Gehackt bevolkingsonderzoekslab voldeed niet aan securitywet, boete blijft uit

In dit artikel:

Clinical Diagnostics voldeed tijdens een hack in juli 2025 niet aan de verplichte NEN 7510-norm voor informatiebeveiliging, stelt de Inspectie Gezondheidszorg en Jeugd (IGJ). Volgens de IGJ had het laboratorium geen onafhankelijke audit laten uitvoeren en werden risico’s bij gegevensverwerking niet periodiek in kaart gebracht, waardoor maatregelen om een incident te voorkomen of de gevolgen te beperken onvoldoende te onderbouwen waren. Omdat de IGJ op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg geen boetes mag opleggen, volgt geen straf; de Autoriteit Persoonsgegevens (AP) onderzoekt het lab wel en heeft wél handhavingsbevoegdheid.

Na het verzoek van de inspectie liet Clinical Diagnostics een externe audit uitvoeren die positief uitviel; het lab verwacht binnenkort gecertificeerd te zijn en de IGJ zegt de naleving te blijven volgen. In augustus 2025 bleek dat via het lab de gegevens van minstens 715.000 Nederlandse vrouwen uit een bevolkingsonderzoek naar baarmoederhalskanker waren gelekt. Clinical Diagnostics betaalde de hackers, die beloofden de gestolen medische data te verwijderen, maar aantonen dat die gegevens daadwerkelijk zijn gewist is niet mogelijk gebleken. Kort na de hack is een massaclaim gestart.

Ondanks het lek wil Bevolkingsonderzoek Nederland blijven samenwerken met Clinical Diagnostics; het kabinet stelt dat er geen andere partijen zijn die het werk kunnen overnemen, mits het lab eerst alle ICT-problemen oplost.