Wel prettig dat je als eindgebruiker gewoon een nieuw BSN kunt aanvragen om misbruik tegen te gaan, dat hebben we in Nederland wel netjes geregeld /s

De gegevens zouden zijn buitgemaakt door een relatief nieuwe hackersgroep met de naam 'Nova', zo blijkt uit onderzoek van RTL Nieuws. Volgens de criminelen is 300 gigabyte aan data gestolen. Er zou nu zo'n 100 megabyte aan data op het dark web staan. Volgens Bevolkingsonderzoek Nederland staan er 550 gestolen patiëntendossiers online.

https://nos.nl/artikel/2578338-datahack-bij-laboratorium-veel-groter-deel-gegevens-op-darkweb

Het is werkelijk schokkend hoe onzorgvuldig Clinical Diagnostics is omgesprongen met de meest intieme en gevoelige gegevens van patiënten. We hebben het hier niet over een paar willekeurige datavelden, maar over volledige medische dossiers, inclusief testresultaten, Burgerservicenummers en privé-informatie over onderzoeken die tot de kern van iemands lichamelijke integriteit reiken. Het feit dat deze gegevens nu op internet circuleren, vormt een onherstelbare inbreuk op de privacy en waardigheid van tienduizenden mensen.

Dat een organisatie die zich specialiseert in medische diagnostiek (en dus dagelijks vertrouwt op het idee dat patiënten hun gegevens veilig toevertrouwen) zulke gaten in de beveiliging heeft laten ontstaan, getuigt van een onthutsend gebrek aan verantwoordelijkheid en professioneel fatsoen. Zeker gezien de schaal (honderdduizenden slachtoffers) en de aard van de gegevens, kan dit niet worden afgedaan als ‘pech’ of een onfortuinlijk incident.

Dit is geen technisch probleem, maar een moreel falen. Clinical Diagnostics heeft gefaald in haar kerntaak: het beschermen van de privacy van de mensen die volledig afhankelijk zijn van hun zorgvuldigheid. De directie moet zich niet alleen publiekelijk verantwoorden, maar ook concreet aangeven welke structurele maatregelen zij nemen om te voorkomen dat dit ooit nog gebeurt. Excuses zonder daadkracht zijn hier niet alleen onvoldoende. Deze directie moet per direct aftreden. Hun handselswijze toont geen enkel respect voor de slachtoffers.

Directie en FG van Clinical Diagnostics moet ontslag nemen.
En de verantwoordelijke(n) bij Bevolkingsonderzoek Nederland ook, want die hebben dus niets gecheckt voordat ze al die data aan dat lab gaven.

Bedrijven die diensten gebruiken van Google, nemen het niet zo nou met de privacy van een ander. Ook nu klopt dit helaas.

Z-CERT over de ransomware-aanval bij Clinical Diagnostics NMDL (Eurofins)

Ook een nog onbekend aantal van de huisartsenpraktijken zijn hierdoor getroffen


https://z-cert.nl/actueel/nieuws/ransomware-aanval

Clinical Diagnostics NMDL heeft inmiddels ook zelf een aantal voorlichtingpagina's over deze hack online gezet:

- Bevolkingsonderzoek: https://clinicaldiagnostics.nl/nl/onderzoek-via-bevolkingsonderzoek-nederland/
- Overige onderzoeken: https://clinicaldiagnostics.nl/nl/onderzoek-via-andere-zorgverlener/

Hier kun je lezen welke gegevens gestolen zijn en welke maatregelen men heeft getroffen. Weinig info over de hack.

En dan komt er nog een opt-out (niet opt-in) voor het delen van je medische gegevens met de EU... Gaat goed zo.

Het is schokkend ja. Weet je waar ik bij al die schokkende voorbeelden, want er zijn er veel en veel meer (al is dit een grote en erge) telkens aan terug moet denken?

Toen Windows 95 gelanceerd werd gebeurde dat met een wereldwijde marketingcampagne zoals die maar zelden vertoond was, of misschien wel nog nooit. De boodschap aan de wereld was dat Windows intuïtief was. Waar Windows 3.11 nog geleverd werd met een verdienstelijk boek dat je hielp leren de concepten te kennen, zoals selecteren, kopiëren, knippen en plakken, omgaan met de muis, met menu's en al die zaken, werd bij Windows 95 gedaan alsof het allemaal vanzelf duidelijk was. En het heeft gewerkt, de wereld heeft massaal pc's aangeschaft, is Windows enthousiast gaan gebruiken, én erop gaan staan dat het op het werk ook gebruikt zou worden. Ik werkte als automatiseerder in een mainframe-omgeving, en hoewel het echt wel mooi was, zo'n grafische interface, was ik verbijsterd over hoe de meest basale beveiliging door Microsoft domweg genegeerd werd en hoe mensen die geen flauw benul hadden wat een computer eigenlijk was niet alleen gebruiker maar ook beheerder van een systeem werden waar ze dus de ballen van snapten. En vergis je niet, die systemen waren voor veruit de meeste mensen met grote afstand het meest complexe dat ze ooit in huis hadden gehaald, en Microsoft deed of het niets voorstelde. Om het te kunnen verkopen.

Als ik zie hoe de ontwikkelingen zijn gegaan zijn we dat domweg nooit te boven gekomen, en is er zelfs steeds een schepje bovenop gedaan als de ongemakkelijke waarheid doorsijpelde dat het veel te moeilijk is voor de meeste mensen. En die mensen werken natuurlijk ook in allerlei organisaties die het nog niet gebruikten en ook zijn gaan gebruiken. En daar ontstond natuurlijk een gigantische markt voor allerlei software die die organisaties nodig hebben.

De software is natuurlijk steeds beter geworden in de loop van de jaren, maar er is ook een criminele industrie ontstaan die de flagrante kwetsbaarheden in het begin, van de software en van de gebruikers ervan, is gaan exploiteren die ook steeds vakkundiger is geworden, die industrie heeft echt een vliegende start kunnen maken omdat Microsoft puur voor een maximaal marktaandeel ging in het begin, ten koste van zo'n beetje alles. En daardoor zijn zat keuzes gemaakt die achteraf ongelukkig bleken en die nu een gegeven zijn. Ik denk dat, als niet Microsoft of een soortgelijke partij er zo agressief in was gesprongen, de IT én de security er mogelijk heel anders uit hadden kunnen zien. Hoe precies weet ik niet, maar ik kan zat dingen bedenken die we vanzelfsprekend vinden waar ook andere mogelijkheden voor bestaan of hadden kunnen bestaan.

Ik denk dat het feit dat we nu zitten met zoveel organisaties die niet eens doorhebben hoe zwak hun IT is en waarom een consequentie is van hoe die ontwikkelingen zijn verlopen. Het is schokkend dat een medisch lab het niet beter doet, inderdaad. Maar hoe had IT er bij dat lab uitgezien als mensen er in het algemeen van doordrongen waren geweest dat een computer en software behoorlijk moeilijk zijn, en dat dat een indrukwekkende expertise en zorgvuldigheid vereist? Wie weet was hun IT in een hoop opzichten veel basaler geweest, maar had het op functioneel niveau alles gekund wat het nu kan, was het makkelijker te gebruiken geweest, voor wie het eenmaal geleerd heeft, omdat ze niet met leveranciers hadden gezeten die aan de lopende band van alles omgooien alleen omdat ze dan iets nieuws te verkopen hebben, en was het robuust en veilig geweest. Wie weet.

Ik denk dat de burger deze partij voor het gerecht moet trekken gezien de grove nalatigheid, zonder dat iemand daar weet van had kunnen hebben of tegenin had kunnen gaan, wat een partij zeg

Je verwacht het niet... Medische data. Digi-drammen... Hoe kon dat nou fout gaan??

Ik denk dat het ook een technisch probleem is want al dit soort incidenten spelen zich afgerond 100% af in een op windows gebaseerde kantoortuin en dat is geen toeval. Kwaliteit bestaat.

Het management moet hiervoor vervolgd worden. Het is helemaal niet nodig om al deze gegevens bij elkaar te hebben.

Vraag: Waar wilt u liever dat mee gefraudeerd wordt: uw stem eens in de vier jaar bij de verkiezingen, of uw medische gegevens op een door hackers gekozen moment?

Antwoord: Het maakt niet uit, want bij de verkiezingen stem je altijd ook voor de hackers, want die worden door het digifiele parlement enthousisast gefaciliteerd met EHDS en het afbreken van het medisch beroepsgeheim.

Dat is een endemisch probleem in zorg-land Nederland.

Ze hebben niets geleerd van WO 2 hoe ze de joden met adressen naam en alle gegevens hadden opgeslagen waardoor ze opgepakt konden worden (met vlijtige medewerking van de nette Hollanders

Dit is inderdaad een enorme schande. En de publieke opinie zal de schuld snel bij de hackers neerleggen, maar deze zorginstellingen zijn de schuldige. Het centraal verzamelen van zoveel data is vragen om problemen. En de overheid doet daar een schep bovenop door deze instellingen ook te verplichten bepaalde data te bewaren (BSN?).
Zoveel data van zoveel mensen centraal vastleggen is vragen om problemen. Alles lekt een keer uit. En de gevolgen voor de patiënten zijn niet te overzien. Niet alleen zijn ze nu vatbaar voor identiteitsfraude, maar hun medische geheimen liggen op straat. Enorm pijnlijk en de personen en instellingen die de verantwoordelijkheid hadden over deze data zouden ook strafrechtelijk vervolgd moeten worden voor de genomen risico’s.

Overal wordt steeds meer data van je verzameld en centraal opgeslagen. En als je daar iets tegenin wilt brengen, dan is het antwoord altijd dat het “zo moet volgende de regels” (niet altijd het geval) en dat ze “je privacy serieus nemen”. Maar als ze dat echt zouden doen, dan zou er heel anders worden omgesprongen met deze data.

Nogmaals een groot schandaal waar echt een keer serieus tegen moet worden opgetreden, maar helaas is de overheid vooralsnog alleen maar bezig om wetten en regels in te voeren (vooral richtlijnen en verordeningen vanuit de EU) om meer meer en meer data te verzamelen en te delen met meer en meer partijen. Het moet echt stoppen, burgers staan machteloos.

Wat kunnen cybercriminelen met de ontvreemde informatie?

Grofweg hebben ze drie opties. Ze kunnen losgeld claimen bij de gedupeerde (in dit geval Clinical Diagnostics), die na betaling de gegevens terugkrijgt. Of ze kunnen gedupeerde patiënten, bijvoorbeeld, met hun persoonlijke data afpersen of oplichten. Of de dataset wordt verkocht op het dark web aan andere oplichters.

Hackers kunnen met deze data heel specifieke phishingmails maken die haast niet van echte mails te onderscheiden zijn, zoals een met de uitslag van je uitstrijkje met de datum van je test en de naam van je behandelend arts. Klik je op de link in de mail naar de zogenaamde uitslag, dan word je zelf gehackt.

De Autoriteit Persoonsgegevens adviseert slachtoffers van een datalek het wachtwoord van het gelekte e-mailadres te wijzigen en gehackte wachtwoorden niet her te gebruiken. Mensen die zeker weten dat misbruik is gemaakt van hun gegevens, kunnen zich melden bij het Centraal Meldpunt Identiteitsfraude en aangifte doen bij de politie.

https://www.nrc.nl/nieuws/2025/08/11/met-de-gehackte-data-uit-het-lab-in-rijswijk-kunnen-oplichters-bijna-levensechte-phishingmails-sturen-a4902716

Wanneer je het diagram van het nos journaal moet geloven, was een unieke identifier tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics voldoende geweest. Maar ja dan had Bevolkingsonderzoek Nederland moeten werken nu is het helemaal uitbesteed aan een commercieel lab.

Daarom zijn in Nederland procentueel ook de meeste Joodse slachtoffers te betreuren. Dit zou inderdaad een wijze les moeten zijn dat data opslag altijd risico's met zich meebrengt. Je weet niet wat de toekomst brengt.
Een beetje verstandig bedrijf voldoet daarom ook niet aan de AVG. Die geeft mogelijkheden met als resultaat bovenstaande nieuwsfeit. Die slaat niets op wat niet nodig is, herleidbaar naar personen is en altijd zo kort mogelijk.

Heel slecht dat eerst de gelekte data gevonden moet worden en de gehackte organisatie meerdere keren gewaarschuwd moet worden voordat de hack erkend wordt.

Kan je me uitleggen wat dat bevolkingsonderzoek precies aan dat lab gegeven heeft. Hoe weet je dit, het kan ook zijn dat het lab die data op een andere wijze heeft verkregen?

Waar lees jij dat dit lab met Google werkt??
Los daarvan is het teleurstellend en verwerpelijk dat dit heeft kunne gebeuren.

Jij probeert op dit forum vaker verwarring te zaaien. Het staat in de laatste alinea van het artikel hierboven:

Heeft dit wellicht nog iets met het Citrix lek te maken toevallig? Of gewoon ordinaire mailing met daarin link malafide malware ? Ben benieuwd.

Veel mensen zullen ziek worden van de stress omdat zeer persoonlijke informatie van hen nu rondzwerft op internet.

Ja, BSN... heel vervelend. Maar wat dacht je van testuitslagen? (met naam en toenaam)

100% veilig bestaat niet. Organisaties worden dagelijks gehackt, ook als ze alles op orde lijken te hebben. Het kan ook gewoon een kwestie van pech zijn. Maar, als men nalatig is geweest, dan moet dat consequenties hebben. Daar is de AP voor.

En een FG is niet verantwoordelijk voor het verwerken van data / privacy.

Clinical Diagnostics wist begin juli al van het lek, maar lichtte betrokken partijen pas vorige week in. Ook privacy-expert Bart van der Sloot [1] is niet te spreken over de handelswijze van het Rijswijkse laboratorium. Hij wijst erop dat bedrijven verplicht zijn betrokkenen binnen 24 uur te informeren. "Dus dit bedrijf overtreedt de wet. Volstrekt onverantwoord."

https://nos.nl/nieuwsuur/artikel/2578374-bevolkingsonderzoek-nederland-schokkend-dat-datalek-pas-na-maand-bekend-werd

[1] Bart van der Sloot, universitair hoofddocent privacy en big data, Universiteit van Tilburg, in Nieuwsuur interview.


Nieuwsuur uitzending: "Wat begon met een uitstrijkje, eindigd voor een groot aantal vrouwen nu op het darkweb."

https://npo.nl/start/serie/nieuwsuur/seizoen-2025/nieuwsuur_5173/afspelen

Demissionair minister Daniëlle Jansen (NSC, Volksgezondheid) laat onderzoek doen naar de hack. Hieruit moeten de exacte omvang en de oorzaak van de hack blijken. In afwachting van de uitkomst is de samenwerking met het laboratorium dat doelwit van de hack was opgeschort. De minister benadrukt dat het datalek geen invloed heeft gehad op de uitslagen en dat de preventieve screening van baarmoederhalskanker door kan gaan.

https://www.parool.nl/nederland/data-van-bijna-half-miljoen-vrouwen-gestolen-na-bevolkingsonderzoek-baarmoederhalskanker~babc4f33/

Interview in de Volkskrant met Dave Maasland, directeur van beveilingsbedrijf ESET Nederland:


https://www.volkskrant.nl/tech/medische-gegevens-van-mensen-zijn-voor-criminelen-ontzettend-waardevolle-informatie~bc997dee/


https://www.nctv.nl/onderwerpen/cyberbeveiligingswet

Het is allemaal op Microsoft infrastructuur gestandaardiseerd hoor. Je weet wel zo'n onverharde weg met bulten en kuilen.

In de gezondheidszorg moet men voldoen aan NEN7510. Alleen Microsoft zelf voldoet er niet aan: https://learn.microsoft.com/en-us/compliance/regulatory/offering-nen-7510-netherlands
Het lab heeft er een maand overgedaan om er mee naar buiten te komen. Ze konden het niet meer verdoezelen, data was namelijk al op het darkweb verschenen. Dit soort instanties weten gewoon niet dat ze gestandaardiseerd zijn op een onveilig product. Als de toeleverancier zegt dat ze veilig is dan geloven ze het want men kan certificaten laten zien.
Alle ransomware incidenten zijn afgerond 100% windows gebaseerd. Men blijft het maar negeren.

Dit is een valse balans. 100% veilig beweert helemaal niemand maar kwaliteitsverschil bestaat! Het Linux eco systeem is oneindig veel veiliger te onderhouden dan dit gehackte Windowssysteem.

Het wordt tijd dat er eens een onderzoekjournalist laat zien dat windows helemaal niet intuïtief is, heel slecht is te onderhouden en niet open source wordt gemaakt met als gevolg dat de criminelen optimaal een ontdekt gat kunnen uitbuiten totdat ze worden ontdekt, omdat security specialisten de code niet kunnen bestuderen.
Daarnaast weten we al heel veel jaren dat het bij Microsoft gaat om winstmaximalisatie en niet om security. Je moet namelijk een enduser agreement ondertekenen dat Microsoft niet verantwoordelijk is, anders mag je hun software niet gebruiken. Je wordt namelijk nooit eigenaar van deze code. Het gevolg is dat het oligopolie de beheerder altijd de schuld geeft. Dit heeft al heel wat gefrustreerde beheerders opgeleverd. Microsoft bepaalt maar is niet verantwoordelijk.

De invoering van de Europese NIS2-richtlijn in Nederland loopt verder vertraging op, waarbij het nu de hoop is dat dit in het tweede kwartaal van 2026 zal zijn, zo heeft demissionair minister Van Weel (J&V) de Tweede Kamer laten weten.

https://www.security.nl/posting/892492/Nederlandse+invoering+NIS2-richtlijn+loopt+verder+vertraging+op

RTL: gegevens minister, tbs'ers en gedetineerden in datalek Clinical Diagnostics NMDL laboratorium
dinsdag 12 augustus 2025, 16:10 door Redactie

https://www.security.nl/posting/900337/RTL%3A+minister%2C+tbs%27ers+en+gedetineerden+in+datalek+lab

Ga je nu de linux vs. windows vete hier uitvechten? Laten we eerst eens aanhoren wat er allemaal aan de hand is voordat we de scalp van de directie en notabene de FG (!) eisen.

We weten de essentie al van wat er aan de hand is:
- gevoelige persoonsgegevens (medische gegevens) zijn door verwerkingsverantwoordelijken (ziekenhuizen, Bevolkingsonderzoek Nederland, ...) GROOTSCHALIG met een laboratorium gedeeld, zonder dat dit nodig was voor de door het laboratorium te leveren dienst; schending van het beginsel van dataminimalisatie,
- hoogstwaarschijnlijk hadden de betrokkenen (de datasubjecten) hier ook geen vrije, geïnformeerde toestemming voor gegeven, maar alleen getekend bij het kruisje.
- persoonsgegevens zijn door het laboratorium (de verwerker) niet goed beveiligd.
- persoonsgegevens zijn gestolen en deels al op het dark web gezet.

De verwerkingsverantwoordelijken zijn... het woord zegt het al... VERANTWOORDELIJK voor deze grootschalige schending.
Bij de verwerkingsverantwoordelijken zijn de directies verantwoordelijk voor wat de verwerkingsverantwoordelijke doet. Dus ja, die scalp moet eraf, niet voor de lol, maar omdat anders in Nederland niemand iets leert.

Wat de FG's betreft, die moeten kunnen aantonen hun eigen directie hiervoor gewaarschuwd te hebben. Bijvoorbeeld met een interne email. Omdat het zo voorspelbaar was. Heeft een FG dat niet gedaan? Dan ook scalp van de FG eraf, want ofwel niet competent, ofwel bewust taakverzuim.

Zo eenvoudig is het, en al het gedraai en gekronkel maakt dat niet anders.
Gaat er gedraaid en gekronkeld worden? O ja, o ja! Jij bent daar nu zelf ook al mee begonnen.

Ik heb zelden zo'n hoop onzin, blabla en speculatie in één post gezien. Ga de AVG maar even lezen. Het is best leesbaar:

https://www.autoriteitpersoonsgegevens.nl/uploads/imported/verordening_2016_-_679_definitief.pdf