Dataprotectie bevolkingsonderzoek tot aan voordeurmat

Het laboratorium dat voor Bevolkingsonderzoek Nederland baarmoederhalsuitstrijkjes beoordeelt blijkt tussen 3 en 6 juli 2025 gehackt te zijn. Van 485.000 vrouwen zijn daarbij gegevens gestolen. Het gaat om 300 Gigabyte. Dat betreft  naam, geslacht, geboortedatum, adres, BSN van de deelnemende vrouw en de naam van de zorgverzekeraar. Ook bedrijfsgegevens zijn gestolen: organisatienaam, AGB-code van de aanvragende zorgverlener, contactgegevens en gegevens over het aangevraagde onderzoek. De daders, hackgroep Nova, hebben de data inmiddels al te koop aangeboden op het Dark Web. De aanval was gericht op een Nederlandse vestiging van het Franse, beursgenoteerde laboratoriumconglomeraat Eurofins, Clinical Diagnostics LCPL. Die doet voor veel instellingen laboratoriumonderzoek. Op de eigen website van de organisatie  Bevolkingsonderzoek Nederland maakt deze melding van het voorval. Elders op die website zie je in het privacyreglement zien hoe de organisatie omgaat met patiënten-data en waar ze zich aan houdt. Geen woord echter over ketenverantwoordelijkheid.

Privacyreglement

Wat zegt Bevolkingsonderzoek Nederland in haar privacyreglement:

“Hoe beschermen wij uw gegevens?

Wij houden ons bij de verwerking van de gegevens aan de Algemene Verordening Gegevensbescherming (AVG). De gegevensverwerking voldoet aan de beveiligingsnormen NEN- 7510 en ISO27001. Dit betekent dat we beschikken over een uitgebreid informatiebeveiligingsbeleid. Zo werken we  volgens een strikt rollen- en rechtensysteem, waarin is bepaald wie toegang mag hebben tot welke gegevens. Alle handelingen van medewerkers worden gelogd en we werken met beveiligde verbindingen We hebben een functionaris voor gegevensbescherming aangesteld.”

Je leest hier over hoe Bevolkingsonderzoek Nederland met de data omgaat vanaf het moment dat ze de data van een uitvoerend laboratorium verkregen hebben. Er staat niets in over de keten Bevolkingsonderzoek Nederland plus uitvoerend laboratorium. Ook niets over een ketenverantwoordelijkheid/ketenaansprakelijkheid.

Wat zegt de norm NEN 7510?

NEN 7510:informatiebeveiliging in de zorg, is onmisbaar voor zorginstellingen, ICT-leveranciers, zorgverzekeraars en andere organisaties in de zorgketen. Omdat medische en persoonlijke gezondheidsinformatie worden beheerd en uitgewisseld is informatiebeveiliging essentieel.

NEN 7510-1 en NEN 7510-2 beschrijven de eisen en maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, moeten treffen om op adequate wijze met persoonlijke gezondheidsinformatie om te gaan. Doel is dat persoonlijke gezondheidsinformatie beschikbaar is en blijft, vertrouwelijk behandeld wordt en dat de integriteit van de gegevens geborgd blijft. Bevolkingsonderzoek Nederland verwijst hiermee naar eigen databeheer.

Wat is de ISO-27001-norm?

De ISO 27001-norm is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe u procesmatig met het beveiligen van informatie kunt omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen uw organisatie zeker te stellen. Denk hierbij aan het beschermen van persoons- en/of bedrijfsgegevens, bescherming tegen hackers en inbraak. Bevolkingsonderzoek Nederland verwijst hiermee naar eigen databeheer.

Ketenverantwoordelijkheid

Het probleem wat hier speelt is dat het privacyreglement wel iets zegt over hoe de organisatie Bevolkingsonderzoek Nederland met de binnengekomen laboratoriumuitslagen en bijbehorende persoonsgegevens van patiënt en zorgverlener moet omgaan maar niets zegt over de verantwoordelijkheid binnen de keten. Namelijk over de data-vergaring door ingeschakelde laboratoria.

Immers, er is sprake van een keten omdat Bevolkingsonderzoek Nederland zelf het onderzoek niet doet, maar dat uitbesteed aan diverse laboratoria, afhankelijk van de hoeveelheid onderzoeken en de aard van de onderzoeken. Vanwege dat uitbesteden is mijns inziens er toch wel sprake van een verantwoordelijkheid van Bevolkingsonderzoek Nederland voor wat er in die keten gebeurt. Met name over het toezicht houden over hoe de ingeschakelde laboratoria hun cybersecurity geregeld hebben.

De dag die je wat dat zou komen

In wezen is het niet verbazingwekkend dat nu een laboratorium dat ingeschakeld is bij een bevolkingsonderzoek gehackt wordt. Zorgdata vormen al meerdere jaren een geliefd object voor cybercriminelen. Met zorgdata is uitgebreider crimineel geld te verdienen dan met gehackte data van een gemiddelde zakelijke database. Bij veel zorgdatabases speelt niet de vraag of ze gehackt worden maar wanneer. De dag die je wist dat zou komen dus.

Aansprakelijkheid in de keten

Je kunt gemakkelijk stellen dat de verantwoordelijkheid van een goede cyberbeveiliging primair ligt bij het bedrijf die het laboratoriumonderzoek uitvoert. Bevolkingsonderzoek Nederland is echter opdrachtgever van het onderzoek en besteed het uit aan een lab. Daardoor dient men nu en later niet alleen te kijken naar de verantwoordelijkheid en aansprakelijkheid bij het uitvoerende bedrijf maar ook naar die van de partijen die de hele keten vormen.

Dit voorval laat een duidelijke ketenverantwoordelijkheid zien. Het kan niet zo zijn dat iedereen naar elkaar wijst en niemand er verantwoording voor aflegt.

W.J. Jongejan, 12 augustus 2025

Afbeelding van Tumisu via Pixabay

Op 11-08-2025 werd in de loop van de avond duidelijk dat het datalek nog groter is dan gedacht. Zo is volgens RTL Nieuws ook informatie gestolen van huid-, urine- en penisonderzoek van patiënten van de ziekenhuizen. Onder meer persoonlijke gegevens en informatie en uitslagen van onderzoeken naar urine, de huid, de vagina, de penis, de anus en wondvocht staan op het darkweb. Ook staan volgens het medium uitgeschreven onderzoeken van huisartsen in de gelekte data.

Overigens werd Bevolkingsonderzoek Nederland op 6 augustus ingelicht door het lab.