelen nodig waren. Volgens de IGJ had naleving van de norm de kans op een dergelijk incident kunnen verkleinen en de schade kunnen beperken.

Hoewel Clinical Diagnostics volgens de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verplicht is aan NEN 7510 te voldoen, kan de IGJ geen boetes opleggen; die bevoegdheid ligt wel bij de Autoriteit Persoonsgegevens (AP), die ook onderzoek doet. Na het rapport heeft het lab op verzoek van de inspectie snel een externe audit laten uitvoeren met een positief resultaat en verwacht binnenkort gecertificeerd te zijn. De IGJ houdt de voortgang nauwlettend in de gaten.

In augustus werd bekend dat via het lab de gegevens van zeker 715.000 Nederlandse vrouwen uit het bevolkingsonderzoek baarmoederhalskanker waren gelekt. Clinical Diagnostics betaalde de hackers, die beloofden de data te verwijderen, maar bewijs daarvoor ontbreekt. Er is een massaclaimactie gestart. Bevolkingsonderzoek Nederland wil desondanks blijven samenwerken, omdat het kabinet aangeeft dat er geen alternatieve partijen zijn; het lab moet eerst alle ict-problemen oplossen.