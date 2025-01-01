Nieuws
Opnieuw Kamervragen over gevoelig datalek bij medisch laboratorium

woensdag 13 augustus 2025, 14:03 door Redactie, 1 reacties

Opnieuw zijn er in de Tweede Kamer vragen gesteld over het gevoelige datalek bij Clinical Diagnostics uit Rijswijk, waar gegevens van 485.000 vrouwen werden gestolen die aan het bevolkingsonderzoek baarmoederhalskanker deelnamen, alsmede patiënten van huisartsen en ziekenhuizen. "Hoe bestaat het dat het anno 2025, in tijden dat we maximaal weerbaar moeten zijn, mogelijk is om bij een zorgpartij van een half miljoen Nederlanders uiterst gevoelige medische gegevens en persoonsgegevens te stelen?", vragen NSC-Kamerleden Hertzberger en Six-Dijkstra aan demissionair minister Jansen van Volksgezondheid.

"Waarom wordt het lekken van persoonlijke en medische gegevens van een half miljoen Nederlanders pas meer dan vier weken later openbaar gemaakt? Klopt het dat er al eerder een lek bij dit laboratorium was gesignaleerd maar daar niet naar werd gehandeld, er geen consequenties waren?", vragen de Kamerleden verder. De minister moet ook duidelijk maken of het laboratorium werkt met het gespreid en versleuteld opslaan van een minimaal benodigde hoeveelheid gegevens.

Jansen is ook gevraagd of het het laboratorium over de NEN 7510 certificering voor databeveiliging beschikt. "Klopt het dat alle zorgpartijen die met bijzondere persoonsgegevens werken verplicht zijn om aan de NEN7510 richtlijn te voldoen? Voldeed dit lab hieraan? Gaan medische laboratoria onder de NIS-2 wetgeving vallen?", willen Hertzberger en Six-Dijkstra aanvullend weten.

De NSC-Kamerlid vragen verder welke andere zorgpartijen over de medische en persoonsgegevens van honderdduizenden Nederlanders beschikken zonder dat de dataveiligheid op orde is en wat de gevolgen van het datalek voor de veiligheid van Nederlanders zijn. De minister heeft drie weken om met een reactie te komen. Gisteren kwam ook de BBB al met Kamervragen over het datalek voor de minister.

Vandaag, 14:54 door Erik van Straten - Bijgewerkt: Vandaag, 14:56
Normen zoals NEN7510 en ISO27001 zijn geen checklists waarbij geldt dat een gegevensverwerker geen risico's meer loopt als alle vinkjes gezet zijn.

Checklists helpen, ware het niet dat deze enorm afhankelijk zijn van de context.

Het omzetten van generieke normen naar zinvolle checklists is een gigantische klus - die alleen goed kan worden uitgevoerd door mensen die de organisatie plus alle gebruikte systemen goed kennen, en die zich voortdurend verdiepen in dreigingen en tegenmaatregelen. Het is altijd zóveel werk dat je moet prioriteren. Maar in de praktijk is dat hartstikke lastig voordat je überhaupt alle dreigingen hebt geïnventariseerd.

Zo'n klus wordt meestal bemoeilijkt doordat er, in organisaties, voortdurend vanalles verandert - en heel vaak doordat (lagere) leidinggevenden "die lui van security" als een blok aan hun been beschouwen en stilletjes veranderingen doorvoeren.

Als het hogere management "security" als een noodzakelijk kwaad beschouwt dat "zo min mogelijk" aandacht (en budget) moet krijgen, ben je als beveiliger bezig met een kansloze missie.

En als de directeur zich heeft "ingelezen" in bijv. https://certificeringsadvies.nl/kosten-nen-7510-zo-is-de-kostenstructuur-opgebouwd/ en/of met een partij als https://www.online-iso.nl/product/iso-27001/ aankomt, raad ik je, als verantwoordelijke voor security, aan om vandaag nog een andere baan te zoeken.
