Misschien hebben ze in de zorg naast de facturering ook eens oog voor een sluitende verwerkersovereenkomst want daar staat dat allemaal in hoe een organisatie moet omgaan met persoonsgegevens en in geval van een datalek/hack wie wanneer wie informeert.

Is er al bekend hoe dit lek precies kon ontstaan?

Krokodillentranen van de LHV. Die heeft zelf alle huisartsen aangemoedigd zich vooral niet te veel te verdiepen in medische privacy, maar bij het kruisje te tekenen als het gaat om goortschalige datasystemen zoals Calculus. LHV is voorstander van meer digitalisering, vindt EHDS wel prima, inclusief de "inperking" (lees: afschaffing) van het medisch beroepsgeheim.

En dan nu opeens op hoge toon zeggen dat huisartsen niet goed genoeg geïnformeerd zijn... Wat een gotspe!

Te weinig en te laat, LHV. Te laat om opportunistisch nog even je eigen stoepje schoon te gaan vegen. Het lijkt een beetje op die nederlagenpolitiek van de PvdA tussen 1990 en 2010. Doen alsof je opkomt voor het belang van patiënten, maar ondertussen meewerken aan het omgekeerde.

En, zijn alle patiënten geïnformeerd? Volgens mij komen zij op de eerste plek....voor de huisartsen!!

Dat mijn huisarts in elk geval maar niks zegt ik heb hem al 2x gewaarschuwd dat zijn bij Google gehoste website niet veilig is met het Google TLS certificaat en alle hyperlinks op die pagina eerst via Google en daarna nog eens via tinyurl.com redirect worden.

Er word naar mijn mening overal heel slecht met onze medische gegevens omgesprongen.
Waarom moet alles digitaal wat mankeert er aan hoe het vroeger ging?
Het gaat zo massaal fout met al die databases stop daar gewoon eens mee tot het 100% veilig is wat vast nooit zal lukken.
Waarom moet alles met Internet connected zijn ???

Is al wel bekend dat het lab het onder de pet wilde houden (meer dan een maand) en pas na het laten lekken van een deel van de data overgegaan is tot betaling. Daarmee hebben ze de meldingsplicht van 72 uur voor deze hooggevoellige bijzondere persoonsgegevens ruim overschreden. Tussen de regels door lees je ook dat de hackers zelf melding (wilden) maken van de hack bij de AP.

Ben benieuwd hoe de politiek gaat reageren (ze zijn nu op reces en hebben het te druk met een zanger) nu er gegevens van een minister en kamerlid zijn geopenbaard. Wellicht wordt er een keer vaart gemaakt met de nis2 wetgeving die de bestuurders van kritieke infrastructuur persoonlijk aansprakelijk kan houden.

Waarom nemen organisaties niet in hun vwo op dat data die na afronding van de facturatie niet meer in het lab nodig is wordt verwijderd? Waarom gaat de impact van zo'n lek 8 jaar terug de tijd in? Ook wake-up call voor de verantwoordelijke hopelijk, niet alleen voor de verwerker.

Naast zorgen over phishing zeggen gedupeerde vrouwen tegen de NOS dat zij ook bang zijn voor identiteitsfraude. Hierbij doen criminelen zich voor als degene waar de gegevens van zijn gestolen. Zij kopen bijvoorbeeld spullen op iemands naam, maken accounts aan of lichten anderen op.

https://nos.nl/artikel/2578551-huisartsen-schrikken-van-hack-patientengegevens-wij-zijn-niet-geinformeerd

Er is nog geen aangifte gedaan en geen politieonderzoek in gang gezet, zegt de politie tegen NRC. Een vraag is of Clinical Diagnostics laakbaar heeft gehandeld: het bedrijf uit Rijswijk heeft er een maand over gedaan om gedupeerden van de hack te informeren, naar eigen zeggen zodat het „eerst de juiste stappen kon nemen”. Het gestolen sample stond al op 6 juli online, Bevolkingsonderzoek Nederland zegt op 6 augustus geïnformeerd te zijn door het laboratorium.

https://www.nrc.nl/nieuws/2025/08/13/rtl-laboratorium-betaalde-losgeld-aan-hackers-die-persoonsgegevens-stalen-a4902876

Is er al bekend waarom men het nodig bleek te vinden al die data daar te hebben?

Inderdaad, en je ziet ook vaker dat een bedrijf waaraan een verwerking van persoonsgegevens is uitbesteed in een kramp schiet als het mis blijkt te gaan in plaats van het goed af te handelen. Ik neem aan dat in de verwerkingsovereenkomst wel is opgenomen dat ze de verplichting hebben om behalve goede maatregelen te nemen om het te voorkomen ook tijdig en adequaat te reageren als het misgaat, ook daar moet je dan goed op voorbereid zijn. Als ze dan zo slecht reageren zou het, bovenop dat het ernstig is voor de mensen wiens persoonsgegevens zijn gelekt, ook kunnen betekenen dat ze hun verwerkersovereenkomst hebben geschonden door zo slecht voorbereid te zijn.

Dat laatste is iets dat mij steeds meer begint te storen: op papier is iedereen prima ingedekt, maar toch gaat het vaak en zoals nu ook spectaculair mis en dan blijkt de werkelijkheid heel wat minder prima te zijn dan dat papier. Mijn beeld kan vertekend zijn, want je krijgt in het nieuws te horen over wat er misgaat en hoe men erop reageert, en geen compleet overzicht van hoe men die systemen nou werkelijk had ingericht en beheerde, maar dat beeld dat zich aan mij opdringt is dat men zich drukker lijkt te maken over wat men heeft vastgelegd over hoe de aansprakelijkheid ligt bij missers dan over hoe die missers om te beginnen al voorkomen kunnen worden. Een heel duidelijk voorbeeld daarvan zag ik toen Edith Schippers minister van volksgezondheid was en het landelijk EPD wilde invoeren. In een interview werd ze gewezen op het risico van Amerikaanse wetgeving die inzage in allerlei gegevens mogelijk maakt en het inschakelen van een Amerikaans bedrijf voor het EPD. Dat wuifde ze in dat interview weg met de mededeling dat het contractueel goed was geregeld, totaal negerend dat zo'n contract niets kon uitrichten tegen bevoegdheden van de Amerikaanse overheid.

Een ander punt is dat in ons economische systeem er een heel sterke druk richting schaalvergroting bestaat. Bij het uitbesteden van werk aan partijen die het grootschalig doen, inclusief (of uitsluitend) dataverwerking, betekent dat dat er extreem aantrekkelijke doelwitten ontstaan voor cybercriminelen. Een crimineel hoeft maar één gaatje of combinatie van een paar gaatjes te vinden in de beveiliging van een extreem complex systeem om binnen te komen (en vergis je niet, het is extreem complex, zelfs een specialist overziet maar een fractie van het geheel), terwijl de bescherming daartegen vereist dat alle mogelijke gaatjes dicht zitten die aanvallers zouden kunnen vinden. De aanvallers hebben het wat dat betreft dus makkelijker dan de verdedigers. Dat komt er samen op neer dat schaalvergroting serieus risicoverhogend is, en dan kan moet je ernstig afvragen wanneer je het punt bereikt dat het vereiste beveiligingsniveau simpelweg niet meer te bolwerken is.

Dat werkelijk alles aan het internet is gekoppeld tegenwoordig is ook extreem risicoverhogend. Natuurlijk was het een verademing toen we internet op de werkplek kregen, we kunnen extreem veel makkelijker informatie opzoeken, communiceren, noem maar op. Maar het heeft wel als prijskaartje dat het ook extreem veel makkelijker is geworden om veilig vanuit een comfortabele stoel in een ver land zonder uitwisselingsverdrag ergens binnen te dringen en narigheid uit te halen.

Een "bug" in de psychologie van mensen is dat we waar we voordeel zien graag op veilig spelen en waar we risico zien makkelijk gaan gokken. Een bekend experiment is om mensen een tientje te geven, en ze kunnen er ofwel nog 5 euro bij krijgen zonder te gokken, ofwel wordt er kop of munt munt gegooid met 50-50 kans op 0 of 10 euro erbij. Een flinke meerderheid kiest dan voor de zekerheid van 5 euro erbij en gaan niet gokken. Maar als je mensen meteen 20 euro geeft en ze moeten vervolgens ofwel zonder gokken 5 euro teruggeven, of via dezelfde kop of munt 0 of 10 euro teruggeven, dan kiest een forse meerderheid om te gaan gokken.

Als je het rationeel bekijkt zijn de uitkomsten van beide situaties identiek: je krijgt uiteindelijk 10, 15 of 20 euro; 15 euro als je niet gokt en 10 of 20 euro met een 50-50 kans als je wel gokt, maar mensen kiezen met een forse meerderheid voor die zekere 15 euro als het geframed wordt als krijgen, en met een forse meerderheid voor gokken als het geframed wordt als inleveren. Het gaat niet om een marginaal verschil, als ik me goed herinner geldt in beide richtingen dat die meerderheid ongeveer 80% is.

Kijk eens door die bril naar hoe beslissingen over opbrengsten en beveiliging worden genomen. Men ziet hoe een dienst winst oplevert, hoe schaalvergroting winstverhogend werkt, en zal lang niet altijd (er zijn uitzonderingen natuurlijk) hyperagressief voor het uiterste gaan maar dat aspect op een degelijke en risicomijdende manier aanpakken. Alleen zitten beveiligingsincidenten in de hoek van inleveren, en bij tegenslagen is de neiging om niet op veilig te spelen maar juist te gaan gokken groot.

Als ik terugkijk naar alle keren dat ik als ontwikkelaar op projecten ergens een potentieel probleem zag en dan nogal bitse reacties van (met name hoger) management terug kon krijgen over techneuten die alleen maar problemen willen zien, terwijl dat typisch in een omgeving was waar projecten behoorlijk degelijk en zorgvuldig werden aangepakt, er heerste bepaald geen "move fast and break things"-mentaliteit, dan kan ik achteraf gezien makkelijk geloven dat deze "bug" in de psychologie van mensen daar een grote rol in heeft gespeeld: er is een tegenslag, die tegenslag wil men niet, dus gaat men gokken dat het wel goed gaat, net als bij dat experiment met geld, en dat uit zich in dat bitse afwijzen van de boodschap dat er een risico is. En iemand die niet gokt maar op het risico wijst roept dan vooral irritatie op bij mensen op wie al heel veel afkomt.

En nu ik erbij stilsta: die reactie van Edith Schippers die ik aan het begin van deze post noemde kan ook heel goed in het beeld passen. Het beeld is dan dit: ze werd gewezen op een risico, was direct geneigd om te gokken dat het wel los zou lopen, en bedacht daar ter plekke een argument bij, dat kunnen mensen die sterke debaters zijn indrukwekkend goed.

Die "bug" in onze psychologie zou wel eens een hoop kunnen verklaren van wat we mis zien gaan: op tegenslagen reageren mensen vaak niet verstandig maar door te gaan gokken. Dat combineert slecht met de grootschalige gegevensverwerking waar de schaal de risico's verhoogt doordat het dan des te aantrekkelijker wordt voor criminelen, terwijl ons economische systeem juist schaalvergroting in de hand werkt. En dat doorbreken we niet zolang we op het risico van verlies reageren met een gok, we hebben mensen nodig die wijs genoeg zijn om die neiging te onderdrukken en na te blijven denken.

Is Calculus dan gehacked?

Antwoord: Nee, je post heeft dus niets te maken met deze hack.

Automatisering is ook noodzakelijk in de medische wereld.

Het is ook verstandig dat je huistarts niet luistert naar je.

Waarom zijn bij google gehoste websites niet veilig? Google heeft security juist heel hoog staan.
Google TLS certificaten zijn ook gewoon veilig. Vele sites gebruiken deze ook.

De hyperlink redirect geeft juist ook veiligheid, want daarmee scannen ze eerst de website op security.


Gezien je post, zou ik denken dat jij misschien niet helemaal de juiste persoon bent om adviezen hierover te geven?

Mee eens. Huisartsen die zich opeens (impliciet) beroepen op de AVG: je weet niet wat je hoort.

Money, my dear, money makes the world go around (Liza Minnelli).
https://www.youtube.com/watch?v=UF8IgVj8uXc