De Tweede Kamer is vandaag aangeschreven om een diepgaand onderzoek te laten uitvoeren naar dit 'gecertificeerde' lab. De minister mag met meer uitleg komen.

Men is daar behoorlijk in controle voor de gevoelige data die men dient te verwerken /s

Ik heb bij een bedrijf gewerkt dat jaren terug ISO-gecertificeerd was, maar ik weet nog heel goed dat op de afdeling waar ik werkte, er alles aan gedaan werd om die certificatie overeind te houden. En dat was niet eenvoudig en kostte heel veel werk.

Mijn vraag is of er bij dit lab de zaak is afgeslonseld?
En dan geen onderzoek door "de slager die zijn eigen vlees keurt" alstublieft. Maar een echt onafhankelijk onderzoek.

Certificatie is 1 ding, maar een hack van deze omvang schreeuwt om uitleg en betere antwoorden.

Voor zover mij bekend worden ISO-certificeringen altijd afgegeven na audits door een daadwerkelijk onafhankelijke partij.
Overigens stelt de ISO 15189 niet in het bijzonder eisen aan de cybersecurity zoals pentesten etc. (zo laat ik mij vertellen).

Daarnaast geldt natuurlijk wel dat een ISO-certificering een organisatie niet onkwetsbaar maakt voor malafide actoren.
Dit alles met kanttekening dat ze natuurlijk veel te laat hebben gemeld dat er data afhandig is gemaakt.

Dit zou natuurlijk een bewuste keuze zijn, eens om de zoveel jaar gehackt worden is misschien zo maar goedkoper dan afdoende maatregelen treffen. Leuk voor die jongen van FoxIt die weer een uitzoekklusje hebben maar kloppen doet het niet.

Vreemd he, ISO 15189 is bedoeld als kwaliteitsborging voor labtests, niet om hun IT systemen te beveiligen.

Het gaat hier ten eerste niet om een ISO27001 certificaat. Die hebben ze sowieso niet. Het Nederlandse equivalent gericht op de gezondheidszorg: de NEN7510, dat is slechts door één bedrijfsonderdeel in bezit, nog geen kwart dus. M.a.w. het is op dat gebied allemaal heel mager. Los van t feit dat een certificaat alleen ook niet alles zegt.

Of wel gevonden, maar is die informatie nog niet "geschikt" voor het publiek?
Tijd werkt hier in het voordeel van het laboratorium.
Als je over pakweg drie weken de oorzaak hebt "gevonden" is heel Nederland weer in de ban van iets anders en heeft driekwart van de getroffen deelneemsters aan het bevolkingsonderzoek een psychologische 'coping strategy' samengesteld om ermee te leven.

Waarom heeft het lab de PII nodig?
Een opdracht nummer, en moster is voldoende, daarna leveren ze het resultaat op onder het opdracht nummer.

De opdrachtgever zorgt voor registratie in t dossier.

Daar is geen PII voor nodig.

Dat is helemaal niet nodig.
Laat ze dat dan maar eens aantonen, zoals artikel 5, tweede lid AVG vereist.
Het aantonen van noodzakelijkheid is niet hetzelfde als zeggen: "Dat maakt het wel makkelijker voor ons."
Of: "Het BSN-nummer is er toch al, laten we dat dan in het lab ook maar gebruiken."

Anonieme samples met twee unieke nummers (standaardnummer en controlenummer), in combinatie met bepaalde procedures, is een manier om te voldoen aan het vereiste van dataminimalisatie.
Geen BSN-nummer, geen NAW-gegevens, geen geboortedatum.
Voor sommige onderzoeken kan geboortejaar wellicht iets bijdragen, afhankelijk van wat er wordt onderzocht.

Het probleem is dat er geen fatsoenlijke standaard bestaat voor wat een pentest nou eigenlijk voorstelt. De scope is bijna altijd veel te beperkt, of er is gewoon niet genoeg tijd om iets degelijks neer te zetten. Als we echt weerbaarder willen worden tegen aanvallen, dan moeten we gewoon afdwingen dat élke penetratietest als whitebox wordt uitgevoerd. Logisch toch? Testers hebben beperkte tijd, aanvallers niet. En die scope-beperkingen kunnen ook de rimboe in. Ja, focus dan op die webapplicatie, maar als je tester doorbreekt naar de backend, laat hem dan lekker zijn gang gaan en kijken hoe diep het konijnenhol gaat. Dat is pas een realistische test van je beveiliging.

Altijd leuk dit soort oplossingen, zonder je eigenlijk je verdiept te hebben in dit soort materie. Al kom je met commonsense ook altijd best ver.
Maar een opdrachtnummer, is veel complexer, want deze hoeft helemaal niet uniek te zijn, zowel vanuit de aanvrager als bij een laboratorium gegenereerd nummer. Maakt second opinions onmogelijk. Data uitwisseling tussen verschillende onderdelen lastiger.
Dit levert alleen maar grotere kans op fouten op, terwijl in de medische industrie alles gedubbelchecked wordt om geen fouten te maken.


Dat is eigenlijk een heel simpel antwoord, omdat bij uitwisseling het BSN verplicht is, zodat er geen fouten gemaakt kunnen worden. Net zoals deze gegevens noodzakelijk zijn voor eventuele doorbelasting richting een zorgverzekering. Dus je hele AVG opmerking is hier al overbodig. Laboratoriums kunnen onafhankelijk van een aanvrager de declaratie indienen bij je zorgverzekering.

Maar 2 unieke nummers, wie genereert deze? Hoe weet je dat deze uniek zijn? Of als data uitgewisseld moet worden tussen meer dan 2 partijen?

Een laboratorium doet geen onderzoeken.


Dit zijn bierviltjes oplossingen, zonder dat je enige inhoudelijke kennis hebt van hoe complex zorg eigenlijk is.

Als je zoiets leest krijg je daar al een hartaanval van...

Analyse
Hoe omvang datadiefstal van lab in Rijswijk duidelijk werd:
‘Allerslechtste wat je kunt doen is lek in de doofpot stoppen’



https://www.nrc.nl/nieuws/2025/08/15/hoe-omvang-datadiefstal-van-lab-in-rijswijk-duidelijk-werd-allerslechtste-wat-je-kunt-doen-is-lek-in-de-doofpot-stoppen-a4903153

Gegevens van tot wel tien jaar geleden zijn in criminele handen gevallen, liet het Bevolkingsonderzoek weten aan NRC. Afgelopen vrijdag, anderhalve maand na de hack, heeft Clinical Diagnostics NMDL aangifte gedaan, bevestigt de politie desgevraagd. Het laboratorium zegt dat de systemen van het bedrijf weer werken en "zonder dataverlies" zijn hersteld.

Dat hebben ze bewezen. Ook met de maand zwijgen nadat het gebeurd is.
Alsof de gestolen data in die maand al niet misbruikt kan worden?

Dat alleen al zou juridisch een doodsteek voor hun bedrijf moeten zijn.
Maar zo werkt de wereld helaas niet.

Zachte heelmeesters, stinkende wonden.

Tijd voor hardere maatregelen vanuit Den Haag,
De "markt" gaat dit niet zelf oplossen.

Ik ben benieuwd of het lab gehackt is, of het landelijk uitwisselingsplatform voor de data (screenIT). Het RIVM heeft de broncode voor die site een tijdje geleden zelf online gezet. Dat heeft allicht geholpen...

Wel een paar miljoen op de rekening van die criminelen storten, maar niet eventjes vragen hoe zij het precies gedaan hebben.
Het gepruts kan dus blijkbaar nog veel pijnlijker.

Uit welke bron zou je kunnen trekken, dat er iets met deze bron code gedaan is, of dat de hack via een landelijk uitwisselingsplatform heeft plaatst gevonden?

@Tintin and Milou,
jouw argumenten voor het gebruik van het BSN (in diverse threads) draaien om de uniciteit en de betrouwbaarheid ervan.
Deze beide zijn noodzakelijk in de zorg omdat je niet wilt dat de uitslagen (en de daarop volgende medicatie en/of medische behandeling) aan de verkeerde persoon gekoppeld worden.
Deze noodzakelijkheid waaraan een idenfifier in de zorg moet voldoen had ook gewaarborgd kunnen worden -wat nog steeds opnieuw kan- met het ontwikkelen van een "zorg-ID": een unieke identifier voor elke gebruiker van zorg, ook bruikbaar voor de zorgverzekeraars.
Dus een speciale zorg-identifier.

Het feit dat de zorgsector het BSN heeft overgenomen, wat was ontwikkeld -althans de voorganger ervan: het sofinummer- voor gebruik door de staat voor haar "klantrelaties" met de burger, i.h.b. voor de Belastingdienst en de uitvoering van de sociale zekerheid, was géén noodzakelijkheid, maar handig.
Het onherroepelijke gevolg daarvan was, dat het BSN voor méér klantrelaties gebruikt ging worden, namelijk ook voor alle zorgrelaties; dat zijn er héél véél, juist omdat zorg zéér complex is en bovendien zéér mensintensief is.

Omdat het handig was om het BSN even door te koppelen met alles in de zorgsector is de burger in zijn algemeenheid informatie(data)technisch gezien kwetsbaarder geworden: er kan namelijk op méér plekken dan voorheen zijn BSN gelekt/ gehackt worden.
Elke lek van het BSN is er één teveel juist omdat het een unieke en betrouwbare identifier is, namelijk van de staat zelf.
Wanneer de zorgsector een eigen identifier had ontwikkeld dan zouden lekken en hacks van het BSN van mensen géén uitwerking op de zorgsector hebben. Een criminele actor zou met het BSN niets kunnen aanrichten in de zorgsector.

Voor mensen is het belangrijk om de risico's van misbruik van hun BSN, wat hen uniek identificeert, te kunnen minimaliseren.
Dat is ook de strategie van een uitgebalanceerde beleggingsportefeuille: risicospreiding.
Risicospreiding kan opgevat worden als een vorm van segmentering (van je geld).
Toegepast op de identiteit van elke mens betekent dit: een segmentatie aanbrengen van de identiteit, d.w.z. van de unieke identifiers die in elke administratie voor hem gebruikt worden.
Die unieke identifiers moeten zoveel mogelijk gediversifieerd worden om te voorkomen dat wanneer één zo'n identifier gehackt wordt de halve wereld opeens bij iemand binnen staat (in zijn privéleven). Zorg is zéér privé.

Het BSN had daarom NOOIT door de zorgsector gebruikt mogen worden als haar unieke identifier voor mensen die van zorg gebruikmaken (= patiënten).
De zorgsector had een eigen unieke identifier moeten ontwikkelen, waarin het BSN op géén enkele manier verwerkt is.
Dit is noodzakelijk om de datarisico's voor individuele mensen te minimaliseren.
Het is niet alleen voor een bedrijf gezond om haar data zo goed mogelijk te beveiligen, maar ook voor een individuele mens.
De zorgsector moet niet alleen d.m.v. een unieke identifier garanderen dat iedereen de zorg krijgt die voor hem/haar bedoeld is, maar óók dat de schade geminimaliseerd wordt wanneer die identifier door criminele actoren ontvreemd wordt.

Ik hoorde heel onlangs dat Frankrijk een systeem hanteert met een zorg-ID, zoals jij het beschrijft.

Persoonlijk denk dat het risico daarnaast nog verder gespreid moet worden, met een nadruk op dataminimalisatie. Dat wil zeggen dat zelfs het zorg-ID niet bij het laboratorium Clinical Diagnostics terecht had moeten komen, maar dat er geautomatiseerd aan elk bloedspecimen van Bevolkingsonderzoek Nederland een uniek nummer had moeten worden toegekend in de administratie van Bevolkingsonderzoek Nederland, en dat het specimen voorzien van dat nummer naar het laboratorium had moeten worden gestuurd.

Er bestaan nummer-systematieken die zo zijn ingericht dat ze een controleslag mogelijk maken waardoor een typefout in een uniek nummer bijvoorbeeld aan het licht komt. Een soort boekhouding binnen elk nummer zelf... Dit werd mij uitgelegd door iemand die veel van wiskunde en overheidsstatistieken weet.

Je wil dus eigenlijk een compleet dubbel systeem draaien, wat gekoppeld is aan het BSN nummer bij iedere transactie?
Dus bij geboorte krijg je 2 ID's? 2 authenticatie systemen (weer 1 erbij), want nu is alles gekoppeld aan digid. Dus hier moeten we ook een dubbel systeem voor gaan neerzetten?

Hoe zie jij dan legitimatie voor, als ik ergens zorg moet krijgen? Krijg ik dan een 2de pasje met mijn zorgid met alle gegevens er bij? Dus nog een pasje er bij, die ik altijd mee moet nemen bijvoorbeeld? Of een App? Of beide? Zeker vanuit privacy zal hier ook het nodige voor bedacht moeten worden. Immers dit geeft toegang tot mijn gegevens en dan denk ik nog niet eens na over eventuele machtigingen of kinderen.

Dit zorgid is dan ook bekend is bij alle instanties en overheden? Want als ik een uitnodiging krijg voor een onderzoek vanuit de overheid, moet ik zowel een zorg-id bewijs meenemen en mijn legitimatie, want die brief is persoonsgebonden, dus beide gegevens moeten erop vermeld staan. Of is er ergens een sync van de systemen?

Of wat als ik mijn zorgpremie niet betaal, hoe zie jij dit juridisch precies? Nu kunnen ze aan de hand van mijn BSN, incasso's, deurwaarders op mij afsturen, traceren in Basisregistratie Personen (BRP) of misschien loonbeslag leggen. Als ik het land uit ga, eventueel zien of ik schulden heb die ik nog moet voldoen voor de zorg.

Ik kan nog iets bedenken over Centraal Informatie Systeem (CIS) voor Fraude meldingen. Die moet dus zowel met het zorgid als BSN werken om goede fraude te detecteren?

Als ik mij dan wil inschrijven bij een huisarts, neem ik dan mijn zorgid mee? Of ook mijn legitimatie? En hoe zie je dat met een verhuizing precies, hoe zorgen we dat die gegevens insync zijn en blijven?

Ik zie internationaal ook nog de nodige mogelijke puntjes. Maar ben ik niet zeker van. In belgie doen ze ongeveer hetzelfde trouwens.

Is het mogelijk, zeker Maar het gaat alleen maar complexer worden met een apart nummer.

Ik zie nu al de barsten komen, als een heel complex dubbel foutgevoelig systeem, wat een heel hoop geld gaat kosten, zonder echt toegevoegde waarde.

Ja. Nee, niet gekoppeld aan het BSN.
Ja, je krijgt een ID van de staat voor de staat (=BSN) en een ander ID van de zorgsector voor de zorg. Ja.
De zorgsector doet zelf de legitimatie, zowel van (pasgeboren) babies, van kinderen of van volwassenen. Hoe maakt niet uit, hoofdzaak is: géén verwerking van het BSN, dus bijvoorbeeld het paspoort/ID-kaart van een volwassen patiënt mag wel geraadpleegd worden, maar het BSN mag niet door de zorgmedewerker in zijn administratie opgenomen worden.
Nee. Er zullen dan ook nieuwe afspraken gemaakt moeten worden over de procedures die de overheid moet volgen wanneer zij iets van de zorgsector wil. Nee, er is géén sync van systemen. Dat is nu net de kern van mijn voorstel.
Klopt dan kan nu met jouw BSN. Daar zal de zorgsector iets anders op moeten verzinnen.
Voor het voeren van rechtszaken, het opsporen van wanbetalers, het opdracht geven aan deurwaarders, etc. heb je geen BSN nodig.
Als jij op dreef bent kun je vast nog wel meer bedenken.
Kijk, ik kan ook honderd (jij waarschijnlijk duizend) dingen ("puntjes") bedenken die dan op een andere manier ingepast moeten worden in het nieuwe systeem dan zoals ze in het huidige systeem functioneren. Dat ligt voor de hand.
Je kun mij wel een serie vraagstukken uit de praktijk voorleggen, maar dan ben je in feite al bezig om het huidige systeem om te bouwen naar het systeem wat ik wil. Dat lijkt me wat voorbarig.
Vragen die betrekking hebben op onduidelijkheid over wat ik bedoel zijn iets anders dan meteen beginnen met de ombouw.
Dit is er ook weer zo een:
En deze:
Gelukkig komt hier een belangrijke constatering, namelijk:
Ja, dat is complexer, maar je doet het voor een goed doel, namelijk om de individuele mens meer bescherming tegen datalekken te bieden.
Natuurlijk kan het huidige systeem omgebouwd worden naar het systeem wat ik voorstel.
Dat is een politieke keuze, dus afhankelijk van of je het wilt (of niet).
En die wil impliceert dat je de noodzaak inziet om de data van individuele mensen beter te beschermen dan nu het geval is, en wel op een structurele manier dus op een manier die de administratie en de daaruitvolgende organisatie van de gezondheidszorg aanpast.
Het kost inderdaad geld en moeite, maar het heeft een belangrijke toegevoegde waarde en daarvoor doe je dat.
Op dit moment worden alle online data van mensen georganiseerd vanuit het belang van degenen die de systemen opzetten: de staat, de zorgsector, de scholen, de verzekeringsmaatschappijen, de winkels, de bedrijven die diensten aanbieden, de techbedrijven, de telecombedrijven, de energiebedrijven, etc.
Die hebben allemaal een gedeeld belang, namelijk het gemak/ overzicht/ effectiviteit/ e.d. voor henzelf. Die systemen zijn m.a.w. allemaal top-down opgezet.
In al deze systemen bungelt de individuele mens-burger-patiënt-klant-consument-eindgebruiker ergens onderaan. Ieder mens.
Dat leidt tot steeds grotere risico's voor hem want hij heeft maar één identiteit, terwijl elk bedrijf opnieuw kan beginnen (= een nieuwe identiteit aannemen).
Zijn identiteit moet dus beter beschermd worden.
Het inperken van het gebruik van het BSN op de bovengenoemde manier is een bescheiden begin daarvoor.

Ik kom met zoekopdrachten heel wat anders tegen. Alles is daar gekoppeld aan een centrale identificatienummer.

Het "Numéro de Sécurité Sociale" in Frankrijk het centrale identificatienummer voor toegang tot de sociale zekerheid, inclusief het zorgstelsel, en de basis voor het verkrijgen van je Carte Vitale.

Maar als je een bron heb, zou dat fijn zijn.

Klinkt foutgevoelig en totaal onwerkbaar. Uniek nummer, is dit dan door de aanvrager gegenereerd of bij het laboratorium. Wat als het daarna door gestuurd moet worden, voor verder onderzoek ergens anders? Of een second opinion.

De 11 proef, of gewoon een controle nummer kan er vrij simpel aan toegevoegd worden.
https://nl.wikipedia.org/wiki/Burgerservicenummer#11-proef

Ziet er uit als heel complexe oplossing.

Gelukkig lopen projecten bij overheden altijd op rolletjes en is de zorg nog niet moe van alle regels die we hebben en zijn ITers gemakkelijk te vinden.
Zo'n systeem moet dus vrij snel geïmplementeerd kunnen worden.
/s

Nu even realistisch, zal al snel een paar miljard kosten, en doorlooptijden van zeker 10 jaar. Met eigenlijk alleen maar (meer) risico's, veel nadelen, meer administrative lasten, hogere kosten, complexer voor iedereen.

Goede vraag zou zijn...
En wat zouden nu echt de winst zijn? Dat je BSN losgekoppeld is van je zorgid? Privacy technisch verandert er niet zoveel, je zorgid, maar ook al je andere privé gegevens moeten opgeslagen worden, voor controle, kwaliteit, declaratie en fraude.
Dus wat gaat een zorgid nu echt opleveren? Eigenlijk niets. Bij deze hack was exact dezelfde informatie naar buiten gekomen. Alleen dan was je BSN vervangen voor je zorgid, maar exact dezelfde privacy gevoelige informatie was naar buiten gekomen.

Dus wat is je winst nu eigenlijk? Is dat echt miljarden investering waard, met zeer weinig winst, met alleen maar meernadelen en met zeker 10 jaar doorlooptijd?

Wel bijzonder dat België, Frankrijk,Denemarken, Finland, Zweden, Spanje, Portugal, Oostenrijk, Estland, Slovenië hetzelfde hanteren als hier in Nederland. Misschien vanuit dezelfde gedachte? Zoals fraude, eenvoud, uniekheid, uniformiteit.
Maar laat ik ook voorop stellen, dat bepaalde EU landen dit niet gebruiken. Duitsland bijvoorbeeld, daar hebben ze een "Elektronische Gesundheitskarte" - eGK, maar met opslag, doen ze eigenlijk hetzelfde, tot zo ver ik heb kunnen vinden, dit eGK maar ook de NAW gegevens moeten gewoon opgeslagen worden. Dus privacy technisch lost dit niet zoveel op.
Ierland idem trouwens.

In België gebruiken we het eID, die je meeneemt als je naar de huisarts, apotheek of ziekenhuis gaat, of je krijgt een rekening waarmee je naar de ziekenkas gaat.

@Anoniem op 16-08-2025 om 16:12 en 21:06 uur.

Ik ben het met je eens (ik heb ook gepost als anoniem op 16-08-2025 om 17:46 uur). Het gaat in de kern om de vraag of je wilt dat individuele mensen (burgers, patiënten, klanten, consumenten, eindgebruikers) goed beschermd worden. Dat kan niet als de overheid (de staat) wordt ingericht als een "alziend oog" dat alle aspecten van het leven van elke burger continu monitort met behulp van één uniek nummer.

Bijvoorbeeld een "BSN"-nummer, dat beter een BCN-nummer genoemd zou kunnen worden: een Burger Controle Nummer, want het gaat hier om het steeds verder uitbreiden van controle, niet van "service". Er wordt aan burgers juist in steeds meer gevallen service geweigerd. In plaats daarvan wordt er gehoorzaamheid aan steeds meer "regels" geëist.

Op dit fundamentele punt lijken reageerders zoals "Tintin and Milou" het echter met jou oneens te zijn. Zij geloven dat een Big-Brother-overheid met één enkel BSN-nummer geweldige service en geweldige bescherming zou leveren aan alle burgers en tegelijk geweldig zou kunnen controleren dat er "niets fout gaat" voor het overheidsapparaat. Dat dit een totaal onrealistische, utopische machtsdroom is, willen zij niet onder ogen zien. Zij willen ook niet onder ogen zien dat als de overheid probeert deze utopische machtsdroom te realiseren, dit alleen tot een dystopische maatschappij kan leiden, vol machtsmisbruik, corruptie en schendingen van mensenrechten.

In The Guardian gisteren (16 augustus jl.) een voorbeeld van iemand die ook deze visie van een almachtige, alles controlerende staat aanhangt, en die het daarom jammer vindt dat de Nazi's destijds niet slaagden in hun poging om een dergelijke staat te vestigen:


Je ziet hier de overlap tussen fascistische idealen en de technocratische wens om iedere individuele burger tot op het bot te controleren en te monitoren.

Let ook op het woord "meritocratie" dat deze Engelse influencer (1,3 miljoen volgers op TikTok) gebruikt. Dat is een begrip dat ook centraal staat in de ideologie van het huidige Chinese regime. Meritocratie betekent dat "de besten" de macht hebben en hun beslissingen kunnen doorvoeren. Dit roept natuurlijk onmiddellijk de vraag op wie er dan wel "de besten" zijn. Zowel in het huidige China als in fascistisch geregeerde landen is het antwoord dat in de praktijk op die vraag wordt en werd gegeven: "De besten zijn degenen die de macht hebben weten te bemachtigen en die hem weten vast te houden."

Met andere woorden, volgens dergelijke ideologieën is het voor de bestwil van alle burgers dat er geen grenzen gesteld worden aan de macht die de machthebbers uitoefenen over elke individu in de samenleving, omdat dit het meest "efficiënt", "kostenbesparend", "effectief" en dergelijke is.

Fascisme en technocratie zijn twee handen op één buik. Dat verandert niet wanneer technocraten (bijvoorbeeld in Europa) roepen dat ze fascisme (in Europa of elders) juist willen bestrijden. In beide gevallen wordt er gestreefd naar totale, met technologische middelen afgedwongen macht over de bevolking.

Als de discussie naar aanleiding van het gebruik van het BSN-nummer beperkt blijft tot de vraag hoe een dergelijk "incident" met wat technische tweaks in Nederland een volgende keer kan worden voorkomen, dan is dat dweilen met de kraan open, en wachten op het volgende "incident" dat dan weer net een beetje anders maar eigenlijk toch hetzelfde zal zijn.

De enige manier om structureel dit soort "incidenten" te voorkomen, is om te onderkennen dat de technocratische droom van totale controle via digitale technieken, als die wordt doorgevoerd (wat nu in volle gang is), leidt tot vernietiging van de democratie, de rechtsstaat, de mensenrechten, de medische rechten, het welzijn en de welvaart van de bevolking.

Maar ja, dit onder ogen zien zou vereisen dat de huidige daders (in politiek, bestuur en ambtenarij, maar ook hun facilitators in de rechterlijke macht) diep, diep in de spiegel kijken. Dat zie ik niet zo snel gebeuren. Daarom zullen er waarschijnlijk helaas verdere, grotere rampen nodig zijn voordat men tot bezinning komt.

Een apart zorg-ID biedt minder mogelijkheden om mee te frauderen, omdat dit voor allerlei zaken niet gebruikt kan worden waarvoor een BSN-nummer wel gebruikt kan worden. Bovendien zal het feit dat er bij fraude een zorg-ID gebruikt wordt, mensen eerder wakker schudden dat er iets vreemds aan de hand is als het om een vorm van fraude gaat die op enige manier afwijkt van wat in de zorg(sector) gebruikelijk is.

Maar zoals @Anoniem op 16-08-2025 om 21:06 uur ook al aangaf: "Het inperken van het gebruik van het BSN op de bovengenoemde manier is een bescheiden begin daarvoor." Er is dus nog meer nodig om het gebruik en misbruik van het BSN voldoende in te perken. Van belang is om te beginnen vooral dat men in Nederlandse en EU-bestuurskringen afscheid gaat nemen van de maniakale ideologie van één centraal nummer ten behoeve van totale controle door de overheid (die dan in haar goedgunstigheid af en toe tijdelijk wat kosmetische decentralisatie-facades invoert om het volk gerust te stellen en in slaap te sussen).

Het loslaten van de verplichting overal een BSN-nummer voor te tonen, hoeft helemaal niet veel te kosten. Het is jouw eigen angst voor /afkeer van het verminderen van controle, die maakt dat je denkt dat er meteen een miljardeninvestering moet worden gedaan om dan weer andere vormen van controle in te voeren. De kern van het probleem is de wens om het leven van burgers tot in detail vast te houden en te controleren en alle risico's voor overheden uit te bannen. Dit leidt bij mensen tot vermoeidheid en slordigheid (men gaat door formele hoepels springen, NEN-lijstjes aanvinken en dergelijke om er maar van af te zijn). Het leidt tot een calculerende attitude bij burgers, overheidsmedewerkers en mederwerkers van bedrijven ("Als ik er mee wegkom, dan doe ik het zo"). Dit gaat juist ten koste van het goed functioneren van het maatschappelijke systeem als geheel.

-- Nee, zoals in mijn vorige, anonieme bijdrage vermeld, hoorde ik laatst dat er in Frankrijk een speciaal zorg-ID is (ik heb dit niet gecheckt, maar misschien kun jij dat doen voordat je iets roept over Frankrijk; het betreffende ID wordt in ieder geval niet gebruikt voor belastinginning e.d., zoals het BSN-nummer);
-- En ja, de technocratische neiging tot het invoeren van totale controle is een EU-breed probleem (en in feite een wereldwijd probleem). Dit is een nieuwe vorm van technologisch aangekleed fascisme die wereldwijd in opkomst is. Dat allerlei andere EU-landen dezelfde, rampzalige weg zijn ingeslagen als Nederland, is geen toeval, en ook geen teken dat het dan dus wel een prima weg moet zijn. Als vele lemmingen zich samen in de afgrond storten, maakt dat hun gedrag nog niet verstandiger.

M.J.

Onzin dat alles is ingericht als "alziend oog". De is niet continu bezig met monitoring. Echter fraude is ook een realistisch iets en moet aangepakt worden.

Sorry maar dit stukje paste wel bij je mening.

Klopt, misschien omdat ik verder kijk en de nodige ervaring me met oa zorg.
Maar dat wil niet zeggen, dat ik de huidige oplossing nu perfect vind. Er zitten zeker nadelen aan, zoals ook aangegeven wordt. Maar een goed en veilig alternatief is er ook niet.

Tja.... MJ stukje zal ik maar zeggen. Ga ik niet verder op in. Is vooral veel je eigen mening.

Een apart zorg-ID biedt minder mogelijkheden om mee te frauderen, omdat dit voor allerlei zaken niet gebruikt kan worden waarvoor een BSN-nummer wel gebruikt kan worden. [/quote]matige tot geen onderbouwing. Sterker nog, de kans is groter. Een BSN zelf zegt niet zoveel, want je moet deze altijd controleren aan de hand van een bewijs (ID/Rijbewijs/passport). Een apart zorgid moet dus complet los van het BSN neergezet worden, controle op uitgaven moet je in gaan regelen, passen, apps moet je ook allemaal gaan neerzetten. Want DigiD kan je ineens niet meer gebruiken. Er is ook geen directe koppeling meer tussen bijvoorbeeld fraude systemen. En NAW gegevens zelf zijn niet genoeg. Dus een paar uitdagingen die nog opgelost moeten worden.

Leuke mening, maar geen enkele onderbouwing. Wat is precies het verschil met een BSN nummer? Wat maakt dit nu ineens anders als het een zorgid is?

Maar lost alleen op, dat je het BSN nummer niet meer gebruikt, maar voegt enorm veel complexiteit toe aan alles en lost verder niets op. Privacy technisch nauwelijks voordelen.

De overheid is juist verantwoordelijk voor het goed regelen van zorg, sociale zekerheid enz enz. Daarom is 1 systeem een stuk effectiever en sneller. Als je dit splits maak je alles alleen maar complexer, duurder en fraude/fout gevoelig.

Nee, dit is gewoon een snelle en zeker realistische kostenpost en tijdslijnen. Het laat eerder zien, dat sommige geen enkel idee hebben, hoe complex alles wel niet is. Die viel mij ook al op je je eigen topic met je huisarts of eneco was het toen. Je deed grote uitspraken alleen gebaseerd op je mening.

Mar dit soort aanpassingen, zijn zeer complex, tijdrovend, risicovol om te implementeren. De impact is heel groot.
Maar wat zou jij dan denken als kostenpost en doorlooptijd?

Nee, gewoon een realistische uitwerken. Jij hebt blijkbaar een goede mening hierover, maar volgens mij geen enkel idee, hoe complex zorg is en alles wat er vanaf hangt.

Leuke argumenten, maar dit veranderd helemaal niet als je een "zorgid" gaat gebruiken. Het zal alleen maar complexer gaan worden, want de overheid is nog steeds verantwoordelijk voor de zorg, maar moet nu ook nog eens 2 systemen aan elkaar koppelen.

Ik heb nog een keer gechecked, maar wat ik zeg is correct. Sterker nog in 2021 verplicht geworden.

In Frankrijk heeft men de Identité Nationale de Santé (INS), oftewel de Nationale Gezondheidsidentiteit. Het INS-nummer: Dit is voor de meeste patiënten het Numéro d'Inscription au Répertoire National des Personnes Physiques (NIR), wat in feite het Franse sociale zekerheidsnummer is (vergelijkbaar met het sofinummer/BSN in Nederland). De INS is ook de basis voor "Mon Espace Santé", het digitale gezondheidsdossier van Frankrijk. Sinds 1 januari 2021 is het gebruik van de INS voor patiëntidentificatie bij het uitwisselen van gezondheidsgegevens wettelijk verplicht in Frankrijk.

De informatie zou terug te vinden moeten zijn in, Loi de modernisation de notre système de santé , Decreet n° 2021-576 van 11 mei 2021 en "Ma Santé 2022" en de "Stratégie numérique en santé"

Dus als jij andere bronnen hebt, graag.


Of men ziet in dat zorg steeds complexer wordt, dat men minder fouten wil hebben in de zorg. Wat bijvoorbeeld voor dat men het BSN gebruikte mogelijk is. Dubbele inschrijvingen bij ziekenhuizen, waardoor je geschiedenis niet beschikbaar is/was, verkeerde informatie uitwisseling.

Feit is, als je het BSN niet zou gebruiken, maakt dit privacy technisch weinig uit, maakt de zorg alleen maar complexer, implementatie risicovol, duur, langdurig en complex. (heb je wel eens nagedacht over de migratie van alle zorgaanbieders met hun informatie die ze moeten bewaren?). Nog afgezien je altijd een koppeling zal moeten hebben.

Een BSN nummer zelf zegt ook weinig, je moet dit voor officieel gebruik altijd controleren aan de hand van een legitimatie of identification document.

TinTin

Feit is dat dit BV-tje nooit over BSN van patienten had mogen beschikken.
Volgens de KvK zit dit lab in deze categorie:

72113 - Biotechnologisch speur- en ontwikkelingswerk voor overige toepassingen

Dan ben je geen zorginstelling en is het VERBODEN om BSN te verwerken.

De zorgsector zelf moet ook eens goed en lang in de spiegel kijken en erkennen dat regels en voorschriften ook en zeker voor hen gelden. Begin maar eens met de basis:

"Mag ik sieraden dragen tijdens het werken in de zorg?
Géén sieraden en accessoires dragen tijdens het werk is de basis voor goede hygiëne en infectiepreventie.

Sieraden en accessoires aan handen en onderarmen zijn niet toegestaan. Dus draag geen ringen (ook geen gladde trouwring), armband of polshorloge. Ook een piercing of brace aan hand of onderarm mag niet. Draag daarnaast ook géén lange oorbellen of een lange ketting."

Minder dan de helft van alle zorgwerkers houdt zich aan dit voorschrift....als je dat al niet kunt opbrengen dan is privacy en security al helemaal onhaalbaar.

Ehm... Allemaal leuke discussies over het wel/niet gebruiken van het BSN in de zorg.

Een "simpelere" oplossing:

Dit soort laboratoria factureren niet meer rechtstreeks aan de verzekeraar, maar dat doen de huisartsen en ziekenhuizen.
Alleen die kleinere groep (artsen) bezit de persoonsgegevens van de patient, al dan niet gekoppeld aan het BSN of een zorg-ID.

Data die naar een laboratorium gestuurd wordt, krijg van de verzender een voor hemzelf unieke hash en de eigen organisatiecode.
Het laboratorium koppelt daar een eigen (voor hun zelf) unieke hash aan. (in een aparte kolom). Voor intern gebruik.

Hierdoor is alles uniek (per onderzoek) relateerbaar aan de patient door de huisarts/ziekenhuis, zonder dat het lab de persoonsgegevens bezit of weet om welke patient het gaat.
En zonder dat eenzelfde hash, gebruikt bij meerdere organisaties, een probleem wordt.

Deze SBI code sluit het verwerken van BSN niet uitsluit, maar wel een veel betere onderbouwing noodzakelijk maakt.
"Nooit" zoals jij dit benoemt, klopt dus al niet helemaal. Je "FEIT", is dus al erg zwak.

Maar laten we je feit, zoal jij dit noemt, even verder analyseren.

Ik kan al 4 KVK nummers terug vinden, dus welke heb je precies gebruikt?

Clinical Diagnostics SCAL: KVK 57642354
Clinical Diagnostics MML: KVK 80424953
Clinical Diagnostics Gelre: KVK 86446606
Clinical Diagnostics LCPL: KVK 28029398

Tot zover ik weet is Clinical Diagnostics LCPL B.V., met KVK 28029398 gehacked.
Vanuit de KVK kan ik deze omschrijving terug vinden:
Het verrichten van eerstelijnsdiagnostiek, een en ander met inachtneming van de publiekrechtelijke voorschriften omtrent kwaliteit en het publieke belang van doelmatigheid, al of niet in samenwerking met derden en met inbegrip van het verrichten en bevorderen van alle handelingen die daarmede direct of indirect verband houden, alles in de ruimste zin van het woord.

Als ik verder zoek ko ik trouwens deze SBI code tegen: 86924 - Medische laboratoria, trombosediensten en overig behandelingsondersteunend onderzoek.

En he, past precies bij hun omschrijving.

https://openkvk.nl/company/hoofdvestiging-clinical-diagnostics-lcpl-bv-28029398-18301215
Dus zoals ik het zie, heb jij een verkeerde analyse gedaan. En blijkt je hard genoemde feit, toch geen feitje te zijn?

Maar laten we even verder kijken, naar je onderzoek?

Bij de Clinical Diagnostics Gelre: KVK 86446606, kan ik je genoemde SBI code inderdaad terug vinden.
Jammer wel, dat dit een ander bedrijf is en dus nu net niet gehacked was (belangrijke FEITJE). Maar als ik bij de openkvk verder kijk, is de SBI inderdaad een hoofdactiviteit, MAAR staan ze ook ingeschreven onder code: 86924 - Medische laboratoria, trombosediensten en overig behandelingsondersteunend onderzoek.
Wacht even... Dit BVtje, zoals jij dit zo mooie noemt, zou dus ook wel eens de gelekte gegevens mogen gebruiken, want blijkbaar doen ze meer? Had je dit misschien of toevallig gemist?
https://openkvk.nl/company/hoofdvestiging-clinical-diagnostics-gelre-bv-86446606-52422941

Zijn wel appels met peren vergelijken.
Volgens mij is dit een richtlijn die je nu gebruikt. Wel een hele goede natuurlijk, en zou ook zeker gebruikt moeten worden. Al is dit natuurlijk wel erg van je rol,functie en op dat moment uitvoerende werkzaamheden van belangrijk.

Privacy, Security zijn voor zorgmedewerkers heel wat anders dan hun vakgebied. Deze moeten eerder uit protocollen komen, en kunnen ook verschillen per afdeling of functie die men heeft. Beide zijn natuurlijk ook wel belangrijk, laat ik dat wel voorop zeggen. Maar security is best heel complex tegenwoordig, dit kan van de toegang zijn voor iets fysiek en ICT gerelateerd, beide zijn niet medisch. Dus moeten andere afdelingen en personen hiervoor advies en configuratie doen en dit adviseren.

Zo blijken bijvoorbeeld feiten die gebracht worden door onderzoekers, soms namelijk heel anders te zijn. Ik heb hier al diverse malen gelezen, dat ze het BSN niet mochten gebruiken, zoals jij dit aan heeft. Maar keer op keer blijkt het toch net anders te zijn. Dus blijkbaar is privacy en security toch net iets lastiger te zijn dan sommige denken.

Een veelgemaakte fout is dat technische mensen, technisch gaan denken voor personen die geen affiniteit hebben met techniek.
Je opmerking mis dus de nodige nuance en is veel complexer dan sommige voordoen.

Maar de belangrijkste conclusie van je post, je FEITJE wat je hier zo mooi kwam vertellen, van je analyse dat het BSN niet gebruikt mocht worden, is naar de prullenbak verdwenen, of papierversnipperaar als we het privacy technisch goed willen doen.

Mocht ik ergens fout zitten, dan hoor ik dit graag. Ik heb mijn belangrijkste bronnen over je feitje er bij gezet.

Ja precies. Maar dat is natuurlijk wel meer werk voor de opdrachtgever, die moeten de resultaten dan terugkoppelen naar de patient. Moeten ze m.i. sowieso, dat terugkoppelen narapatienten via de behandelend arts,maar zal wel weer een kostenbesparend idee geweest zijn, van iemand,zonder over de gevolgen na te denken.

Ik zag jouw eerste melding van informatie over de Franse identificatienummers (vanochtend om 8:12 uur) pas nadat ik mijn vorige bericht (om 9:42 uur) had geplaatst.

Inmiddels heb ik navraag gedaan en ook een tekst van ChatGPT ontvangen. ChatGPT zegt (samengevat, na aanpassing layout t.b.v. Security.nl en na een check of wat ChatGPT zegt niet strijdig is met de andere informatie die ik heb gekregen; en let vooral niet op het verschil tussen de aangekondigde vier categorieën en de vervolgens gebruikte zes categorieën - da's kennelijk een grapje van ChatGPT) het volgende:


Mijn afdronk na dit verhaal:

1. In beide landen wordt het nummer in de praktijk wijd en zijd gebruikt. Belangrijk verschil: in Frankrijk wordt het niet gebruikt, of is het gebruik althans niet verplicht, bij banken, bij scholen en voor inloggen bij het aanvragen van overheidsdienstverlening.

2. Doordat het nummer in beide landen wijd en zijd wordt gebruikt, is het als gevolg van de aanwezigheid van veel grote (legale en illegale) databestanden met koppelbare gegevens hoe dan ook herleidbaar tot personen, nog los van de persoonsgegevens die het nummer zelf bevat (in Frankrijk).

3. Of de sectorale compartimentalisering in Frankrijk daadwerkelijk wordt nageleefd en ook wordt gehandhaafd door de CNIL, weet ik niet.

4. Wat ik wel weet, is dat in Nederland de AP niet effectief handhaaft / niet effectief mag handhaven. Daarom stellen de genoemde "legal safeguards" en "legal guardrails" in Nederland weinig voor en worden burgers daardoor in de praktijk nauwelijks beschermd.

5. De privacybescherming m.b.t. identificerende nummers lijkt in beide landen niet op orde te zijn. In Frankrijk is er eerder sprake van "data-sectoralisatie" en niet van "dataminimalisatie". In Nederland is er überhaupt geen sprake van data-minimalisatie, doordat het BSN-nummer als gevolg van het bijna universele gebruik ervan, ondanks de "randomness" ervan, in de praktijk toegang geeft tot heel veel andere persoonsgegevens, zoals geboortedatum en NAW-gegevens - zoals die bijvoorbeeld ook samen(!!!) met het BSN-nummer bij het laboratorium Clinical Diagnostics terecht lijken te zijn gekomen. Als dat klopt, heeft alleen al dit ene datalek de "randomness" van het BSN-nummer voor meer dan een half miljoen mensen vernietigd, want hun BSN-nummer bevindt zich nu gekoppeld aan hun NAW-gegevens op het dark web.

6. De enige conclusie de je hieruit kunt trekken als(!!!) je de privacy van burgers enigszins wilt beschermen, is dat het principe van data-minimalisatie (dus niet alleen data-sectoralisatie) nu eindelijk serieus moet worden genomen.

Dat principe staat nu al in de AVG, maar de "legal safeguards" van de AVG hebben overduidelijk niet geholpen, omdat ze door zowel Bevolkingsonderzoek Nederland als de huisartsen als het laboratorium genegeerd zijn en terzijde zijn geschoven. De betreffende persoonsgegevens hadden nooit bij het laboratorium terecht mogen komen.

Gaat de AP nu een keertje wel stevig handhaven en beboeten? We gaan het zien. Misschien dat de omvang van het schandaal de AP zal stimuleren om wat meer spierballen te tonen - wat nog niet wil zeggen dat ze die getoonde spierballen ook effectief gaan gebruiken - of zelfs maar mogen gebruiken van Neerlands rechters.

Tot slot nog iets over de volgende reactie in jouw bericht:
Dat jij de verdergaande implicaties van jouw eigen standpunt niet onder ogen wilt zien en daarover ook niet in dialoog wilt gaan, daar kan ik niets aan veranderen. Dit soort ontkenningsgedrag van sommige deelnemers aan dit forum haalt wel het niveau van de gedachtenwisselingen omlaag. Het is één van de redenen waarom ik sinds tweeënhalve maand minder frequent deelneem op dit forum.

M.J.

De boer, het kippenhok en de vos

Een boer vindt dat het prachtige kippenhok bij zijn boerderij te duur is. Hij brengt zijn kippen naar een hutje op de hei en laat ze daar achter. Hij laat het bovenraampje van het hutje open staan, zonder te beseffen dat er onder dat bovenraampje een regenton staat. 's Nachts brengt de vos een bezoek aan dat kippenhok.

Ondertussen heeft de boer thuis zijn prachtige kippenhok afgebroken en gebruikt het hout om een lekker vuurtje te stoken in zijn kachel. "Zo is het tenminste nog ergens goed voor!" zegt hij tevreden.

De volgende ochtend loopt hij naar het hutje op de hei om eieren te rapen, en ontdekt dat al zijn kippen op één na zijn vermoord en gedeeltelijk opgegeten. Hij neemt die ene kip mee naar huis en bergt die op in een zwaar vergrendelde kluis, met een beetje stro zodat het beestje warm kan blijven.

De boer schaamt zich zo dat hij de moord op zijn kippen nog een maand lang geheim houdt, totdat mensen vragen waarom hij geen eieren meer kan leveren. Dan komt het hoge woord eruit en zegt hij dat hij zijn klanten "pro-actief" wil informeren over het feit dat zijn kippen vermoord zijn.

Als hem gevraagd wordt waarom hij het zo lang geheim hield, zegt hij: "Dat was nodig omdat ik mijn laatste kip wilde beschermen, en omdat ik nog stappen wilde zetten om de oorzaak van de moord op mijn kippen op het spoor te komen."

"Wat was die oorzaak dan?" wordt hem gevraagd.

"De oorzaak heb ik nog niet gevonden," antwoordt hij. "Dat vereist nog meer onderzoek. Maar ik denk dat het een vos is."

#Gehackt medisch laboratorium heeft oorzaak datadiefstal nog niet gevonden (Security.nl, 15-08-2025)

M.J.

M.J. een paar vragen:

Waarom is de vos niet verzopen in de regelton?
Meestal zijn regentonnen open van boven.

Wat zijn de persoonsdata: de kippen of de eieren?
En hoe had de boer die kip[en en eieren los kunnen koppelen van elkaar, om aan betere "datascheiding" te doen. (het lab had IMHO in principe de pesoonsdata niet nodig)

De "regelton"... Da's een goeie!

Precies ik denk dat zelfs 1 unieke codesleutel voldoende is. Hoop dat ze er flink voor worden gestraft. Hier moeten duidelijk koppen rollen.

matige tot geen onderbouwing. Sterker nog, de kans is groter. Een BSN zelf zegt niet zoveel, want je moet deze altijd controleren aan de hand van een bewijs (ID/Rijbewijs/passport). Een apart zorgid moet dus complet los van het BSN neergezet worden, controle op uitgaven moet je in gaan regelen, passen, apps moet je ook allemaal gaan neerzetten. Want DigiD kan je ineens niet meer gebruiken. Er is ook geen directe koppeling meer tussen bijvoorbeeld fraude systemen. En NAW gegevens zelf zijn niet genoeg. Dus een paar uitdagingen die nog opgelost moeten worden.

Leuke mening, maar geen enkele onderbouwing. Wat is precies het verschil met een BSN nummer? Wat maakt dit nu ineens anders als het een zorgid is?

Maar lost alleen op, dat je het BSN nummer niet meer gebruikt, maar voegt enorm veel complexiteit toe aan alles en lost verder niets op. Privacy technisch nauwelijks voordelen.

De overheid is juist verantwoordelijk voor het goed regelen van zorg, sociale zekerheid enz enz. Daarom is 1 systeem een stuk effectiever en sneller. Als je dit splits maak je alles alleen maar complexer, duurder en fraude/fout gevoelig.

Nee, dit is gewoon een snelle en zeker realistische kostenpost en tijdslijnen. Het laat eerder zien, dat sommige geen enkel idee hebben, hoe complex alles wel niet is. Die viel mij ook al op je je eigen topic met je huisarts of eneco was het toen. Je deed grote uitspraken alleen gebaseerd op je mening.

Mar dit soort aanpassingen, zijn zeer complex, tijdrovend, risicovol om te implementeren. De impact is heel groot.
Maar wat zou jij dan denken als kostenpost en doorlooptijd?

Nee, gewoon een realistische uitwerken. Jij hebt blijkbaar een goede mening hierover, maar volgens mij geen enkel idee, hoe complex zorg is en alles wat er vanaf hangt.

Leuke argumenten, maar dit veranderd helemaal niet als je een "zorgid" gaat gebruiken. Het zal alleen maar complexer gaan worden, want de overheid is nog steeds verantwoordelijk voor de zorg, maar moet nu ook nog eens 2 systemen aan elkaar koppelen.

Ik heb nog een keer gechecked, maar wat ik zeg is correct. Sterker nog in 2021 verplicht geworden.

In Frankrijk heeft men de Identité Nationale de Santé (INS), oftewel de Nationale Gezondheidsidentiteit. Het INS-nummer: Dit is voor de meeste patiënten het Numéro d'Inscription au Répertoire National des Personnes Physiques (NIR), wat in feite het Franse sociale zekerheidsnummer is (vergelijkbaar met het sofinummer/BSN in Nederland). De INS is ook de basis voor "Mon Espace Santé", het digitale gezondheidsdossier van Frankrijk. Sinds 1 januari 2021 is het gebruik van de INS voor patiëntidentificatie bij het uitwisselen van gezondheidsgegevens wettelijk verplicht in Frankrijk.

De informatie zou terug te vinden moeten zijn in, Loi de modernisation de notre système de santé , Decreet n° 2021-576 van 11 mei 2021 en "Ma Santé 2022" en de "Stratégie numérique en santé"

Dus als jij andere bronnen hebt, graag.


Of men ziet in dat zorg steeds complexer wordt, dat men minder fouten wil hebben in de zorg. Wat bijvoorbeeld voor dat men het BSN gebruikte mogelijk is. Dubbele inschrijvingen bij ziekenhuizen, waardoor je geschiedenis niet beschikbaar is/was, verkeerde informatie uitwisseling.

Feit is, als je het BSN niet zou gebruiken, maakt dit privacy technisch weinig uit, maakt de zorg alleen maar complexer, implementatie risicovol, duur, langdurig en complex. (heb je wel eens nagedacht over de migratie van alle zorgaanbieders met hun informatie die ze moeten bewaren?). Nog afgezien je altijd een koppeling zal moeten hebben.

Een BSN nummer zelf zegt ook weinig, je moet dit voor officieel gebruik altijd controleren aan de hand van een legitimatie of identification document.

TinTin[/quote]Jij haalt van alles door elkaar. Het gaat om het uitbesteden van een dienst aan een lab en al helemaal niks doorsturen of second opinion (meer van hetzelfde door een andere club). Een monster moet worden beoordeeld. Het monster is voorzien van een unieke key. Het resultaat bevat dezelfde key. Alleen de opdrachtgever weet deze key te herleiden naar een persoon.

Alleen dwazen gebruiken internet nog sedert er Ai is.
Voor de rest is internet een stinkende corrupte mestput.

Die laboratoriumboeren hadden alle ingekomen data + onderzoeksdata kunnen veilig stellen door de data los te koppelen van het web na ontvangst en na onderzoek.

Het is helaas niet verplicht om verstandige beslissingen te nemen.
Ik doe dat wel, al tientallen jaren lang.

De kippen zijn de persoonsgegevens.
De (gouden?) eieren zijn het geld wat met die data wordt verdiend.
De boer is Bevolkingsonderzoek Nederland, de ziekenhuizen en de huisartsen.
Mischien ook de directie van het laboratorium.
De administratie van het laboratorium is het hutje op de hei.

Als je het mij vraagt tenminste. Maar ja, het is literatuur hè?

NRC: Internetcriminelen dreigen opnieuw om data van gehackt lab te publiceren

Volgens de criminelen zou het Rijswijkse lab zich niet aan de afspraken gehouden door de politie in te schakelen. Als Clinical Diagnostics niet binnen elf dagen "voldoende" losgeld betaalt, dreigt Nova de data alsnog te publiceren.

https://www.nrc.nl/nieuws/2025/08/17/internetcriminelen-dreigen-opnieuw-om-data-van-gehackt-lab-te-publiceren-a4903280

Een goede les voor de volgende keer: betaal de criminelen niet want het geld is weg en de data wordt alsnog openbaar gezet.
Criminelen zijn per definitie onbetrouwbaar.

Wel bijzonder dat die extern ingehuurde experts (foxit?) het lek nog niet boven hebben of ze weten het al wel maar schamen zich zo de ballen uit de broek dat ze het (nog) niet durven zeggen en afdeling marketing er zijn sausje over moet doen.

Samengevat is het statement dat ze privacy hoog hebben zitten leeg geworden na een 2e datalek.

Je bedoelt de afdeling marketing van Bevolkingsonderzoek Nederland, de betreffende ziekenhuizen, de betreffende huisartsen en LHV (de Landelijke Huisartsen Vereniging)? Die het allemaal zo prima vinden om gevoelige medische en andere persoonsdata via internet naar laboratoriums en andere "partners" te verspreiden? En die dan zo verontwaardigd zijn dat ze na zo'n hack niet meteen geïnformeerd worden?

"Dokter, zijn mijn medische gegevens veilig bij u?"
"Ja hoor, want ik heb het wachtwoord van mijn internetverbinding op een post-it aan de achterkant van mijn monitor gehangen, niet aan de voorkant. En alle ziekenhuizen en laboratoria voldoen aan NEN7510, dat hebben ze zelf gezegd."

Criminelen dreigen gestolen medische data alsnog openbaar te maken
maandag 18 augustus 2025, 08:49 door Redactie

https://www.security.nl/posting/901043/Criminelen+dreigen+gestolen+medische+data+alsnog+openbaar+te+maken

Dat komt omdat men het volste vertrouwen heeft in het Microsoft eco-systeem, terwijl de bommen links en rechts vallen.

Er werken wereldwijd 65.000 mensen voor Eurofins. Een insider threat is niet uitgesloten.

Als het zo lang duurt is de ramp groter dan je denkt.

De grote hack bij het Rijswijkse laboratorium Clinical Diagnostics roept op basis van de totale omvang van de hack alsmede door de hoeveelheid data per patiënt duidelijke vragen op. Vragen over de databasestructuur, het toegangsbeleid en het updatebeheer. De gestolen data bevatten uitgebreide persoonsgegevens, gegevens van de verwijzer en de uitslag van het onderzoek. Dat kan niet anders dat op enig moment binnen de infrastructuur van het lab al die data tegelijk in één te bezichtigen bestand zich bevonden. Bij dit soort data horen persoonsgegevens en medische data gescheiden in databases te staan waarbij een patiënt identificatie file, als key, koppelt. Het is niet aannemelijk dat de hackers losse bestanden hackten en die zelf combineerden. Onder andere op basis van Europese ISO-normen 18308 en 13606 dient er zo’n scheiding te zijn tussen identificerende persoonsgegevens en medische uitslagen. De vraag is ook of het toegangsbeheer tot de data wel op orde is. Of niet teveel mensen toegang tot de data hebben. Tenslotte is de vraag of men urgente updates, patches, bij veiligheidsissues bijv. wel op tijd heeft geïnstalleerd. Het Openbaar Ministerie deed dat niet bij recent Citrix-lek. https://zorgictzorgen.nl/faciliteerde-databasestructuur-rijswijks-lab-de-giga-datadiefstal/

Het is bij WET verboden voor dit 2-derangs lab om BSN te verwerken.
Zie:
https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken

Als de opdrachtgever zich aan de WET had gehouden dan was dit nooit gebeurd.

Overigens het is conform artikel 15a lid 1
https://wetten.overheid.nl/BWBR0023864/2025-07-05
NIET toegestaan om de BSN zomaar te delen:

"De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven."

Waar is die uitdrukkelijke toestemming?

Dit zijn de FEITEN uit de WET. Fout op fout gestapeld door alle betrokkenen met deze ramp als verwachtte uitkomst.

Klopt allemaal wat je zegt, maar jouw uitgangspunt is nog steeds dat dit een technisch probleem is, dat met technische middelen, protocollen en dergelijke gefixed kan worden. Dat is niet zo. Het gaat hier om menselijk gedrag en manieren om dingen grootschalig te organiseren die bepaald menselijk gedrag in de hand werken.

Het volgende Citrix-lek of Clinical-Diagnostics-lek is een kwestie van (weinig) tijd, zolang men niet gaat inzien dat een privacy-vriendelijke omgang met data georganiseerd moet worden op een manier die rekening houdt met menselijke luiheid, hypocrisie, winstbejag etc., en die tegelijk ook rekening houdt met wat voor soort werkomgeving mensen nodig hebben om gemotiveerd en gewetensvol hun werk te blijven doen (dus geen administratieve hel tussen computerschermen). Anders is het dweilen met de kraan open.

Ik heb het even proberen te checken achter die link. Dan kom ik al snel bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg:


Een laboratorium dat stukjes weefsel, slijm of bloed van (vaak ook nog gezonde) mensen onderzoekt, is géén zorgaanbieder, indicatieorgaan of zorgverzekeraar. Het is een instelling of bedrijf dat onderzoek doet. Onderzoek doen is niet hetzelfde als zorg verlenen. Allerlei farmaceutische industrieën doen ook onderzoek in laboratoria. Dat is om pillen te kunnen verkopen.

Het is zelfs de vraag of Bevolkingsonderzoek Nederland (BN) eigenlijk wel een zorgaanbieder is. Immers, wie zich laat screenen, is meestal niet ziek en heeft dus ook geen "behandeling" nodig, en dus ook geen "behandelingsovereenkomst" zoals bedoeld in de WGBO. Het is een aanbod van BN aan gezonde mensen. Als de definitie van "zorg" wordt opgerekt zodat ook bevolkingsonderzoek van gezonde mensen eronder valt, wordt dat dan wel verteld in de uitnodigingsbrieven aan mensen om zich te laten onderzoeken? Of staat dat misschien ergens in heel kleine lettertjes om het zo onopvallend mogelijk te houden?

Vreemd, ik krijg eigenlijk nooit een dokter aan de deur die zegt: "Wilt u zich door mij laten behandelen tegen een aantrekkelijk tarief? Ik kan bijvoorbeeld onderzoeken of uw nagelriemen er wel gezond uitzien. En anders kan ik ook een helend gesprek met u voeren over de liefde van Jezus Christus voor iedereen, ook voor u."

Als het laboratorium beschouwd wordt als "verwerker" van een zorgaanbieder (bijvoorbeeld een huisarts), dan had die zorgaanbieder conform de AVG aan dataminimalisatie moeten doen, en dus niet zonder noodzaak persoonsgegevens van patiënten door het laboratorium moeten laten verwerken. Er is immers (subsidiariteit!) een prima alternatief: een apart, uniek, niet tot een persoon herleidbaar nummer aan de monsters toekennen en ze daarmee naar het laboratorium versturen. En de rekening rechtstreeks van de huisarts (of van Bevolkingsonderzoek Nederland) naar de patiënt of naar de zorgverzekeraar sturen.

Overigens zie ik in diezelfde "Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg" wel een juridisch slimmigheidje a.k.a. rotgeintje staan in artikel 1, aanhef en onder b en 4:


Opeens verleent de boekhouder van de huisarts volgens de wet ook "zorg". Waarom dan niet ook de schoonmaker van de huisartspraktijk? Of de loodgieter die de waterkraan van de huisartspraktijk komt repareren?

Onze medische privacy wordt door de Nederlandse wetgever ondermijnd waar we bij staan.

M.J.

En zo werkt het dus niet en gelukkig ook niet, want dit is heeft in het verleden voordat we het BSN gebruikte, fouten veroorzaakt.

Het is zeer foutgevoelig.

interessant... Jij hebt meer informatie dan die publiekelijk bekend is?

Want wie zegt dat het OM te laat is geweest? Misschien waren ze al gehacked voordat de patch uitkomen was?

En met je ISO normen is het nog steeds mogelijk. Het beschrijf een architectonisch en communicatief raamwerk, waarin het BSN ook gewoon toepasbaar is en zelfs noodzakelijk.

Goede onderbouwing..... en erg inhoudelijke reactie.

Je kwam met een SBI code die niet hoort het het gehacked bedrijf. Daar ga je dus liever niet inhoudelijk op in? Heb je verder gekeken welk bedrijf nu exact gehacked was? En welke codes daar onder vielen?

Het is gewoon een zorgaanbieder en valt dus onder Wet aanvullende bepalingen verwerking persoonsgegevens (Wabvpz).
Dit zijn ook de feiten.....
Ze vallen zelfs onder de behandelaar, want ze zijn een onderdeel van je behandeling en moeten dus gegevens uitwisselen. Dan mogen moeten ze, onderling het BSN nummer zelfs gebruiken, zoals de Wabvpz voorschrijf.

Als we feiten gebruiken, welk bedrijf (KVK) heb je exact gebruikt voor jouw feiten? Welke SBI code valt precies onder dat bedrijf. En zijn ze dan niet een onderdeel van je behandeling? Als jij denkt van niet, waarom zou dat dan niet het geval zijn?

Ben ik het niet mee eens.

Bevolkingsonderzoek Nederland (BN) wordt wettelijk gezien als een organisatie die het BSN mag verwerken. Hoewel ze geen directe curatieve zorg verlenen in de zin van behandelingen, vallen hun activiteiten wel onder de bredere definitie van "zorg" in de zin van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).

Heel simpel JA.
Preventieve Zorg en Volksgezondheidstaak zijn volksgezondheidstaken die de overheid doet.
Unieke Identificatie is noodzakelijk. Immers je wilt niet de verkeerde uitnodigen.
De wettelijke grondslag komt uit de Wabvpz.
En de data komt uit het Basisregistratie Personen (BRP)

Een dokter komt ook niet zomaar aan de deur. Echter vanuit het het BRP komt wel een trigger bij bepaalde leeftijden voor een onderzoek.
Of misschien vaccinaties?

De wet schrijft voor dat hiervoor het BSN nummer voor gebruikt MOET worden.
En nee er is geen goed alternatief dat een uniek nummer geeft. Hoe weet je dat je bedachte alternatief uniek is? Uniek bij de aanvrager of bij het laboratorium? Eventueel second opinion? Of een vervolg onderzoek?
Rekening gaan ook direct naar de verzekering, gelukkig, want anders komt er nog meer administratie bij de zorg er bij.=

De wet heeft hierover nagedacht en een hele goede oplossing bedacht om fouten te voorkomen.

Ik zie het niet als een slimheidje, maar als een goed bedacht iets, zodat er geen aparte wetgeving nodig is. De wetgever hoefde geen afzonderlijke wetten te maken voor bijvoorbeeld tandartsen, psychologen, diëtisten, medische laboratoria.

Een boekhouder die de administratie van een arts verzorgt, mag het BSN van de patiënten van de arts verwerken als verwerker, in opdracht en onder verantwoordelijkheid van de arts, en uitsluitend voor de doeleinden waarvoor de arts zelf wettelijk gerechtigd is het BSN te verwerken (met name ten behoeve van correcte identificatie voor declaratie en afhandeling). Dit moet altijd zijn vastgelegd in een verwerkersovereenkomst.
De boekhouder wordt daardoor echter niet zelf een zorgaanbieder.

Lekker vaag. Een lab is geen zorgaanbieder, indicatieorgaan of zorgverzekeraar. Waar staat die bredere definitie van zorg dan in de Wabvpz? Artikelnummer? En waarom zou het BSN-nummer verplicht moeten worden doorgegeven aan organisaties die weliswaar onder die vermeende "bredere definitie" vallen, maar geen zorgaanbieder, indicatieorgaan of zorgeverzekeraar zijn? Waar staat dat in de wet?
Of is het alleen hoe jij zelf bedenkt dat je graag zou willen dat het zou zijn?

Dus de overheid heeft zichzelf volgens jou benoemd tot "zorgaanbieder" aan gezonde mensen? Maar hoe zit het dan met de Wet geneeskundige behandelovereenkomst (WGBO)? Heeft iedere Nederlander bij zijn geboorte zonder het te weten een behandelingsovereenkomst met de staat afgesloten? Zonder zo'n overeenkomst is er geen patiënt-zorgaanbieder-relatie.
Preventieve zorg mag alleen worden gegeven na instemming van de betreffende natuurlijke persoon of diens wettelijke vertegenwoordiger in geval van wilsonbekwaamheid. Zonder diens toestemming mag de staat helemaal geen preventieve zorg verlenen aan individuele personen.
Unieke identificatie waarvan? Van de persoon? Die is alleen noodzakelijk voor de administratie van Bevolkingsonderzoek of de behandelend arts, niet voor het lab. Unieke identificatie van het onderzochte monster is wel nodig voor het lab. Dat kan met een ander nummer dan het BSN-nummer.
Dat staat niet in de Wabvpz, want het lab is geen "zorgaanbieder" maar alleen een organisatie die monsters verwerkt. Dat kan ook met een ander nummer, niet persoonsgebonden.
Welke data? NAW-data en BSN-nummer worden hopelijk niet zomaar door gemeentes aan labs gegeven.

Een "trigger" is nog geen "behandelingsovereenkomst" (WGBO).

Niet voor een lab dat geen zorgaanbieder is (zie boven).
Trouwens, als de wet dat wel voorschrijft, dan is die wet in strijd met het recht op medische privacy (zoals voortvloeiend uit artikel 8 EVRM en een in overeenstemming daarmee te interpreteren AVG) en met het medisch beroepsgeheim. Dat beroepsgeheim is officieel nog geldig.
Een niet tot een persoon herleidbaar nummer is nog steeds een uniek nummer. Niemand zegt dat er geen uniek nummer zou mogen zijn. Het mag alleen niet herleidbaar zijn tot de persoon van wie er een monster wordt onderzocht.
Uniek bij de aanvrager (huisarts, bevolkingsonderzoek) EN het laboratorium. Alleen: voor het lab en voor hackers niet herleidbaar tot een persoon.
De administratie zit dan bij de huisarts of het bevolkingsonderzoek. Dus geen probleem.
Onzin. Opdrachtgever administreert het laboratoriumonderzoek toch al. Wie de rekening naar de verzekering stuurt maakt niet uit voor de totale administratieve last.
De wet denkt niet na maar misschien bedoel je de wetgever. Die heeft misschien over sommige dingen nagedacht maar niet over het beschermen van medische privacy. Dat wil de wetgever klaarblijkelijk niet.

Tandartsen, psychologen en diëtisten zijn zorgverleners.
Medische laboratoria die een opracht van een arts uitvoeren, zijn dat niet. Leuk geprobeerd.

Dat klopt juridisch gezien, maar daarvoor is het niet nodig om in de wet (de Wabvpz) op te nemen dat boekhouden of de "financiële afwikkeling" onder de definitie van "zorg" valt. Dat kan dan namelijk gewoon gebeuren op basis van de behandelingsovereenkomst die een patiënt met de zorgverlener heeft afgesloten (artikel 6, eerste lid onder b AVG).
Dus ofwel de wetgever heeft hier iets totaal overbodigs opgeschreven, ofwel de wetgever heeft de AVG gepasseerd om iets mogelijk te maken wat anders niet mogelijk was.
Inderdaad. Dus waarom dan de "financiële afwikkeling" in de Wabvpz als onderdeel van de zorg betitelen? Antwoord: dat is om de werkingskracht van de AVG en de WGBO (d.w.z. de bescherming die artikel 6, eerste lid onder b AVG en de WGBO in combinatie met elkaar aan burgers bieden) buiten spel te kunnen zetten via artikel 6, eerste lid onder c AVG ("wettelijke verplichting" - te weten een verplichting opgenomen in de Wabvpz).

M.J.

Ze zijn een onderdeel van je zorgbehandeling.

Waarom een laboratorium voor uitstrijkjes een zorginstelling is:
Een zorginstelling wordt gedefinieerd als een organisatie die zich bezighoudt met het verlenen van gezondheidszorg. Hoewel een laboratorium voor uitstrijkjes (zoals een pathologisch anatomisch laboratorium) geen directe patiëntenzorg levert in de zin van behandelingen of opnames, speelt het wel een cruciale rol in de diagnose en preventie van ziekten.

Diagnostiek: De analyse van uitstrijkjes (bijvoorbeeld baarmoederhalsuitstrijkjes voor de opsporing van afwijkende cellen die kunnen duiden op kanker) is een diagnostische handeling die essentieel is voor de gezondheid van patiënten.

Bijdrage aan behandelingstrajecten: De resultaten van deze analyses worden gebruikt door artsen om de juiste diagnose te stellen en vervolgens een passend behandelplan op te stellen. Dit is een integraal onderdeel van het zorgproces.

Regelgeving: Laboratoria die medische diagnostiek uitvoeren, vallen onder strikte regelgeving voor de gezondheidszorg, vergelijkbaar met andere zorginstellingen, om de kwaliteit en veiligheid van de geleverde diensten te waarborgen.


Bevolkingsonderzoeken (zoals baarmoederhalskanker, borstkanker, darmkanker): Ook dit zijn aanbiedingen van de overheid. Deelname is vrijwillig. Mensen ontvangen een uitnodiging en besluiten zelf of ze eraan deelnemen. Pas als ze besluiten deel te nemen, ontstaat er een relatie met de uitvoerende zorgverlener (bijvoorbeeld het laboratorium), en dan gelden de principes van de WGBO (informatieplicht, toestemming).

Zoals al meerdere keren aangegeven, vanuit de weg mag dit niet en een "Unieke identificatie" is heel complex. Uniek bij het lab of bij het Bevolkingsonderzoek?

Je kijkt maar naar een heel klein punt, terwijl het heel complex is. Je negeert al het overige, hoe complex alles is.

Je mening is gebaseerd dat het lab geen zorgaanbieder is. Daar gaat het echter fout. Ze zijn wel een zorgaanbieder.

een medisch laboratorium is zeker een zorgaanbieder.

Hoewel een laboratorium geen directe patiëntenzorg levert zoals een arts aan bed, is het een essentieel onderdeel van het zorgproces en valt het onder de definities van een zorgaanbieder in de Nederlandse wetgeving.

Hier zijn de belangrijkste redenen waarom een laboratorium een zorgaanbieder is:

Diagnostiek is zorg: De primaire taak van een medisch laboratorium is het uitvoeren van diagnostische onderzoeken (bijvoorbeeld bloedonderzoek, urineonderzoek, weefselonderzoek, microbiologische kweken, genetische testen). Deze diagnostiek is cruciaal voor:

Het stellen van de juiste diagnose.
Het monitoren van ziekteverloop en de effectiviteit van behandelingen.
Het screenen op ziekten (preventieve zorg, zoals uitstrijkjes).
Het bepalen van prognoses.

Integraal onderdeel van het zorgproces: De resultaten van laboratoriumonderzoek zijn leidend voor behandelend artsen (huisartsen, specialisten) om de juiste medische beslissingen te nemen. Zonder betrouwbare laboratoriumdiagnostiek zou veel medische zorg simpelweg onmogelijk zijn of van aanzienlijk lagere kwaliteit. Het is een onlosmakelijk deel van de zorgketen.

Valt onder relevante wetgeving:

Wet kwaliteit, klachten en geschillen zorg (Wkkgz): Laboratoria vallen onder deze wet, wat betekent dat ze verplicht zijn om goede zorg te leveren, een klachtenregeling te hebben en veilig te werken.

Wet toelating zorginstellingen (Wtza): Deze wet regelt de toelating van zorgaanbieders. Veel laboratoria moeten aan de eisen van deze wet voldoen om zorg te mogen leveren.

Wet geneeskundige behandelovereenkomst (WGBO): Hoewel de laboratoriumspecialist zelf geen directe behandelovereenkomst met de patiënt heeft, vallen de handelingen die in het laboratorium worden verricht wel degelijk onder de WGBO in de bredere context van de patiëntenzorg. De patiënt geeft immers toestemming voor het afnemen van materiaal en de bijbehorende diagnostiek, die dan door het lab wordt uitgevoerd. Informatie over uitslagen en het bewaren van gegevens (dossierplicht) is hierdoor ook relevant voor laboratoria.

Wet BIG (Beroepen in de Individuele Gezondheidszorg): De professionals die in een laboratorium werken (bijv. klinisch chemici, medisch microbiologen, pathologen) zijn vaak BIG-geregistreerd, wat aangeeft dat ze bevoegd zijn tot het uitoefenen van een beroep in de gezondheidszorg.

Vergoeding via zorgverzekering: De kosten voor laboratoriumonderzoek worden in Nederland in de meeste gevallen vergoed via de basisverzekering, wat kenmerkend is voor zorg die als essentieel wordt beschouwd.
Stukje IA, maar als jij betere bronnen heb, waarom het GEEN zorginstelling is, dan lees ik deze graag.

Klopt. Dat loopt via het bevolkingsonderzoek, maar het lab is gewoon een onderdeel van het zorgproces en heeft dus de recht en de verplichting tot het verwerken van deze gegevens.

De uitvoering en coördinatie komt trouwens bij het RIVM vandaan.

Als we verder kijken:
Bevolkingsonderzoek Nederland is de uitvoerende organisatie die verantwoordelijk is voor de praktische uitvoering van de bevolkingsonderzoeken naar kanker (borstkanker, baarmoederhalkanker, darmkanker).
Zij sturen de uitnodigingen naar de betreffende bevolkingsgroepen.
Zij organiseren de onderzoekscentra (bijvoorbeeld de bussen voor borstkankeronderzoek) of zorgen voor de verzending van de zelftesten (bijv. darmkanker, baarmoederhalskanker).
Ze coördineren de beoordeling van de onderzoeken (bijv. radiologen voor mammografieën, laboratoria voor uitstrijkjes en ontlastingstesten).
Zij communiceren de uitslag naar de deelnemers.

Zo zie je, dat er naast het lab, veel meer partijen bij betrokken zijn. Radiologen werken bijvoorbeeld niet bij een lab, maar daar heb ik nog niemand over horen praten.
Een laboratoring, doet namelijk gene beoording, alleen een analyse en geeft data, dat verder beoordeelt moet worden. Hoe denk je dat deze uitwisseling plaatste vind? Een nieuw uniek nummer?

Klopt, maar je bent ook niet verplicht om mee te doen? Als je niet mee doet, is er geen WGBO.

Klopt, maar je onderbouwing is fout. Het is een wel een zorgaanbieder, dus gaat je punt niet op.
Ik ga onderop hierop dieper in, om je te laten zien dat het lab dus wel een zorgaanbieder is.

Maar je punt is hierop niet correct en daarom doe je een hoop verdere foute conclusies. Het is een zorgaanbieder en verplicht om het BSN te gebruiken.

Volgens mij niet meer van toepassing, want als je overeenkomst en het is een zorginstelling.

Het moet alleen herleidbaar zijn.

Hoe garandeer je dit precies? Leuk in theorie, maar dit is een heel lastig iets met de huidige wet en regelgeving.
Nog afgezien dat het laboratorium bijvoorbeeld ook normaal een declaratie kunnen doen bij de zorgverzekering.


Administrative overhead en veel meer kans op fouten (en vertragingen).

Zeker wel. Daarnaast kan de declaratie van de opdrachtgever, nog weken/maanden op zich laten wachten.

Vraag: Als ik naar de apotheek ga, voor een recept van de huisarts, moet de rekening dan ook eerst naar de huisarts gaan?

Daar is zeker wel over nagedacht voor vele specialisten. Maar sommige denken daar heel anders over, maar missen vaak belangrijke informatie. Bijvoorbeeld wie is nu een zorgverlening?

En het laboratorium is dat bijvoorbeeld nu ook. Waarom krijg ik van mijn bloedonderzoeken bijvoorbeeld direct een declaratie van het onderzoek gedeclareerd bij mijn zorgverzekering?

leuke mening, maar daar zit je (denk) fout, get klopt niet, een laboratoria is ook een onderdeel van je behandeling en dan vervallen je punten.

Waarom zouden ze volgens jou geen zorgverlener zijn. Komt eens met een goede onderbouwing. Gebruik eens IA voor een goede analyse? En klopt je mening dan nog steeds?

Stel de vraag eens of een laboratorium voor het bevolkingsonderzoek een zorgverlener is, en waarom?

@Tintin and Milou op 18-08-2025 om 22:11 uur.

De kern van jouw redenering is steeds dezelfde:


Moet ik nog uitleggen waarom elk van deze redeneringen een drogredenering is?

Tussendoor (hierboven, 16-08-2025 om 08:06 uur) riep je ook nog even: "Een laboratorium doet geen onderzoeken." Maar daar lijk je nu van terug te zijn gekomen. Die uitspraak vond ik zo kolderiek dat ik daar eerder maar niet op heb gereageerd.

Nu (18-08-2025 om 22:11 uur) schrijf je in plaats daarvan:

Nee, "diagnostiek" (in brede zin) is niet altijd zorg.

Je gooit hier het verrichten van bepaalde voorwaardenscheppende handelingen op één hoop met de eigenlijke zorgverlening. Het stellen van een professionele, medische diagnose bij een specifieke patiënt is inderdaad een medische handeling, maar dat doet zo'n laboratorium niet. Het laboratorium monitort ook niet het ziekteverloop van een patiënt, en stelt ook geen prognose voor een patiënt. Dat wordt allemaal gedaan door artsen, die wèl zorgverleners zijn.

Het "screenen op ziekten" kan verschillende dingen betekenen. Een arts die in de spreekkamer of in een ziekenhuis een patiënt voor zich heeft en die patiënt lichamelijk onderzoekt om te zien of die patiënt ziek is, verricht medische zorg. Een laboratorium dat een stukje lichaamsweefsel of bloed toegestuurd krijgt, het door een machine haalt en vervolgens terugstuurt met een uitslag, verricht geen medische zorg, maar levert informatie - als voorwaardenscheppende handeling voor betere medische zorg.

Wanneer ik tegen een gezinslid of mijn buurman klaag dat ik tegenwoordig zo gebrekkig hoor, en die kijkt dan in mijn oor en constateert: "Er zit geronnen bloed in je oor", dan heeft hij/zij onderzoek gedaan en mij een uitslag (een constatering) gegeven. Maar hij heeft aan mij geen medische zorg verleend. Daarvoor ga ik naar een arts. Die gaat de geconstateerde feiten duiden, en eventueel aan mij medische maatregelen voorstellen die kunnen worden getroffen. Wat die arts doet, is wèl het verlenen van medische zorg.

Het is mogelijk dat een stel ambtenaren en bestuurders in een kantoortoren in Den Haag om politieke redenen het begrip "medische zorg" veel breder wil definiëren, om meer macht naar het ministerie toe te trekken, meer controle over burgers te kunnen uitoefenen en daarmee het zelfbeschikkingsrecht van burgers over hun eigen lichaam en hun eigen privésfeer te ondermijnen - onbewust, expres, of "onbewust-expres", zoals dat vaak gaat.

Maar dat is dan een politieke en bestuurlijke handeling en keuze. Het is niet "nodig". Het is zelfs zeer onwenselijk. En bovendien is het in strijd met ons grondrecht op eerbiediging van ons privéleven (artikel 8 Europees Verdrag voor de Rechten van de Mens - EVRM). Dat artikel vereist in het tweede lid namelijk een "noodzaak in een democratische samenleving" voordat een privacy-aantasting dwingend aan burgers mag worden opgelegd.

Het zonder noodzaak niet toepassen van dataminimalisatie, is zo'n privacy-aantasting.

In een democratische samenleving is er geen noodzaak om het gebruik van het BSN-nummer verplicht te stellen in "de zorg". Dat is een keuze geweest van beleidsmakers en een ondeskundig parlement, die nooit hebben willen nadenken over het feit dat ze hiermee een mensenrecht en burgerrecht aantasten en het risico op allerlei vormen van moeilijk herstelbare fraude sterk vergroten.

Net zoals bij de Toeslagenaffaire nooit werd nagedacht welke schade er allemaal werd aangericht met bepaalde regels en de klakkeloze toepassing daarvan. Totdat, na veel moeite en tegenwerking vanuit Den Haag, enkele moedige klokkenluiders en parlementariërs het schandaal alsnog boven water kregen - in het geval van Pieter Omtzigt ten koste van zijn eigen gezondheid.

Ook het klakkeloze gebruik van het BSN-nummer in de zorg, ten koste van grote privacy-risico's, is zo'n schandaal. Door het volstrekt voorspelbare datahack bij één laboratorium (Clinical Diagnostics) hebben we nu een eerste beginnetje van de voorzienbare consequenties gezien van de keuze om het BSN-nummer klakkeloos te gebruiken voor zaken waarvoor het oorspronkelijk niet bedoeld was (function creep - zowel door de wetgever, als door diegenen die de wet interpreteren en toepassen).

- - - - - - - - -

Ik heb nog even de site en de privacy-verklaring van Bevolkingsonderzoek Nederland bekeken (gedateerd: 1 januari 2022. bron: https://www.bevolkingsonderzoeknederland.nl/media/5vpnezp2/privacyreglement-bevolkingsonderzoek-nederland-30.pdf).

Daar kom ik ook vreemde dingen tegen, die ik hier niet allemaal zal noemen. Hoe dan ook blijkt uit die privacy-verklaring dat Bevolkingsonderzoek Nederland de verwerkingsverantwoordelijke is voor de verwerking van de medische persoonsgegevens die burgers in het kader van zulk bevolkingsonderzoek insturen (inclusief de monsters, bijv. uitstrijkjes of ontlasting, die immers biometrische gegevens bevatten), en ook voor de verwerking van de persoonsgegevens van talloze Nederlandse burgers die door Bevolkingsonderzoek-NL bij de Basisregistratie Personen (BRP) worden opgevraagd met een beroep op... artikel 6.1.f AVG ("gerechtvaardigd belang"), terwijl het niet om een private activiteit gaat, maar om een publieke taak, gebaseerd op een wet. Zo is het in de AVG niet bedoeld.

Daarom ging ik even kijken wat nu eigenlijk de rechtsvorm van Bevolkingsonderzoek Nederland was.

Op de site van Bevolkingsonderzoek Nederland wordt niet duidelijk welke rechtsvorm deze organisatie heeft en of BVO-NL wellicht deel uitmaakt van een andere organisatie. Ook op de Nederlandse Wikipedia wordt dat niet duidelijk (er is geen apart lemma voor deze organisatie, en bij "bevolkingsonderzoek" als activiteit wordt naar het RIVM verwezen. Het RIVM is een "agentschap" van het ministerie van VWS, en omvat zelf weer een organisatie-onderdeel dat "Centrum voor Bevolkingsonderzoek" heet:


Wie zich een beetje heeft geïnformeerd, weet van de zeer dubieuze en niet-transparante rol die het RIVM ten tijde van en sinds de coronacrisis heeft gespeeld. Het is geen betrouwbare organisatie.

In het jaarverslag 2021 van Bevolkingsonderzoek Nederland lees ik het volgende, wat meer duidelijkheid verschaft over de rechtsvorm ervan, maar ook over het feit dat het in de praktijk gewoon een uitvoeringsorgaan van de rijksoverheid is, dat via RIVM onder het ministerie van VWS valt:


- - - - - - - - - - -

Dan is er nog de vraag naar de commerciële laboratoria die in opdracht van Bevolkingsonverzoek Nederland dat soort testjes uitvoeren. Clinical Diagnostics maakt deel uit van het multinationale concern Eurofins Scientific. In de Nederlandse Wikipedia heeft Eurofins geen lemma (wel in 17 andere talen van deels veel kleinere landen). De Engelse Wikipedia zegt o.a. het volgende:


Eurofins is genoteerd aan de beurs van Parijs en maakt daar deel uit van de hoofdindex CAC. De beurswaarde van Eurofins was in 2024 ca. 12 miljard euro, omzet ca. 7 miljard euro, met zo'n 65.000 medewerkers en vestigingen in ca. 60 landen.

Uit het jaarverslag van 2024 blijkt dat Eurofins ca. 200 laboratoria in Noord-Amerika heeft, met zo'n 14.700 werknemers aldaar. Bron: https://cdnmedia.eurofins.com/corporate-eurofins/media/wmvnjc2u/eurofins-scientific-2024-annual-report.pdf

Verontrustend is ook dat Eurofins zich, blijkens datzelfde jaarverslag (pagina 22) ook al vele jaren met "genomics" bezighoudt, waarvoor testresultaten van laboratoria worden gebruikt:


Een "consultative approach"... Maar de burgers of patiënten worden hierover niet geconsulteerd.

Behoren wij als mensen misschien tot die "wide range of species and specimens" waarvan de genetische eigenschappen door Eurofins worden onderzocht? Het is voor mij niet mogelijk om vast te stellen of de labtests van Nederlandse burgers door of in opdracht van Eurofins worden gebruikt voor analyses van RNA en DNA en het ontwikkelen van daaraan gerelateerde producten. Heeft Pfizer BioTech bijvoorbeeld sinds 2020 gebruik gemaakt van test- en analyseresultaten van Eurofins bij de ontwikkeling van mRNA-vaccins? Ik weet het niet.

- - - - - - - - - - - -

Zonder dat het voor mij mogelijk is alles te checken, en even los van de precieze juridische definities en interpretaties van "zorg" en "zorgaanbieder" die er in de loop der tijd door Nederlandse overheidsambtenaren zijn bedacht, is het mijn indruk dat de Nederlandse overheid zaken m.b.t. bevolkingsonderzoek en de daarbij betrokken laboratoria inmiddels zo "geregeld" heeft, dat burgers in de praktijk gedwongen worden te kiezen tussen twee dingen:

-- ofwel niet deelnemen aan dergelijk bevolkingsonderzoeken, en ook bij de huisarts niet instemmen met bloedtestjes die in dat soort laboratoriums worden uitgevoerd;

-- ofwel hun medische privacy grotendeels kwijtraken doordat medische persoonsgegevens worden doorgegeven aan commerciële laboratoria die deel uitmaken van een wereldomspannende, multinationale onderneming, zodat alle deelnemende burgers kwetsbaar worden voor grootschalige datalekken, identiteitsfraude en het gebruik van hun medische data voor andere doelen waar zij zelf misschien niet achter staan. Het huidige lek bij Clinical Diagnostics is daarvan een voorbeeld.

Het lijkt erop dat er met dit "bevolkingsonderzoek" ook hele andere agenda's en belangen gemoeid zijn dan alleen vriendelijke dienstverlening puur voor de gezondheid van Nederlandse burgers.

Dit is hoe het door de Nederlands overheid ongeveer blijkt te zijn geregeld, als je de deksel zelfs maar een klein beetje van die beerput afhaalt. De Nederlandse overheid levert haar eigen burgers over aan de haaien.

- - - - - - - - -

Nog een paar laatste vragen: jij (Tintin) hebt het in je laatste post over "IA", de Franse afkorting voor "AI". Je nickname heeft ook iets Frans. Ben jij van oorsprong franstalig?

Heb jij beroepshalve relaties met organisaties die, direct of indirect, belang hebben bij het gebruik van het BSN-nummer of een vergelijkbaar, overal gebruikt identificerend nummer in allerhande digitale systemen, waaronder systemen in de zorg?

Hoe denk jij over Eurofins, het Franse moederbedrijf van het laboratorium Clinical Diagnostics? Vind jij het een goed idee dat de medische persoonsgegevens van Nederlanders worden verwerkt door een internationaal bedrijf dat ook grote belangen heeft in de Verenigde Staten - waar de privacy, zoals we weten, niet goed beschermd is?

M.J.

Maar 2 unieke nummers, wie genereert deze? Hoe weet je dat deze uniek zijn? Of als data uitgewisseld moet worden tussen meer dan 2 partijen?

Logisch is: klantnummer + een door de klant gegenereerd uniek monster nummer + checksum.
klantnummer om te weten waar de resultatten en de rekening naartoe gestuurd moeten worden.
monsternummer om de resultaten met de patient en de onderzoeksdatum te verbinden.

Als de behandelaar de resultaten verder wil delen is dat niet de taak van het lab.

Ik denk dat je als startpunt de betrokkene (bijv. de patiënt) en de verwerkingsverantwoordelijke moet nemen.

De betrokkene vraagt aan de verwerkingsverantwoordelijke om een dienst te leveren. Voor de levering van die dienst is het nodig dat de verwerkingsverantwoordelijke daarover een administratie bijhoudt, met behulp van één of meer unieke nummers.

Als de verwerkingsverantwoordelijke (bijvoorbeeld een behandelend arts, of Bevolkingsonderzoek Nederland) regie houdt over de toekenning van die nummers, dan betekent dit ook dat de verwerkingsverantwoordelijke voorzover nodig zelf unieke nummers genereert die niet herleidbaar zijn tot de persoon van de betrokkene (bijv. de patiënt of de deelnemer aan een bevolkingsonderzoek). Dat wil zeggen, niet herleidbaar tenzij de verwerkingsverantwoordelijke een derde partij daar zelf over informeert, bijvoorbeeld als dat nodig is voor de overdracht van een medische behandeling aan een andere arts.

Die unieke nummers moeten dan dus WEL herleidbaar zijn tot de verwerkingsverantwoordelijke. Vergelijk dit met IBAN-nummers die herleidbaar zijn tot een bank. Net zoals een klant meerdere rekeningen kan hebben bij één bank, zo kan een arts meer dan één uniek nummer toekennen aan stukjes informatie over de patiënt, bijvoorbeeld een monster dat naar een laboratorium wordt gestuurd, of een scan die naar een specialist wordt gestuurd voor advies. Die decentrale (want zorgverlener-gerelateerde) nummertoewijzing kan worden geautomatiseerd en ook gestandaardiseerd (net zoals verschillende banken in Nederland precies even lange IBAN-nummers genereren).

Bij uitwisseling van de data tussen meer dan twee partijen, blijft de verwerkingsverantwoordelijke verantwoordelijk voor deze uitwisseling en de manier waarop die plaatsvindt. Stel bijvoorbeeld dat de verwerkingsverantwoordelijke de huisarts is die een patiënt behandelt, en dat die een test heeft laten doen bij een lab, en dat ditzelfde lab vervolgens conform afspraak die testuitslag (ook) naar een specialist stuurt ter beoordeling daarvan. Stel dat die specialist vervolgens zijn oordeel doorstuurt naar de huisarts (zodat die de patiënt erover kan informeren). Dan functioneert het door de huisarts aan het monster toegekende unieke nummer prima, terwijl het voor anderen dan de huisarts niet herleidbaar is tot een persoon.

Stel dat een patiënt vervolgens een nieuwe behandelingsovereenkomst afsluit, bijvoorbeeld met een specialist. Dan wordt die specialist op dat moment verwerkingsverantwoordelijke voor de gegevens die de patiënt dan met hem deelt, en voor de gegevens die door de huisarts met toestemming van de patiënt worden doorgegeven aan de specialist ten behoeve van(!!) de in gang gezette, nieuwe behandeling van deze patiënt door de specialist (dus niet slechts ter info of ten behoeve van advies door de specialist). Op die manier blijft ook helder wie in elk stadium verantwoordelijk is of zijn voor de verwerking van welke persoonsgegevens.

Dit valt allemaal prima te automatiseren en te standaardiseren. Net zoals de toekenning van IBAN-nummers prima valt te automatiseren en standaardiseren.

M.J.

Waarom zou dat denk je zijn? Misschien omdat deze correct is? Een laboratorium is een zorgaanbieder in deze context en is verplicht om het BSN te gebruiken.

Je mag dit een drogredenering vinden, maar dat veranderd de feiten niet.

Was inderdaad niet de beste stelling die ik maak.

Een laboratorium doet onderzoek of een analyse op/naar de samples die ze aangeleverd krijgen. Bijvoorbeeld bloedonderzoek, echter de conclusie die gedaan wordt op de data die doet een bijvoorbeeld een huisarts. Het lab trekt er geen conclusie in deze setting.

Een laboratorium is ook onderdeel van je medische behandeling. Net zoals een apotheek dit is, of een röntgenafdeling.

Het laboratorium is een essentieel onderdeel van jouw medische behandeling. Zonder hun analyse kan je huisarts geen accurate diagnose stellen of een passende behandeling instellen. Ze leveren een medische dienst die direct gekoppeld is aan jouw gezondheidsprobleem en de zorg die je daarvoor krijgt.

Waarom is het laboratorium een zorgverlener?
Hoewel u geen direct contact heeft met het laboratorium voor een consult, voeren zij een cruciale taak uit binnen de zorgketen die direct bijdraagt aan uw gezondheid en de diagnose of behandeling door uw huisarts. Ze leveren medische diensten die essentieel zijn voor de patiëntenzorg. Dit maakt hen, in de zin van de relevante wet- en regelgeving, tot zorgverleners.

Klopt, je buurman doet een constatering en geen diagnose. En zie ik niet voldoen aan kwaliteitsstandaarden, accreditaties en wetgeving.

Je buurman kijkt even en een laboratorium doet een complexe medische analyses.

Hier ga je weer op een typische MJ beredenering. Maar misschien zit daar wel meer kennis over hoe processen werken en bijvoorbeeld dat een laboratorium een zorgverlener is?

dataminimalisatie is zeker goed. Privacy is zeer belangrijk. Maar goede medische gegevens uitwisseling is ook van groot belang om fouten die grote impact kunnen hebben of privacy impact kunnen hebben te voorkomen.

Dat is je mening en dat is een goed recht, maar dat wil niet zeggen dat dit ook een goede mening is. De wereld is een stuk groter dan hoe jij denkt hoe het allemaal moet werken.

[qupte]Ook het klakkeloze gebruik van het BSN-nummer in de zorg, ten koste van grote privacy-risico's, is zo'n schandaal. [/quote]Het BSN staat hier eigenlijk los van. Al zou je een zorgid hebben, zouden we volgens de huidige wet en regelgeving maar weinig winst hebben. Nog afgezien van de complexiteit en kosten van zo'n aanpassing.

Er zitten inderdaad nadelen aan, dat is niet te ontkennen.


Ik heb nog even de site en de privacy-verklaring van Bevolkingsonderzoek Nederland bekeken (gedateerd: 1 januari 2022. bron: https://www.bevolkingsonderzoeknederland.nl/media/5vpnezp2/privacyreglement-bevolkingsonderzoek-nederland-30.pdf).

Daar kom ik ook vreemde dingen tegen, die ik hier niet allemaal zal noemen. Hoe dan ook blijkt uit die privacy-verklaring dat Bevolkingsonderzoek Nederland de verwerkingsverantwoordelijke is voor de verwerking van de medische persoonsgegevens die burgers in het kader van zulk bevolkingsonderzoek insturen (inclusief de monsters, bijv. uitstrijkjes of ontlasting, die immers biometrische gegevens bevatten), en ook voor de verwerking van de persoonsgegevens van talloze Nederlandse burgers die door Bevolkingsonderzoek-NL bij de Basisregistratie Personen (BRP) worden opgevraagd met een beroep op... artikel 6.1.f AVG ("gerechtvaardigd belang"), terwijl het niet om een private activiteit gaat, maar om een publieke taak, gebaseerd op een wet. Zo is het in de AVG niet bedoeld.[/quite]
Het feit dat ze het BSN verwerken is op zich correct en noodzakelijk voor patiëntveiligheid en efficiëntie, echter het punt wat jij aanhaalt, de juridische grondslag, is inderdaad wel een puntje van kritiek en aandacht.

Daarom ging ik even kijken wat nu eigenlijk de rechtsvorm van Bevolkingsonderzoek Nederland was.

Volgens mij is het gewoon een stichting, bron: https://www.bevolkingsonderzoeknederland.nl/media/o5vglnk4/jaarverslag-2023-definitieve-versie-getekenddocx-gestempeld.pdf Pagina 57 en daarna https://openkvk.nl/search?q=80204716

Daar is over te discussieren.
Je vergeet misschien alleen dat het hier in Nederland wel 4 verschillende BV zijn. Als je een overeenkomst met 1 van deze BV, wil niet zeggen dat je dit ook met een andere BV hebt.

Nee, maar heb wel soms last van mijn ogen, wat flink in mijn nadeel werkt.
Dan kom je er trouwens ineens ook achter, hoe goed zorg eigenlijk bij ons geregeld is, inclusief data uitwisselen en declaraties.

Goede vraag. Maar nee, niet dat ik weet. Ik heb wel de laatste jaren veel zorg voorbij zien komen. Bij mijzelf, ouders, vrienden.
Ik kom beroepshalve wel bij veel bedrijven die met enterprise omgevingen werken, waarin je vaak merkt, dat vele een mening hebben, maar ook weinig kaas hebben gegeven van hoe alles echt werkt, maar wel denken een betere oplossing te weten.

Heb ik niet echt een mening over, als ik eerlijk ben. Is het ideaal, nee. Maar zeker de medische instructie ontwikkeld zich snel, maar is ook specialistisch en heeft dure investeringen nodig. Dit is veel lastiger voor kleine bedrijven om te doen. Schaalvergroting ontkom je eigenlijk niet meer aan.

Of dat nu echt goed is, is een andere discussie.

TinTin.

PS: We weer een goed onderbouwde post. We zijn het niet met elkaar eens, dat wel. Jaar je komt wel met goede onderbouwingen voor je mening.

Maar stel de vraag eens, aan een AI, of een extern laboratorium icm het bevolkingsonderzoek of een huisarts wel of niet een zorgaanbieder is, maar vraag ook om de onderbouwing, waarom dit het geval is.

AI is zeker niet perfect, maar kan best goed soms antwoorden of bronvermeldingen analyseren.