Hopelijk een wake-up call dat betalen geen enkele garantie geeft en die clubs alleen maar krachtiger maakt.

De teller staat inmiddels op 10 dagen, in screenshot op X gisteren nog op 38 dagen. Klinkt weinig positief allemaal.

De onion webadressen van deze hackersgroep zijn onlangs nog van een update voorzien. Overigens, de naam van Clinical Diagnostics op hun site is verkeerd gespeld. Teller nu (op moment schrijven) is 10d 16h 25m.

Dus voor eens en voor altijd; betaal criminelen nooit.
Data kwijt en geld kwijt. Dom dom dom.

Taalanalyse van de onion site zou volgens A.,I. kunnen wijzen op hackers uit Rusland of Azië.

Dat is inmiddels wel duidelijk ja.

betalen geeft vooral aan dat de organisatie bereid is te betalen. Dus is er een goede incentive om meer geld uit dezelfde organisatie te halen

Het landschap van de zorglaboratoria is de afgelopen tien jaar grondig omgeploegd. Verzekeraars moedigen schaalvergroting aan en eisen lagere tarieven. Kleinere laboratoria kampen met opstapelende regelgeving en ziekenhuizen in geldnood kunnen ervoor kiezen hun diagnostische klinieken te verkopen. [...]

Eurofins wist vele laboratoria te verleiden op te gaan in hun bedrijf. Al betekent het kennelijk ook dat meer gevoelige data op één plek wordt bewaard, zo leert het recente debacle met Clinical Diagnostics. [...] Het concern blijkt ook financiële risico’s te nemen met de Nederlandse labs [...]

https://www.nrc.nl/nieuws/2025/08/17/moederbedrijf-van-gehackt-laboratorium-is-geen-kleine-club-je-zou-verwachten-dat-ze-hun-beveiliging-op-orde-hebben-a4903279

Het net als in de fysiek wereld, ben je eenmaal slachtoffer geworden dat komen ze terug. Clinical Diagnostics is in 2019 ook al eens slachtoffer geweest van een hack, toen hebben ze ook betaald. In juni 2025 weer gehackt en weer betaald en nu weer betalen.

Is allemaal terug te voeren op gedrag en houding van het slachtoffer.. leer curve bij veel slachtoffer is NUL.. zo ook bij Clinical Diagnostics.

Wanneer grijpen aandeelhouders hier in?

Betalen is meewerken aan een criminele organisatie, niet betalen is dus beter op de lange termijn.
Daarnaast het bedrijf aansprakelijk stellen voor alle directe- indirecte- en vervolgschade.
Een lab heeft geen namen en/of BSN nummers nodig, een klantnummer is voldoende.
De aanvrager van het onderzoek is de enige die de link moet kunnen leggen tussen dat klantnummer en een persoon.

Het lijkt me noodzakelijk dat het lab de naam van de patient kent als het laboratorium zelf de monsters afneemt... Al is het maar ter controle dat de papiertjes met afnamecodes niet per ongeluk verwisseld zijn.

Dit weekend verscheen een bericht op het dark web waarin Nova dreigde om de gegevens alsnog openbaar te maken. Inmiddels noemen de hackers ook een bedrag: Nova wil dat Clinical Diagnostics 11 bitcoins betaalt, wat neerkomt op bijna 1,1 miljoen euro. De hackers beweren dat een geïnteresseerde koper de gegevens wil hebben, al kan dat bluf zijn.

https://nos.nl/artikel/2579048-hackers-eisen-bijna-1-1-miljoen-euro-om-medische-gegevens-niet-te-lekken

Ja, tenminste in het algemeen. Of het in dit specifieke scenario ook zo is weten we niet, want we weten niet wat die afspraken zijn die geschonden zouden zijn. Het is in die zin een beetje het prisoners's dilemma; het is best mogelijk dat de beste keuze gegeven de situatie was om het losgeld te betalen. Het is ook mogelijk dat de gemaakte afspraken inderdaad door dat medisch lab zijn geschonden, en het is ook mogelijk dat als dat niet was gebeurt de hackersgroep zich ook aan de afspraak had gehouden. Heel in het algemeen ben ik het eens dat niet betalen de juiste optie is, maar er zijn genoeg scenario's te bedenken waarin betalen wel de betere optie is. Dat zal dan afhangen van wie de hackers zijn (een bekende groep kan een reputatie opbouwen dat ze zich altijd aan de afspraken houden; dan heeft zo'n groep ook een reden om dat te doen), de hoogte van het losgeld en de gevolgen van het openbaar maken van de gestolen data. Dat laatste hangt dan weer samen met de aard van de data en wie het betreft. Je kan zeggen dat betalen het belonen van die hackers is, je kan ook zeggen dat de data te gevoelig is voor te veel mensen om te riskeren om die hackers het lesje te leren dat het niet loont. Ik denk dat beide waar is, het een sluit het ander niet uit.

Dat is ook mijn mening, maar het is een wettelijke vereiste. BSN moet om fraude tegen te gaan overal gebruikt worden in de zorg.
(maar de rest van de gegevens lijkt me totaal irrelevant als je een monster onderzoekt in het kader van een bevolkingsonderzoek)

Hoe gaan we dit in de toekomst voorkomen? Of is het: "wen er maar aan".

Hopelijk ook een wake-up call dat de AVG geen enkele garantie geeft.
Hopelijk ook een wake-up call dat het medisch beroepsgeheim geen enkele garantie geeft.
Hopelijk ook een wake-up call dat NEN7510 geen enkele garantie geeft.
Waarom niet? Omdat artsen, de AP, de rest van de overheid alsmede het bedrijfsleven zich er gewoon niet aan houden.

Die wet "BSN-nummer in de zorg" is door een volstrekt ondeskundig parlement goedgekeurd. Een parlement wat niets geleerd had van wat er in het verleden allemaal met registratienummers is gedaan. Een parlement dat alleen naar de digilobby luistert. Die wet moet worden afgeschaft.

Bovendien is een laboratorium dat monsters onderzoekt, geen "zorg". Het is onderzoek. Onderzoek van monsters (bloedmonsters, uitstrijkjes). Een fabriek die nierdialyse-apparatuur produceert, verricht ook geen zorg. Dat is productie.

Qua betrouwbaarheid met medische gegevens onderscheiden artsen zich tegenwoordig inderdaad niet van een groep hackers.

Klopt het wel wat je schrijft?
Wat ik heb horen zeggen bepaalt de overheid de tarieven voor de onderzoeken, aan de hand van welke methode er gebruikt wordt.

Nou ja sterker nog, het probleem (in het algemeen, ik weet niet wat de oorzaak was van het datalek in dit specifieke geval) is dat zelfs als zo'n medisch labaratorium en alle andere betrokken partijen zich wel aan alle regelgeving houden het nog steeds mogelijk is dat er zo'n datalek ontstaat. Dat is het onvermijdelijk gevolg van digitalisering en het makkelijker maken om data uit te wisselen tussen partijen. Natuurlijk kan de kans kleiner gemaakt worden met de juiste procedures en technische maatregelen, maar helemaal uitsluiten is onmogelijk. Hoe meer technische maatregelen en procedures je op elkaar stapelt om de kans te verkleinen, hoe duurder en complexer en minder werkbaar en tijdrovend het wordt. Daar zit een probleem van verminderde meeropbrengst in, ergens ontstaat de situatie dat de procedures en technische maatregelen zo complex worden dat juist de complexiteit tot meer fouten gaat leiden, en dat de werkwijze zo onwerkbaar wordt dat mensen het gaan omzeilen. Er is gewoon geen sluitende oplossing voor dit probleem. Zelfs militaire inlichtingendiensten zijn gehackt; dat het daar niet lukt dan is het een illusie om te denken dat het wel kan in een zorgsysteem met honderdduizenden medewerkers in tienduizenden zorginstellingen.

Doe niet zo dom, het lab neemt zelf de monsters niet af. Dat wordt in een buisje afgeleverd.

En zo gaan commerciële gesloten bedrijven om met je privacy. Problemen proberen te verdoezelen ipv openbaar maken. Toen het na 1 maand niet gelukt was moest men wel aangifte doen.

het moest strafbaar zijn om aan zulke criminele te betalen en en waar is de vergoeding voor de slachtoffers en waar is de regering ?????

Hoho artsen houden zich er wel degelijk aan maar worden gedwongen om met deze gesloten privacy onvriendelijke systemen te werken. IK heb wel eens geprobeerd (als bioinformaticus) om te gaan voor een Linux ecosysteem maar werd keihard uitgelachen. Dat verstomde wel toen ik uitlegde zonder Linux mijn werk (ivm tools) niet te kunnen doen. Mijn data moet helaas worden opgeslagen op een windows share met alle risico van dien.

De AVG is juiste een verslechtering van onze privacy. Maakt veel te veel legitiem wat dat never nooit niet zou moeten zijn.
Ook nu dus weer.

Ja. De huidige regelgeving is, zoals die op dit moment wordt geïnterpreteerd, dan ook niet adequaat. Dat is geen toeval. Er is voor gelobbied om te zorgen dat die regelgeving de tech- en data-industrie geen strobreed in de weg legt. Het heeft niets met het welzijn of de privacybescherming van burgers te maken.

Ja, maar (het "gemak" en de "snelheid" van) die data-uitwisseling is zelf niet onvermijdelijk. Het is een keuze.

Om te beginnen is die flitssnelheid al helemaal niet nodig zodra het niet om spoedgevallen gaat. Een bevolkingsonderzoek (waarvan bij dit datalek o.a. sprake is) is bijvoorbeeld geen spoedgeval.

Het antwoord moet dan ook zijn om het zorgsysteem, inclusief de manier waarop er met zorg-gerelateerde informatie wordt omgegaan, te versimpelen en te decentraliseren.

Het is niet nodig om te geloven dat een technisch èn administratief steeds ingewikkelder zorgsysteem ook een steeds betere zorg levert. Dat is namelijk niet het geval. Toch is het wat de tech- en medische industrie ons wil doen geloven. Er wordt veel geld gestoken in technologische hoogstandjes, die de levens van enkele individuen een paar jaar verlengen, terwijl het zorgsysteem als geheel in toenemende mate inhumaan is en de menselijke zorgverleners uitgeput raken en afhaken. Veel van die zorgverleners moeten hier in Europa nu al geïmporteerd worden uit lage-lonen-landen, met tekorten aan medisch personeel in die landen tot gevolg. Naarmate Europa relatief gezien minder rijk wordt ten opzichte van de rest van de wereld, zal die tijdelijke import-mogelijkheid eindigen.

Patiënten zouden zelf de keus moeten krijgen: humane zorg (met handen aan het bed en menselijk contact, en echte bescherming van hun medische dossier en andere persoonsgegevens, inclusief handhaving van het medisch beroepsgeheim) of techno-zorg waarbij hun persoonsgegevens worden opgeslorpt in een globalistisch, digitaal netwerk van waaruit kwetsbare patiënten worden gemanipuleerd om zich te laten ombouwen (wat dan "verzorgen" wordt genoemd) tot halve cyborgs die afhankelijk zijn van steeds meer machines en (vaak verslavende) medicamenten. Ik weet wel wat ik zou kiezen.

Het heeft ook te maken met acceptatie van de dood. Als mijn tijd gekomen is, hoef ik niet aan een hoogtechnologisch apparaat. Ik hoef ook geen harttransplantatie. Ik ben maar een individu, na mij zullen er weer andere individuen komen. Ik ben al tevreden met een aantal verstandige medische basishandelingen, en goede pijnbestrijding, zodat ik op enig moment mijn laatste dagen op een relatief prettige manier en in contact met mijn dierbaren kan doorbrengen, en dan op een waardige manier afscheid kan nemen van mijn leven.

Die panische angst voor de dood, die men dan met steeds meer peperdure technologie en steeds ingewikkeldere digitale systemen wil bestrijden, dat neemt tegenwoordig echt bizarre vormen aan.

En ondertussen vervuilen we met diezelfde technologieën het milieu steeds verder, zodat we steeds meer gifstoffen binnenkrijgen (PFAS, plastics etc.), wat weer allerlei nieuwe ziektes en ongezondheden met zich meebrengt. Dat is een vicieuze cirkel en een doodlopende weg.

Kortom, er is een ander, meer humaan concept van (zieken)zorg nodig, waarbij de zorg weer in dienst komt te staan van patiënten die niet een technisch systeem ingerommeld worden waar gelobbiede artsen in geloven en geld aan verdienen. En waarbij patiënten dus ook weer zelf echte zeggenschap krijgen over hun medische data. Met andere woorden: zorg waarbij ook het medisch beroepsgeheim tussen de menselijke zorgverlener en de menselijke patiënt weer ècht geëerbiedigd wordt, zodat patiënten hun artsen en andere zorgverleners weer kunnen gaan vertrouwen.

M.J.

Van de (groot)aandeelhouders zul je weinig kunnen verwachten:

"Clinical Diagnostics, dat eigendom is van het Franse Eurofins.
Eurofins Scientific is inderdaad geen kleine club. Het heeft laboratoria en diagnostische centra over de hele wereld en is aan de Franse beurs genoteerd.
De onderneming doet niet alleen diagnostiek voor artsen. De 950 laboratoria van het concern in zestig landen houden zich ook bezig met productcontroles, dna-testen, het onderzoeken van gewassen, studies van waterkwaliteit, forensisch onderzoek en voedselanalyse in de veeteelt. Er werken 65.000 mensen; de beurswaarde van het bedrijf is ruim 12 miljard euro.
Oprichter en bestuurder Gilles Martin is er miljardair mee geworden, zijn familie bezit een derde van de aandelen."

https://www.nrc.nl/nieuws/2025/08/17/moederbedrijf-van-gehackt-laboratorium-is-geen-kleine-club-je-zou-verwachten-dat-ze-hun-beveiliging-op-orde-hebben-a4903279/

Er is ook een hacker met die naam op htb met de rank script kiddie....

Als ik criminelen een gigantische som geld zou betalen zit ik zo in het gevang.

Mijn vermoeden is dat ze via Clinical Diagnostics, de veel grotere/uitgebreidere Eurofins aan de haak hebben.

@MJ:


Ja, ik ben het grotendeels met je eens hoor, wat je zegt klopt, maar ik heb wel een paar nuances:


Klopt. Dat zou nog eens een goede parlementaire enquete waard zijn; hoe zijn we precies in deze situatie terecht gekomen en wie heeft er nou eigenlijk precies baat bij wat. Je kan natuurlijk wijzen op alle mooie regels die er zijn, maar dat heeft zo weinig waarde als de toezichthouder(s) ogenschijnlijk bewust tandenloos gemaakt worden. Het belachelijk lage budget van de AP ruikt naar opzet of in elk geval de gedachte dat bescherming van privacy ondergeschikt is aan economische en politieke belangen.



Een keuze, maar wel van de politiek. Dat labaratorium heeft geen keuze; de wet schrijft al geruime verplichtend voor dat data-uitwisseling tussen bijvoorbeeld een huisartsenpost en zo'n labaratorium, of een ziekenhuis of apotheek, digitaal moet plaatsvinden. Dossiervorming is verplicht, en moet digitaal. Dat kan je het labaratorium niet kwalijk nemen.



Klopt helemaal, alleen we weten niet waar het datalek is ontstaan. Het gaat over informatie die over langere periodes verkregen is, dus veruit het meest voor de hand ligend is het scenario waarbij de data uit een onderzoeks-systeem of -database gehaald is, en niet tijdens transport. Bevolkingsonderzoeken zijn op zich nuttig, dus dat die data er is is niet vreemd, en dat het in een analyse-systeem of database zit ook niet. Het lek zou dus net zo goed plaats hebben kunnen gehad als de data op papier was verzameld en handmatig in een systeem zou zijn ingevoerd.



Driemaal hoera en amen, ik ben het helemaal eens.. helaas lijkt de politiek er anders over te denken, en dat wordt met de verdere invoering van de EHDS alleen nog maar erger.



Ja ook hier helemaal eens. Met de nuance dat bijvoorbeeld een bevolkingsonderzoek om vroegtijdig behandelbare aandoeningen op te sporen natuurlijk wel waardevol is, dat zijn dingen die je ook niet onmogelijk wil maken neem ik aan?
En ook onderzoek is natuurlijk op zichzelf nuttig; als we bijvoorbeeld een medicijn tegen dementie of alzheimer zouden kunnen ontwikkelen dan zou dat een enorme stap zijn in het waardig en draaglijk ouder worden voor veel mensen.


Ook hier eens hoor.. sterker nog, het aankomen EHDS heeft mij er toe doen besluiten om mijn medisch dossiers in ziekenhuis en bij de huisarts te laten vernietigen (bij de huisarts grotendeels, alles behalve de basis informatie die noodzakelijk is voor de behandelrelatie). Nu heb ik wel makkelijk praten, want in mijn dossiers stond weinig meer dan een verstuikte enkel en een paar onderzoeken waar weinig spannends uit kwam. Als je een of meerdere chronische aandoeningen heb kan ik me goed voorstellen dat je die keuze niet kan maken zonder het werk van je behandelend artsen onmogelijk te maken.

De wetgever ziet dat in Nederland heel anders dan wat u hier stelt.
Misschien moet het maar gewoon eens strafbaar gesteld worden om losgeld te betalen.

Ik heb opnieuw een mail gestuurd naar de Tweede Kamer en gevraagd om met wetgeving te komen die het betalen van losgeld na een ransomware aanval verbiedt. Nu wachten op antwoord.

Stay tuned!

Kun je nog lang op wachten, let maar op.
Heb wel eens vaker naar bewindspersonen gemaild, als je al een antwoord krijgt is het maar een slap verhaal.

Een verbod op het afdragen van losgeld lijdt er toe dat de slachtoffers nog meer belang gaan hechten aan het verzwijgen.

Los van wat artsen en specialisten weten en voorschrijven, wordt de wijze van onderzoek, behandeling en medicatie grotendeels bepaald door wat de zorgverzekeraars afdwingen. Die concurreren met elkaar om de laagste zorgpremie.

Misschien de infra en security op orde brengen misschien helpt dat. Man man man.

Dat wettelijke vereiste, is dat deze wet?
https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/burgerservicenummer-bsn/bsn-in-de-zorg

Mooie wet, maar deze club is toch geen zorgverlener? Ja, soms mogelijk wel, maar bijna altijd niet.

Arts stuurt buisje bloed op, bedrijf stuurt terug dat buisje #12345677 een enge ziekte heeft, Arts belt patient.

Of wordt er een andere wet bedoeld?

Niet helemaal. Het BSN is een prima idee voor unieke identificatie. Maar het is niet ontworpen om als wachtwoord gebruikt te worden door organisaties. Dat is het probleem, want je kunt het niet wijzigen. Het BSN is dus gevoelig door hoe organisaties zoals het UWV ermee omgaan. https://www.security.nl/glitch/javascript

Elk nummer is geschikt voor unieke identificatie. Het gaat er juist om dat je niet één nummer voor alle unieke identificaties moet willen. Want als dat nummer één keer in verkeerde handen valt...

Als je het verdienmodel van de crimineel wegneemt, dan verdwijnt de crininaliteit vanzelf.
Dat is al heel lang bekend.

Medische gegeven moeten voor uitwisseling een BSN gebruiken, zoals de wet wabvpz voorschrijft.
Het is dus noodzakelijk om deze gegevens te hebben.

Klant nummers kunnen en mogelijk niet gebruikt worden voor communicatie.

Dat werkt niet en is niet toegestaan volgens de wet.

Het laboratorium moet bijvoorbeeld ook een declaratie kunnen indienen bij een zorgverzekering indien noodzakelijk.
Het laboratorium zou zijn onderzoeken ook naar een ander laboratorium moeten kunnen versturen voor verdere verwerking.
Iets met een second opinion.
Het BSN nummer zorgt hier juist voor, dat je een unieke waarde hebt tussen alle uitwisselingen.

Een laboratorium valt ook onder de wabvpz wet die verplicht het BSN nummer te gebruiken tussen communicatie. Ze leveren zorg, iets wat een fabriek bijvoorbeeld niet doet.

Dus je wilt iets versimpelen, maar wel 2 verschillende systemen neerzetten? Voor acute zorg en "normale" zorg.

Klinkt nu niet echt als een versimpeling.

Juist goede, snelle en juiste uitwisseling is van belang. Iets waar men goed over nagedacht heeft, door mensen met kennis over deze onderwerpen.

Totdat je wilt dat het nummer uniek is maar ook centraal te gebruiken is voor goede en unieke data uitwisseling.

Waarom?

De organisatie die opdracht geeft tot een onderzoek (bv een ziekenhuis of huisarts) verstuurt de data van 1 patient anoniem, met een uniek nummer/code/hash EN haar organisatie-code.
Dat is het externe kenmerk voor de ontvangende organisatie (hier het lab).
Bij ontvangste wordt aan die dataset door het lab een eigen uniek intern nummer/code/hash toegekend. Voor intern gebruik.
Bij terugkoppeling aan de aanvrager (ziekenhuis of huisarts) stuurt het de data terug mbv het gekoppelde externe kenmerk.

In deze situatie hoeft er geen uniek centraal nummer te zijn, en hoeft een ziekenhuis of huistarts ook geen persoonsdata mee te sturen zoals BSN, naam, adres, etc)
Facturatie naar de patient of zorgverzekening gebeurt in deze opzet via het ziekenhuis of huisarts.
Betaling aan het lab (als onderaannemer) ook.

Bij een hack: Heb je wel medische data van zo'n lab gestolen, dan is die niet herleidtbaar tot een persoon, tenzij je tegelijkertijd ook de datasets van de betrokken ziekenhuizen en huisartsen weet te stelen. Niet onmogelijk, maar wel heel veel moeilijker.
Vooral als er ook nog zware encryptie gebruikt wordt voor de verschillende opslag.

Dit is allemaal geen complexe oplossing. Zeker niet met de huidige digitale gegevensuitwissleing.
En wordt in andere sectoren al langer gebruikt.
Gemeenten (Burgerzaken) werken al decennia op deze manier. Elke ingescheven burger bij een gemeente heeft en uniek (intern) a-nummer voor die gemeente. En elke gemeente heeft een unieke gemeente-code.


Waarom deze opzet niet toegepast is in de zorg is mij een raadsel.


Het roept de vraag op hoe veilig het europese EPD gaat worden.

Over budgettering AP, ik denk dat het een stuk beter wordt als er een algemene controle en instemmingsplicht van de AP moet komen, zeker voor de overheid als voorbeeld gevend orgaan.

@Tintin and Milou draait overuren. Misschien moet ik ook maar solliciteren.


Tintin noemt het "goede en unieke data uitwisseling". Ik noem het: Big Brother.

Voorkomen gaat m.i. niet lukken in de zorg.
Losgeld betalen wordt steeds moeilijker te verdedigen omdat het in de prijsvorming van medische behandelingen gaat zitten (precies zoals de AH gejatte producten verrekent in de prijs van haar producten).
Dus blijft "wen er maar aan" als enige over.
Eraan wennen is vanuit het perspectief van de EU sowieso de beste oplossing want hoe zou zij de data in de EHDS -een veelvoud van wat nu gestolen is- ooit moeten beschermen? Die bescherming is toch ook alleen maar wishful thinking?

Voor hoeveel gehackte data in de zorg wordt stiekem losgeld betaald?
Als ik me niet vergis is deze hack pas duidelijk geworden toen de data op het darkweb verscheen: toen moest CD met de hack naar buiten komen.
De criminelen zijn dus degenen die een cruciale rol kunnen spelen in het openbaar maken van hacks. Je zou ze er bijna dankbaar voor zijn...

Je zegt het goed: "ook centraal te gebruiken is".
Dat is namelijk een ander fundament, namelijk dat de gezondheidszorg zichzelf op een zodanige manier heeft geherorganiseerd, dat zij centralistischer beheerd kan worden.
Dat proces van centralisering vindt gelijktijdig plaats: in Nederland èn vanuit de EU.
De gezondheidszorg wordt vanuit de EU, net zoals allerlei andere maatschappelijke sectoren, die bij de EU allemaal markten heten, systematisch gecentraliseerd zodat de hoogste beslissingsmacht op één plek komt te liggen: bij het centrum (= Brussel). Resultaat: EHDS.

Dat dit proces centralistisch is en niét decentralistisch hangt zowel samen met het feit, dat de gezondheidszorg in Nederland door de staat wordt geregeld (i.t.t. bijvoorbeeld in de USA) -de staat is óók centralistisch, een machtssamenballing in één centrum- als met het feit, dat in onze economie óók centralistische tendenzen zitten (monopolievorming; in de USA heb je óók Big Pharm).

Dat is de andere reden dat het BSN in de zorgsector ingevoerd is: niet alleen omdat het handig was, maar omdat wanneer je een unieke identifier voor elke burger uit de staatsadministratie ook in de gezondheidszorg gaat gebruiken het machtscentrum van de staat meer te zeggen krijgt in de gezondheidszorg.
De administraties van de staat en van de gezondheidszorg groeien dan naar elkaar toe, worden bijna één geheel (lopen in elkaar over).
Ze versterken elkaars macht.

Ik vind dat die criminelen zich wel crimineel gedragen. Wie had dat gedacht?

Maar laat dit een les zijn om systemen met medische data los te koppelen van het internet.

Volgens mij was in ieder geval wb NEN7510 gesteld dat niet slechts één lab NEN7510 gecertificeerd was. En de andere dus niet...

Ik heb een hekel aan alle onzin die hierover gepost wordt.

Als iemand bijvoorbeeld "feiten" brengt, maar een compleet ander bedrijf gebruikt en cherry picking doen voor zijn conclusie, dan zeg ik daar inderdaad wat over.

Als jij inhoudelijke kennis hebt, zou dat kunnen. Maar als je een conclusie trekt dat dit laboratorium geen zorgverlener is, of het BSN nummer niet mag verwerken, dan zou ik je adviseren om dit niet te doen.


Je mag het noemen wat je wilt. Wil niet zeggen dat het ook correct is. Zorg is ook een onderdeel van de overheid met de aansturing hiervan. Verschillende nummers (BSN en een zorgid) maakt dit een stuk complexer en bied weinig extra aan privacy. Er is winst, maar minimaal.

In de huidige opzet met het BSN als "zorg-id" is er alleen maar verlies en geen privacy. Zeker niet als het fout gaat.

Big Brother is een beeld (uit een boek). En het is in essentie een correct beeld omdat het de situatie van een alziende en alwetende macht in het leven van mensen aangeeft.
Daarvoor hoef je die macht niet eens kwaadwillende eigenschappen toe te dichten omdat zo'n machtsentiteit in een extreem a-symmetrische machtsverhouding met elke individuele mens (de mens als individu) staat, ergo heel veel macht over elk lid van de samenleving heeft.
De macht is daardoor zéér ongelijk aan de beide polen, de staat enerzijds en de individuele mens anderzijds, toebedeeld.

Jij kunt er niet onderuit komen om de consequenties te trekken van de (door jou verdedigde) vergroting van de macht van de ene pool ten nadele van de macht van de andere pool. Die consequenties zijn namelijk dwingend, ze volgen logischerwijs uit een aldus gerealiseerde machtsverdeling.
De totale macht van de individuele mensen en van de staat_icm_de_gezondheidszorg gehoorzaamt aan de wetmatigheid van een zero-sum game, een nulsomspel. Oftewel, wat de ene pool te weinig (veel) heeft, heeft de andere pool te veel (weinig).

Dit betekent dat een versterking van de macht van de staat -en die wordt versterkt door het centralistische proces wat ze voltrekt (o.i.v. de EU)- een tegenhanger moet krijgen in een versterking van de macht van de individuele mens - bijvoorbeeld zijn macht over de (medische) data die aan hem gerelateerd zijn.
Dat moet eigenlijk opnieuw uitgebalanceerd worden.
Maar dat gebeurt niet.
Er gloort géén nieuwe AVG-achtige wet aan de horizon, géén nieuwe wet die een grens stelt aan het delen en in de achterkamer: het verhandelen van (medische) data, integendeel, géén nieuwe middelen die aan de individuele patiënt (burger) worden toegekend om zijn privacy beter te kunnen beschermen, óók integendeel, gezien de aanvallen op individuele encryptie; waar blijven de ISO-certificaten en NEN-normen, niét op het niveau van organisaties, maar voor gebruik door de individuele burger-patiënt-klant-eindgebruiker?
Die is nu wel èrg aangewezen op de goodwill van organisaties, instellingen en overheden en allerlei anderen!
Waar blijft, kortom, de empowerment van de individuele mens in een staat die pretendeert dit (min of meer) te dienen - of eigenlijk toch niet? Is het niet allang betutteling van de staat geworden? (ik weet jouw antwoord op deze vraag: jij ervaart dat niet zo want het "is gewoon handig").
Wat heb jij de individuele patiënt te bieden anders dan: "de staat zorgt goed voor u"?
Waarop nogal wat valt af te dingen gezien de tsunami van datalekken in de zorgsector (die inderdaad ook permanent door cybercriminelen wordt geattaqueerd, net zoals de bankensector). Dat hangt in laatste instantie van je politieke doel af, oftewel, naar wat voor een samenleving je op weg bent resp. wilt zijn.
Wanneer je de huidige inrichting van de zorgsector als de facto een onderdeel van de (verzorgings)staat wilt behouden (politieke keuze) dan heeft het terugdringen van het gebruik van het BSN en het introduceren van bijvoorbeeld een zorg-ID vooral het zichtbare effect van het vergroten van de complexiteit - waarom zou je dat doen? Dat is ook het argument wat jij inbrengt: "het is het creëren van een (kostbare) parallelle datastructuur met wat voor privacywinst precies? Minimaal."

De huidige "non-complexiteit", wordt veroorzaakt door een machtssamenballing van de staat en de gezondheidssector.
Die machtscongruentie leidt tot een verminderde zelfbeschikking (autonomie) van de individuele patiënt-burger (zero-sum).
Wil de patiënt-burger meer autonomie terugkrijgen dan moet de zorgsector losgemaakt worden van de staat en de burger meer losgemaakt worden van de staat.
Decentralisering dus, machtsspreiding, géén versterking van de machtssamenballing en minder betutteling van de staat.
Uiteindelijk is dat de enige manier om de (gezondheid van) de individuele mens beter te beschermen: door hem de middelen te geven om zichzelf te beschermen.
Tegen de staat.

(nieuwe anoniem en tevens anoniem van vandaag 05.09 uur)

Data kan van een onderzoek door gaan naar een vervolg onderzoek of analyse.
Het lab moet kunnen declareren richting de zorgverzekering.

Klinkt als heel veel uitwisselen en mogelijkheid tot fouten.

Ik zou je bijna adviseren om dit advies te gaan adviseren bij professionals die hier verstand van hebben en dat je mag gaan uitleggen hoe complex je het extra gaat maken, dat wetgeving even aangepast moet worden, declaratie processen complexer worden, maar dat jou foutgevoeligere oplossing even bedacht is, maar veel beter is, dan waar professionals in dat vakgebied het allemaal verkeerd hebben gedaan.


Het magische woord en encryptie. Doet het altijd goed bij sales presentaties.

Afgezien dat het veel complexer is geworden, risico voller, wetten aangepast moeten worden, fraude gevoeliger is geworden, second opinions laster zijn geworden.

Intern mag je gewoon een eigen nummer gebruiken. Echter bij medische informatie uitwisselen met andere partijen, gebruik je het BSN.
En bij de gemeente, is ook gewoon mijn BSN bekend.


omdat de mensen die dit soort adviezen geven, eigenlijk geen verstand van de zorg hebben? maar met bierviltjes oplossingen komen.

Bijvoorbeeld het lab is gewoon onderdeel van je zorgbehandeling, dus is verplichting om je BSN te gebruiken bij gegevens uitwisseling. Jij wilt de facturatie zeer complex maken, met veel extra overhead.

Ik maak het proces veiliger, en op punten maak ik de verantwoordelijkheden zuiverder.

Vwb jouw angst voor complexiteit: onbelangrijk, sinds we alles digitaal uitwisselen. Computers hebben daar geen last van.
Het zijn altijd herkenbare velden: Org code, externe nummer, en interne nummer.
Zelfs ons eigen systeem voor de afhandeling van facturen werkt op die manier. Geen complexe nieuwe materie, maar dagelijkse praktijk. In vele sectoren in gebruik.
Dat de zorg niet op die professionele manier werkt, zegt meer over de sluimerende problemen in de zorg.


Nogmaals:

Er is altijd maar 1 declareerder. De huisarts of het ziekenhuis.
De rest zijn onderaannemers, die hun kosten in rekening brengen bij hun opdrachtgever, die hen betaalt.
Dat zorgverzekeraars daar mogelijk niet blij van worden heeft te maken met de bureaucratische controlezucht in Nedeland.
Overal wordt fraude vermoed. En als er echt zoveel fraude in zorg-Nederland is, dan wijst dat er eerder op dat de marktwerking funest is voor de zorg. En dat er teveel graaiers en zakkenvullers rondlopen in de zorg.
Maar dat is een ander discussie.


Vwb het uitwisselen:
Dat gebeurt electronisch. Dus, zolang het uitwisselprotocol goed gedefineerd is, kun je rustig met eigen nummers werken icm organisatiecodes. Alles is herleidtbaar. Controleerbaar. Traceerbaar. En computers handelen dat allemaal voor je af. (Dat gebeurt nu ook al)
Alleen delen huisartsen en ziekenhuizen niet langer alle gevoelige persoonsdata die een lab IN DEZE OPZET niet langer nodig heeft. Dat vermindert het risico op het lekken van persoonsdata, doordat data gescheiden wordt, en organisaties alleen die data krijgen die ze echt nodig hebben voor hun eigenlijke werkzaamheden.

Er is geen reden om het BSN te misbruiken in de zorg, behalve omdat de wetgever (of haar adviseurs) lui is geweest of paranoide (lijden aan manische controlezucht), en gemak voor veiligheid hebben geplaatst.
Zoals wel vaker gebeurt in wetgevingsland. (zie ook lsp, epd, ehds ontwerpen en wetgeving)

Terug naar de tekentafel.
Iets van privacy by design, was ooit het mantra in DH.
Maar ze lijden daar allemaal aan Altzheimers, lijkt het.
Hebben daar allemaal geen actieve herinnering meer aan.

Op een biervieltje zonder echt goede inhoudelijke kennis.


Je werkt blijkbaar nog niet zo lang in de IT? Na 20 jaar, weet ik dat er goed uitzonderingen mogelijk zijn, die niet hadden mogen gebeuren met data uitwisselingen.
[quote[Het zijn altijd herkenbare velden: Org code, externe nummer, en interne nummer.
Zelfs ons eigen systeem voor de afhandeling van facturen werkt op die manier. Geen complexe nieuwe materie, maar dagelijkse praktijk. In vele sectoren in gebruik.[/quote]Maar bestreft geen medische data, een foutje is niet direct een groot probleem.
Of over je kennis in dit gebied?

In jou gedachte oplossing. Echter werkt dit zo niet en gaat ook niet werken. Dat gaat een hoop overhead geven, weinig controle mogelijkheden. Hoe weet je nu ook dat persoon X ook echt langs komt voor een uitstrijkje of een bloedafname? Zonder juiste NAW gegevens/BSN controle? Nog steeds een probleem voor je oplossing.
Ik kan je trouwens nog wel een paar voorbeelden noemen die bijvoorbeeld bloedonderzoeken kunnen en mogen aanvragen. Die zitten echt niet te wachten op dit soort extra administratieve lasten. Die zijn al overbelast.

Hoe zie jou trouwens de apotheek in dit stukje van 1 declareerder? Of als de huisarts mij doorverwijst? Of een verloskundige?

Het zijn echter niet direct onderaannemers, maar gewoon een onderdeel van je medische diagnostiek.

En jij wilt juist nog meer burocratie toevoegen, waarbij alle facturen eerst bijvoorbeeld bij een huisarts langs moeten.
Je haalt nu ook 2 verschillende dingen door elkaar. Maar schattingen zijn 5-8%.


En wat al een lab het ook weer ergens anders naar moet toezenden voor verdere analyse of onderzoek?
Toch kom in bij uitwisselingen van data, regelmatig uitzonderingen tegen, zelfs binnen 1 bedrijf. Wat niet zou moeten mogen gebeuren.

En vergroot de kans op fouten, maakt declaratie een stuk complexer.

Of je bent niet helemaal ervaren met hoe zorg en de uitwisseling werkt? Hoeveel partijen er soms bij betrokken kunnen zijn voor een enkele behandeling?


Of ze hebben meer ervaring in dit domain?

Zorg is complex, dat vergeten sommig. Die beredeneren alleen vanuit hun eigenlijk kennis en kunde.

Juist omdat zorg complex is, zou het niet met 1 identifier moeten werken, al helemaal niet het BSN-nummer. En zeker niet icm andere persoondata. Dat is vragen om moeilijkheden.
Je ziet zelf welke problemen dat geeft er er ergens iets lekt.
Het is nooit maar 1 dossier, altijd meteen 100-duizenden dossiers.

Jouw weerstand (zie je eigen protesten in je vorige posts) laten geen ruimte voor enige aanpassing of verbetering.
Want alles is "complex" of "onwerkbaar", of een "bierviltje".

Maar je komt zelf niet met oplossingen hoe het systeem dan wel verbeterd kan worden zodat de persoonlijke data van patienten niet op straat komt te liggen als bv een lab lekt.
Ontkennen is makkelijk, een oplossing aanrijken nuttiger.
Het ongebreiddelde gebruik van persoonsdata en BSN bij alle uitwisselingen zijn een groot prpbleem.
En dat MOET opgelost worden. Linksom of rechtsom.

De huidige constructie is te kwetsbaar, en moet echt anders.
Ook als zorgmedewerkers (en zorg-ICTers) dat niet willen.
Dan moeten ze maar de 21e eeuw in gesleurd worden.
Security en dataminimalisatie zijn nu niet goed geregeld.
Dat moet beter.

De praktijk is dat Eurofins voet aan de grond heeft gekregen in Nederland. Als zorgpartij beschikt zij over persoonsgegevens en ook BSN. Theo Hooghiemstra (H+P), expert data en recht: ‘Dat is gebruikelijk voor laboratoria. Labmedewerkers moeten zeker weten dat ze de juiste uitslag aan de juiste persoon koppelen. Een geboortedatum is daar niet specifiek genoeg voor.’ Dat ook gegevens tot tien jaar terug zijn gelekt, wekte verbazing. Maar Clinical Diagnostics handelde daarmee niet in strijd met de wet: die schrijft voor dat zorgverleners, en vaak ook laboratoria, een medisch dossier twintig jaar moeten bewaren.

door Huib Modderkolk & Michiel van der Geest, 23 augustus 2025

https://www.volkskrant.nl/wetenschap/de-medische-en-persoonlijke-informatie-van-450-duizend-vrouwen-is-gestolen-wat-nu~b5440a36/

Wat in Nederland "gebruikelijk" is in Nederland, is dat men met de mediche en andere privacy van mensen zijn kont afveegt.

Volkskrantschrijves Modderkolk en Van der Geest citeren kritiekloos Hooghiemstra die zegt dat labmedewerkers zeker moeten weten dat ze de uitslag aan de juiste persoon koppelen. Dat is onzin. Labmedewerkers moeten zeker weten dat ze de uitslag aan het juiste proefmonster koppelen, en dat ze die uitslag duidelijk, en gekoppeld aan dat proefmonster, terugsturen naar de opdrachtgever. De labmedewerkers hoeven zeker niet te weten over welke persoon dat gaat.

Het is een grof schandaal dat de Nederlandse wetgever in 2008, in strijd met het medisch beroepsgeheim, verplicht heeft gesteld dat de BSN-nummers van alle patiënten doorgestuurd moeten worden naar alle "zorgaanbieders", in plaats van alleen naar alle "zorgverleners" (bijv. artsen). Die wet kwam er overigens in een tijd dat laboratoriums deel waren van ziekenhuizen ("zorgaaanbieders"). Nu zijn die BSN-nummers "meeverhuist" naar internationale, commerciële bedrijven zoals Eurofins, die GEEN zorgaanbieders zijn.

Maar wat doen Nederlandse "deskundigen" dan? Die rekken liever de betekenis van "zorgaanbieder" op, dan dat ze de privacy van patiënten gaan beschermen. Want het beleid is dat de medische privacy moet worden afgeschaft, ook via bijvoorbeeld EHDS.

We hebben criminelen aan het bewind, en hun handlangers zitten bij de media.

Het risico bestaat dan dat laboranten de patient als een anoniem nummer gaan behandelen. Wat een lab op z'n minst moet weten, afgezien van de correcte code, is het geslacht (m/v/x), en de leeftijd van de patiënt, omdat dat relevant kan zijn voor de interpretatie van testuitslagen. In sommige gevallen is zelf de kennis van de etnicitiet of afkomst (van een immigrant) noodzaklijk voor de juiste duiding van de uitslagen, hoewel de behandelend arts dat ook moet beseffen.

Voor iemand afkomstig uit Suriname, bijvoorbeeld, kan een nog niet eens zo lage vitamine D spiegel alarmerend zijn, terwijl dat voor een autochtone Nederlander met dezelfde lage spiegel geen probleem behoeft te zijn. Voor patiënten met Javaanse wortels, die vaak erg gevoelig zijn voor suikerziekte, kan een iets hoger dan nogmale bloedsuikerspiegel wijzen op een toestand van prediabeters. Dan hebben we het nog niet eens over mogelijk erfelijke ziekten.


Dat klopt. Het zijn contractlaboratoria die aan de haal zijn gegaan met onze meest persoonlijke en medische gegevens.