Inspectie laakt beveiliging bevolkingsonderzoekslab maar kan geen straf opleggen

In dit artikel:

Clinical Diagnostics, een medisch laboratorium dat met patiëntgegevens werkt, voldeed tijdens de cyberaanval in juli 2025 niet aan de verplichte NEN 7510-norm voor informatiebeveiliging, meldt de Inspectie Gezondheidszorg en Jeugd (IGJ). Volgens de inspectie ontbraken onder andere een onafhankelijke beveiligingsaudit en periodieke risico-inventarisaties, waardoor het lab niet kon vaststellen welke maatregelen nodig waren om een datalek te voorkomen of de gevolgen te beperken.

De IGJ kan het lab op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg niet boeten; dat toezicht behoort wél tot de bevoegdheden van de Autoriteit Persoonsgegevens (AP), die ook een onderzoek naar het lek voert. Na aandringen van de IGJ heeft Clinical Diagnostics een externe audit laten uitvoeren die positief uitviel en meldt dat certificering volgens de NEN 7510 binnenkort afgerond zal zijn. De inspectie blijft de naleving nauwgezet volgen.

In augustus vorig jaar kwam naar buiten dat via het lab gegevens van zeker 715.000 Nederlandse vrouwen uit het bevolkingsonderzoek baarmoederhalskanker waren gelekt. Het lab betaalde de hackers, die beloven de gestolen medische data te verwijderen, maar aantonen dat de gegevens daadwerkelijk gewist zijn is niet gelukt. Kort na het lek is een massale schadeclaim gestart.

Ondanks de problemen wil Bevolkingsonderzoek Nederland volgens het kabinet blijven samenwerken met Clinical Diagnostics omdat er geen alternatieve partijen beschikbaar zouden zijn; het lab moet eerst alle ict-kwesties oplossen. De zaak illustreert zowel de juridische beperkingen van IGJ als de centrale rol van de AP bij het opleggen van mogelijke boetes voor schendingen van privacy- en beveiligingsnormen.