De staatssecretaris Jeugd, Preventie en Sport, Judith Zs.C.M. Tielen, heeft haar diepe spijt uitgesproken over het datalek bij laboratorium Clinical Diagnostics, waarbij persoonsgegevens van honderdduizenden deelnemers aan bevolkingsonderzoeken en andere patiënten zijn buitgemaakt en deels op het dark web zijn verschenen. In antwoord op Kamervragen benadrukt de staatssecretaris de ernstige impact van de hack en de maatregelen die worden genomen om de schade te beperken en het vertrouwen te herstellen.
De staatssecretaris bevestigt dat de omvang van het datalek aanzienlijk groter is dan aanvankelijk gemeld. Naast gegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker, zijn nog eens circa 230.000 extra personen getroffen. Het is helaas niet uit te sluiten dat dit aantal nog verder oploopt. Ook gegevens van 266 (ex-)gedetineerden zijn betrokken, zoals de staatssecretaris Rechtsbescherming eerder informeerde. Het laboratorium heeft aangegeven dat het onderzoek naar de exacte aantallen bijna is voltooid en dat betrokken zorgaanbieders nader zullen worden geïnformeerd. Gegevens van patiënten van huisartsen en ziekenhuizen, waaronder het Leids Universitair Medisch Centrum, Amphia ziekenhuis en Alrijne ziekenhuis, zijn eveneens gelekt.
De staatssecretaris betreurt ten zeerste dat de persoonsgegevens in verkeerde handen zijn gevallen. Zij erkent de grote impact voor de direct getroffenen, voor wie het horen dat hun gegevens op het dark web zijn verschenen, een "ontzettende schok" kan zijn. Ze begrijpt de zorgen van (potentiële) deelnemers aan bevolkingsonderzoeken, die moeten kunnen vertrouwen op de veiligheid van hun persoonlijke gegevens. "Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens zijn bemachtigd bij een hack en mogelijk op het dark web zijn verschenen, is dat een ontzettende schok," aldus de staatssecretaris.
Met betrekking tot gegevens die op het dark web zijn verschenen, merkt de staatssecretaris op dat het in de praktijk bijzonder lastig, zo niet onmogelijk, is om deze volledig te laten verwijderen. Het dark web kenmerkt zich door anonimiteit, waardoor activiteiten moeilijk te traceren zijn. Desondanks is het tijdig informeren van betrokkenen cruciaal, omdat dit hen in staat stelt proactieve maatregelen te nemen tegen gerichte phishingaanvallen of identiteitsfraude.
Om de schade te beperken en herhaling te voorkomen, zijn diverse maatregelen genomen:
De samenwerking met Clinical Diagnostics is opgeschort; twee andere laboratoria hebben het werk overgenomen.
Bij deze vervangende laboratoria voert Stichting Z-Cert (expertisecentrum cybersecurity in de zorg) permanente kwetsbaarhedenchecks uit.
Bevolkingsonderzoek Nederland (BVO NL) en het RIVM onderzoeken de exacte omvang en oorzaak van de hack.
Er wordt onderzoek gedaan naar verbeteringen in dataminimalisatie, aanbestedingseisen en bewaartermijnen.
Meldingen zijn gedaan bij de Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ), die beide een onderzoek zijn gestart.
Het Openbaar Ministerie en de politie doen strafrechtelijk onderzoek.
Het RIVM heeft het Nationaal Cyber Security Centrum (NCSC) om assistentie gevraagd, waarna Z-Cert de coördinatie heeft overgenomen.
Het ministerie van VWS besteedt in bestuurlijke gesprekken permanent aandacht aan databeveiliging.
Het getroffen laboratorium zelf heeft aanvullende maatregelen getroffen, waaronder het beperken van toegang tot de getroffen IT-omgeving en verscherpte monitoring.
De staatssecretaris wijst op de lopende onderzoeken van de AP en de IGJ om vast te stellen of de meldingsplichten, zoals gesteld in de Algemene Verordening Gegevensbescherming (AVG), correct zijn nageleefd, gezien het feit dat het lek op 6 juli 2025 bekend was bij het laboratorium maar pas op 6 augustus 2025 werd gemeld aan BVO NL.
Voor de lange termijn zal de IGJ naar aanleiding van dit incident extra aandacht besteden aan informatiebeveiliging bij medische laboratoria en andere zorgaanbieders. Daarnaast is de Cyberbeveiligingswet (Cbw) in behandeling, die een zorgplicht voor informatieveiligheid zal introduceren voor grotere zorgaanbieders en zorgketenorganisaties, inclusief een incidentmeldplicht aan de IGJ en Z-Cert, en verdergaande handhavingsmogelijkheden.
De Nationale Visie en Strategie (NVS) op het Gezondheidsinformatiestelsel, goedgekeurd in april 2025, vormt de basis voor de inrichting van de opslag en het beheer van digitale gezondheidsdata, waarbij privacy en informatiebeveiliging integraal onderdeel zijn. De staatssecretaris ziet geen bezwaar in het beheer van gezondheidsdata door private laboratoria, zolang zij voldoen aan de privacyregelgeving.
Om het vertrouwen in bevolkingsonderzoeken te herstellen en deelname te stimuleren, verwacht de staatssecretaris dat de genomen acties zullen bijdragen. BVO NL informeert getroffen deelnemers per brief en via nieuwsberichten. Er lopen pilots van het RIVM en BVO NL, zoals wijkgerichte voorlichting en aanwezigheid op lokale evenementen, om de opkomst te verhogen. De staatssecretaris benadrukt het belang van vroege opsporing van kanker voor minder belastende behandelingen en betere uitkomsten, wat in ieders belang is.
De staatssecretaris wacht de uitkomsten van de lopende onderzoeken af om lessen te trekken voor toekomstige verbeteringen en zal de Tweede Kamer op de hoogte blijven houden.
Dit artikel is (deels) tot stand gekomen met behulp van AI, op basis van de Kamerbrief van staatssecretaris Judith Zs.C.M. Tielen
