Hoezo? Het laboratorium had toch alle gegevens (BSN, NAW, geb datum e.d.)? Of weten ze niet precies welke data is gestolen? Dat maakt de zaak dan alleen nog ernstiger want dan moet je ervan uitgaan dat alle data is gecompromitteerd.

Opeenvolgende berichtgeving over het datalek bij het Clinical Diagnostics NMDL lab van Eurofins te Rijswijk

NMDL = Nederlands Moleculair Diagnostisch Laboratorium

Bevolkingsonderzoek Nederland lekt gevoelige gegevens 485.000 vrouwen
maandag 11 augustus 2025, 13:43 door Redactie
https://www.security.nl/posting/900139/


Datadiefstal bij Nederlands medisch lab raakt ook ziekenhuispatiënten
maandag 11 augustus 2025, 17:36 door Redactie
https://www.security.nl/posting/900181/


Ziekenhuizen reageren op datadiefstal bij medisch laboratorium
dinsdag 12 augustus 2025, 15:21 door Redactie
https://www.security.nl/posting/900321/


RTL: gegevens minister, tbs'ers en gedetineerden in datalek laboratorium
dinsdag 12 augustus 2025, 16:10 door Redactie
https://www.security.nl/posting/900337/


'Medisch laboratorium betaalde criminelen achter datadiefstal losgeld'
woensdag 13 augustus 2025, 12:10 door Redactie
https://www.security.nl/posting/900442/


Opnieuw Kamervragen over gevoelig datalek bij medisch laboratorium
woensdag 13 augustus 2025, 14:03 door Redactie
https://www.security.nl/posting/900466/


Huisartsen hekelen informatievoorziening door gehackt medisch lab
woensdag 13 augustus 2025, 17:25 door Redactie
https://www.security.nl/posting/900510/


Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics
vrijdag 15 augustus 2025, 10:00 door Redactie
https://www.security.nl/posting/900705/


Gehackt medisch laboratorium heeft oorzaak datadiefstal nog niet gevonden
vrijdag 15 augustus 2025, 16:21 door Redactie
https://www.security.nl/posting/900799/


Criminelen dreigen gestolen medische data alsnog openbaar te maken
maandag 18 augustus 2025, 08:49 door Redactie
https://www.security.nl/posting/901043/


Bevolkingsonderzoek Nederland stuurt brief naar 405.000 slachtoffers datalek
dinsdag 19 augustus 2025, 09:43 door Redactie
https://www.security.nl/posting/901266/


Achtergrond

Het lab Clinical Diagnostics in Rijswijk, onderdeel van het Franse concern Eurofins Clinical Diagnostics, bestaat uit twee onderdelen: Clinical Diagnostics NMDL en Clinical Diagnostics LCPL. LCPL staat voor Leids Cytologisch en Pathologisch Laboratorium, ooit opgericht door patholoog Mathilde Boon. Het Nederlands Moleculair Diagnostisch Laboratorium (NMDL) was een dienstverlenend laboratorium voor de eerste- en tweedelijns gezondheidszorg, met een specialisatie in moleculaire virologie, moleculaire bacteriologie, en moleculaire pathologie en oncologie. In 2018 nam Eurofins beide laboratoria op in haar organisatie. Gezamenlijk bedienen de laboratoria ruim 900.000 vrouwen in de zuidelijke Randstad.

https://zorgictzorgen.nl/faciliteerde-databasestructuur-rijswijks-lab-de-giga-datadiefstal/

Ik vraag me toch af waarom in 's hemelsnaam alle naw naar het lab ging??? een referentienummer op een onderzoek was voldoende geweest; in de tijd van fatsoenlijke relationele databases werden alle tabellen gescheiden opgeslagen, met wat pointers om de verbanden te duiden. Dan had je maar 1 tabelletje hoeven doorgeven.

Het kan ook wijzen op het niet hebben van een werkende back-up.

Dat wordt er dan niet beter op. Dan mogen ze echt aan de slag daar.

Waar kennen we Eurofins ook al weer van?

In June 2019, Eurofins, a global laboratory testing company, experienced a cyberattack, specifically a ransomware attack that encrypted valuable company information. The attack impacted their systems and caused delays in various services, including the processing of forensic samples for UK police. Eurofins implemented security procedures upon discovering the malware, but it still managed to encrypt data. The company estimated the financial impact of the attack to be around EUR 69 million in revenue loss and EUR 75 million in EBITDA/EBITAS, net of a EUR 10 million insurance payment.

BSN is wettelijk voorgeschreven. De rest van de data had niet gehoeven denk ik op basis van wat ik nu weet. (helaas kun je met een BSN dat gekoppeld is aan allerlei medische gegevens en uitslagen ook een hoop kwaad doen; dat BSN is nou juist bedacht om makkelijk gegevens over mensen aan elkaar te koppelen)

Nederlandse ambtenaren zijn extreem goed in alles vastleggen In WO@ werden de meeste Joden naar de vernietigingskampen getransporteerd ondat ze precies wisten waar die woonden, ze kenden de postcodes de straten en de huisnummers
Doed me denken aan:
van wijk tot wijk , van straat tot straat , van deur tot deur.(Hugo?) (van arm tot arm?
Als ik het me juist herinner?

Het wordt nog erger. Het is onduidelijk waar Eurofins die gepersonaliseerde testresultaten allemaal voor gebruikt. Ook voor genetische analyses? Onder https://www.security.nl/posting/900799/ vandaag het volgende verhaal van MJ:


Een reden te meer om bij het opsturen van samples naar een testlaboratorium geen persoonlijke data zoals BSN of NAW-gegevens mee te sturen. Eigenlijk wil je natuurlijk helemaal niet dat jouw lichaamsmateriaal in Amerika voor "genomics" wordt gebruikt.

Volgens MJ (https://www.security.nl/posting/900799/) is doorgifte van BSN aan het laboratorium niet voorgeschreven als je de tekst van de wet goed leest:


Verderop schrijft MJ:


Hopgelijk wordt de definitie van "zorg" na dit gegevenslek weer wat minder breed gemaakt. Of anders moet de wet worden aangepast.

https://www.security.nl/search?&keywords=Eurofins&sort=date&order=asc

Postcodes kenden ze toen nog niet. Deze zijn pas in 1977 ingevoerd https://nl.wikipedia.org/wiki/Postcodes_in_Nederland

Dan komt er ook nog een scenario in beeld waarbij de diefstal vanuit de organisatie in scene is gezet.

Bij twijfel informeer je iedereen waarvan data naar dat lab gestuurd is.
Dat zou het Bevolkingsonderzoek Nederland zelf nog moeten weten. Toch?
Of hebben die zelf geen zuivere registratie?

De communicatie-beerput groeit en groeit.
Waar zijn al de spindoctors en communicatie-adviseurs gebleven. :-)

De stichtingen die de klinische of streeklaboratoria voorheen bezaten (of soms nog bezitten) maakten van oorsprong deel uit van de regionale ziekenhuizen. Met andere woorden, de laboratoria maakten deel uit van de ziekenhuizen. Het gebruik van het BSN is vanuit die vroegere praktijk naar de hedendaagse grootschalige commerciële laboratoria meegelift.

Toch wel via Duitsland verzonden? Dat scheelt namelijk slechts 24.000 euro.

Trouw interview met Nivel-onderzoeker Isabelle Bos
‘Ernstige hack is reden voor debat over opslag digitale zorggegevens’


https://www.trouw.nl/zorg/ernstige-hack-is-reden-voor-debat-over-opslag-digitale-zorggegevens~be84cfc5/

Dr. Isabelle Bos is als onderzoeker verbonden aan het Nivel, en is gespecialiseerd in patiëntenvertrouwen en zorgdata.

Dank voor deze info over hoe één en ander historisch is ontstaan. Dit maakt des te duidelijker dat de enige manier om de patiënt de zelfbeschikking over zijn eigen lichaam en persoonsgegevens te laten behouden (/terug te geven) is om als "zorgverlener" van een patiënt uitsluitend te beschouwen:
- de behandelend artsen of andere behandelaars van die patiënt; en
- degenen die deze behandelaars bij een specifieke, concrete behandeling van een specifieke patiënt concreet assisteren.

De boekhouder of IT-beheerder van een ziekenhuis of een huisarts is géén zorgverlener. Ook een laboratorium dat in opdracht van een arts of artsen monsters test en daarvan verslag doet, is geen zorgverlener.

De verpleegkundige die aan het bed van een patiënt staat, is wèl een zorgverlener. De apotheker die op basis van een recept van een huisarts een medicijn voor een specifieke klant klaarzet dat door die klant bij de apotheek wordt afgehaald, is wèl een zorgverlener van die patiënt.

Wanneer je een heel ziekenhuis - dus een rechtspersoon met een groot aantal medewerkers waarvan de meesten niet betrokken zijn bij de behandeling van elke specifieke patiënt - toch opvat of aanwijst als "zorgverlener" of "zorgaanbieder" van die patiënt, dan maak je het daarmee mogelijk dat allerlei persoonsgegevens terecht komen op plaatsen waar ze niet horen. Bijvoorbeeld doordat ze, zoals jij het formuleert, "meeliften" wanneer afdelingen of onderaannemers van die rechtspersoon (bijv. een ziekenhuis) overgaan naar of in nieuwe entititeiten - in dit geval een internationaal concern zoals Eurofins. Maar ook doordat medewerkers die niets met de behandeling van de betreffende patiënt te maken hebben, in de praktijk toch toegang hebben tot diens medische en andere persoonsgegevens.

Hetzelfde risico ontstaat wanneer niet langer een huisarts, maar een "zorgpraktijk" of een "regionaal huisartsenverband" zou worden opgevat als zorgverlener.

Uiteindelijk probeert de EU, door middel van de European Health Data Base (EHDS), om zichzelf om te toveren tot (onder andere!) één massale, internationale "zorgaanbieder", die binnen de eigen gelederen juridische gezien vrijelijk mag schuiven met medische persoonsgegevens.

Van de medische privacy van burgers en patiënten blijft dan in de praktijk niets over. Zij worden dan gereduceerd tot objecten en instrumenten van Europese "gezondheids-"politiek, die dan al gauw de neiging zal hebben een dwingend en ondemocratisch karakter te krijgen - waarvan we tijdens de coronacrisis (2020-2022) al een voorproefje te zien hebben gekregen. De term "zorg" wordt dan een eufemisme voor politiek gedreven machtsuitoefening die zogenaamd "voor de bestwil van de burgers" is, maar feitelijk vooral de belangen dient van de politieke beslissers, hun bestuurs- en controleapparaten en hun commerciële bondgenoten - zoals bijvoorbeeld Eurofins, grote farmaceutische bedrijven en grote databedrijven.

M.J.

Al deze gegevens worden opgenomen in Palantir
door de wet WGS in juli 2024 in werking Ook zorggegevens worden gedeeld /gekoppeld
De overheid weet ALLES
En ALLES kan zo ook op straat komen
onderbouwing:
https://bomenenbos.substack.com/p/palantir-het-huwelijk-tussen-orwell

Iets met wetgeving, waarbij het BSN verplichting bij uitwisseling?

MJ maakt alleen een foutje, dat een lab wel een zorgaanbieder is. Dus gaat zijn hele betoog niet door.

Alleen een lab is ook onderdeel van je behandeling en valt gewoon onder zorgverlener en is sowieso verplicht on bij medische gegevens uitwisseling het BSN te gebruiken.

Zo is een laboratorium dat onderzoek doet naar weefsel of bloed ook een onderdeel van je zorg en dus een zorgverlener en zal indien noodzakelijk ook je zorgverzekering direct declareren.

Je kunt het blijven herhalen wat je denk, maar dat maakt het niet ineens magisch anders. Een laboratorium is een zorgverlener.

Ik heb weer een concept kamervraag: Ik lees in de krant wat voor informatie zich allemaal in de gelekte dataset aan te treffen is. En dan bedoel ik dus veldje voor veldje.

- De hoofdvraag is of we niet eens een wet moeten maken die simpelweg verbiedt om gegevens vast te leggen die voor het verwerkingsdoel niet nodig zijn, of al dan niet eenvoudig te anonimiseren zijn. (persoonlijke noot: maak het maar gelijk strafbaar, want anders krijg je snel vestzak- broekzakboetes, of verzekeringen die alles dekken. Dus dan bereik je je doel nooit.)

- Waar het medisch geheim betreft moet elke beroepsbeoefenaar een eed afleggen, Behalve die gasten van de techniek. Best merkwaardig. Wordt het niet eens tijd een helemaal vers beroep in een wet vast telggen. Zodat er onafhankelijke deskundigen aan de slag kunnen die een beedigd stempeltje en een handtekening mogen zetten en die je dus met een gerust hart naar al je beheerde medische geheimen kunt laten kijken?

- Moet er geen publieke bewustzijnscampagne worden gestart op het verstrekken van gevoelige gegevens en het recht om dat te weigeren wordt geborgd? Desnoods zonder opgaaf van redenen?

Ik verbaas me namelijk zelf in steeds hogere mate over het gemak waarmee overduidelijk onnodige gegevens worden afgegeven en blind worden gedeeld; ze moeten er blijkbaar voor gestolen worden en gelekt om eindelijk eens te schrikken. Of zelfs met welk vertrouwen men alles door de dokter of zijn assistente in laat tikken, om het enkele feit dat die een witte jas aan hebben. Dus dan zit het wel goed. Ik denk dat je ook niet de hele bal op de AP kunt afwentelen. Of op de politie of het OM. Het zo links en rechts onder bestaande matten te vegen, en dan nog een glas te drinken, en plas te doen en alles bleef gewoon zoals het was.

Het is maar één mening van meer dan 18 miljoen hoor. Die hopelijk allemaal verschillend zijn.

Als het goed is.

Volgens advocaat Sven van Dooren, gespecialiseerd in privacyrecht en technologie, is het nu nog te vroeg om te kunnen zeggen of een schadevergoeding kan worden geëist. "Eerst moet uitgezocht worden of de privacywet, de AVG, is overtreden en welke schade betrokkenen hebben geleden." Pas dan kan volgens hem worden beoordeeld of er recht bestaat op compensatie. De Autoriteit Persoonsgegevens doet hier onderzoek naar.

https://nos.nl/artikel/2579200-vrouwen-horen-of-ze-slachtoffer-zijn-van-hack-je-weet-niet-wat-ze-gaan-doen

Alleen heb jij als patient geen rechstreeks contact met het lab. Het is een onderaannemer van een huisarts of ziekenhuis.
Zo zou het ook behandeld moeten worden.
Een kwalijke weeffout in wetgeving als dat niet zo is.

Het is niet alleen het gemak waarmee data afgegeven wordt, maar ook de politiek zelf die allerhande wetgeving landelijk of europees steunt die die uitwisseling makkelijker maken.
Allerlei wetgeving waar je als burger aan mee moet doen. Weigeren mag niet. Ook niet om je te berschermen tegen dit soort misstanden.
Chatcontrole. Leeftijdsverificatie. Europese EPD 2.0. Allerhanden sleepnetten.
Het houdt maar niet op.
Het is vechten tegen de bierkaai als de politiek niet eindelijk een omslag maakt om de burger beter te beschermen tegen al deze (politieke) uitwassen.

Het is lijdzaam wachten op de volgende set datalekken.
De politiek geeft ons namelijk geen middelen om ons zelf er tegen te beschermen.

Dus alle 405000+ slachtoffers krijgen nu een nieuw BSN nummer om te voorkomen slachtoffer te worden van criminelen door toedoen van een nalatig bedrijf?

Nee, want alle zelfstandige ondernemers met en zonder personeel moesten jarenlang hun BSN nummer verplicht op de factuur zetten... De overheid in zijn wijsheid heeft toen gedacht, dat is dom, we moeten dat fixen... En wat deden ze? Ze maakten een NIEUWE BSN aan, en DIE moest op facturen gezet worden... Dus niet het BSN wat al op straat lag op de facturen laten staan (die is immers al 'gelekt') en de persoon een verse geven, nee, de OUDE (oude facturen) en een NIEUWE (nieuwe facturen) moesten op straat gelegd worden... Met andere woorden, alleen maar meer administratieve rompslomp en geen oplossing voor het lekken van het BSN.

Deze overheid gaat deze slachtoffers dan ook never nooit niet een nieuws BSN geven.

Overigens vind ik het vreemd dat bevolkingsonderzoek de personen gaat benaderen... Die digibetische fransozen hebben toch gelekt? Moeten DIE niet iedereen informeren? Immers, nu worden alleen vrouwen benaderd, de mannen met penissen en mannen en vrouwen met huidproblemen die ook gelekt zijn, die worden nu niet op de hoogte gebracht?
Die huisartsen, PI's en ziekenhuizen gaan niet bellen met die fransozen om te vragen of hun data ook gelekt is...

Die wet is er eigenljik allang, namelijk de AVG, waarin het beginsel van "dataminimalisatie" is opgenomen - zeker als de AVG wordt geïnterpreteerd in overeenstemming met artikel 8 EVRM. Alleen wordt dit stelselmatig genegeerd door de overheid, inclusief de toezichthouder AP en inclusief de rechterlijke macht wanneer die over privacy-zaken oordeelt. Als de AVG correct geïnterpreteerd en gehandhaafd zou worden, zou die wildgroei aan verspreide persoonsgegevens nooit zijn ontstaan, of althans na 25 mei 2018 (inwerkingtreding van de AVG) zijn teruggedrongen. Maar ja, veel grote partijen hadden en hebben belang bij een misinterpretatie van de AVG. Dus dat is gebeurd en gebeurt nog steeds...


Als de beroepsbeoefenaar, bijvoorbeeld de arts, de verwerkingsverantwoordelijke is, dan moet die nu al verplicht een contract afsluiten met "die gasten van de techniek" waarin staat hoe die op hun beurt verplicht zijn om met de betreffende persoonsgegevens om te gaan. Dit heet een "verwerkersovereenkomst" (artikel 28, derde lid AVG). Het idee van de wetgever is dat dit dan een veilige omgang met de gegevens waarborgt.

In de praktijk is dat niet het geval, samengevat om de volgende redenen:

-- 1. De verwerkersovereenkomst wordt door de verwerkingsverantwoordelijke èn de verwerker vaak geheim gehouden voor de betrokkene (bijv. een patiënt). Ze kunnen door de betrokkene niet gedwongen worden die openbaar te maken, zelfs niet als er een handhavingsverzoek bij de AP wordt ingediend. Want dan weigert de AP vaak om die verwerkersovereenkomst op te eisen bij de verwerkingsverantwoordelijke en te delen met de indiener van een handhavingsverzoek. Waarom? Die vraag heb ik meermalen aan de AP gesteld, zonder er ooit antwoord op te krijgen.

-- 2. De verwerker kan niet rechtstreeks door een betrokkene (bijv. een patiënt) of door de AP in rechte worden aangesproken voor het niet nakomen van de verwerkersovereenkomst. Het is immers een civielrechtelijke overeenkomst tussen twee private (of privaatrechtelijk optredende) partijen. Het idee is dat de verwerkingsverantwoordelijke dan kan worden aangesproken, maar in de praktijk verschuilt die zich vaak juist achter (een vaak niet getoonde en daarmee functioneel geheimgehouden) verwerkersovereenkomst.

-- 3. Als de AP als toezichthouder al eens een verwerkersovereenkomst opvraagt (opeist), dan vindt de AP het al voldoende als er in die verwerkersovereenkomst iets vaags en algemeens staat zoals: "De verwerker zal zorgdragen voor een veilige omgang met de persoonsgegevens." De AP neemt dan meteen klakkeloos aan dat alles goed geregeld is. Dat zou dan in theorie moeten garanderen (waarborgen) dat verwerker die gegevens ook echt goed beveiligt. Eventueel wordt er dan nog iets aan toegevoegd in de geest van: "De verwerker voldoet aan de normen van NEN7510." De aanname is dan dat het behalen van dat certificaat zou garanderen dat de gegevens goed beveiligd zijn. In de praktijk hoeft dat helemaal niet het geval te zijn.


Ik ben al een jaar of tien bezig met proberen om het publiek meer bewust te maken van deze problematiek. Er is echter eerst een grote privacy-ramp voor nodig voordat het publiek en ook de media zich ook maar enigszins bewust willen worden van deze problematiek. Daarnaast is er de tech- en digi-lobby, die deze problematiek juist zoveel mogelijk probeert te verbergen, onder andere door telkens te suggereren dat het slechts om incidentele, "technische" probleempjes zou gaan, waarvoor technische "quick-fixes" bestaan (bijvoorbeeld het "patchen" van een lek).

Ook probeert het ECP-lobby-netwerk al sinds 2019/2020 de ethische aspecten van dit massaal rondstrooien met medische en andere persoonsgegevens te verdoezelen door middel van de introductie van "begeleidingsethiek", die zogenaamd beter zou zijn dan echte ethiek. "Begeleidingsethiek" is een beperkte vorm van ethiek waarbij wezenlijke ethische vragen niet gesteld mogen worden omdat die het proces dat begeleid wordt, zouden vertragen. Dat is een proces waarvan de uitkomst al van te voren vast staat, die is namelijk dat de gegevens wel gedeeld mogen en moeten worden. Dat is telkens het van te voren door deze lobby vastgestelde doel. De "begeleidingsethiek" dient dan om het proces naar de realisatie van dat doel (gegevensbeschikbaarheid voor heel veel partijen, ook zonder vrijwillige toestemming van de betrokkenen) soepel te laten verlopen, door medewerkers van allerlei gegevensverwerkende instanties het gevoel te geven dat ze bij het verspreiden van al die persoonsgegevens "ethisch" omgaan met die gegevens. "Begeleidingsethiek" is dus een slimme vorm van propaganda, ter preventie van schuldgevoelens en ter preventie van goed nadenken, met andere woorden: ter preventie van bewustwording.


Ik heb me daar een tijdlang ook over verbaasd. Maar dat doe ik al een aantal jaren niet meer. De meeste mensen zijn kortzichtig, doen structureel aan ontkenningsgedrag omdat dat op de korte termijn makkelijker is, en denken mee met de kudde. Die kudde wordt dan weer bekwaam bespeeld en gestuurd door Rattenvangers van Hamelen - in rijk gefinancierde lobby-organisaties zoals ECP, in het overheidsbestuur en in allerlei officiële "adviesorganen" (lees: qua rechtsvorm verzelfstandigde propaganda-afdelingen). Zo wordt ervoor gezorgd dat er maar heel weinig bewustwording plaatsvindt.


Mee eens. De politiek luistert namelijk naar de lobbies van big tech, farmaceutische bedrijven, data-handelaren, surveillance-diensten en dergelijke. De politiek luistert niet of nauwelijks naar burgers wiens privésfeer voor de bus wordt gegooid.

Wat er nu met het lekken van medische persoonsgegevens is gebeurd, was volstrekt voorspelbaar en is ook voorspeld (o.a. door ondergetekende, maar ik was zeker niet de eerste). De EU en opeenvolgende Nederlandse regeringen willen Europese burgers alleen nog maar extra kwetsbaar maken door middel van EHDS (European Health Data Space). En zelfs als het Nederlandse parlement ten aanzien van de structurele privacy-aantasting een keer een klein beetje op de rem gaat staan, duwt de Nederlandse regering het toch door in Brussel en in Nederland zelf.

Af en toe worden er wat kamervragen gesteld en die worden dan door de regering in essentie als volgt beantwoord: "Wij doen dit toch, omdat wij dat willen." En: "Wij houden dit toch niet tegen, omdat wij dat niet willen." Dit is geen democratisch proces. Echte, functionerende democratie is op dit gebied allang buiten spel gezet. En de overgrote meerderheid van ons parlement laat dat graag gebeuren, en ondersteunt het zelfs gehoorzaam.

Zelfs de paar politieke partijen die af en toe een klein beetje tegengas geven, zijn zo verambtelijkt dat ze het geven van tegengas tot dusverre op een gedempte, keurige manier hebben gedaan - een manier die nog geen deuk slaat in een pakje boter. Alleen de FvD durft soms wel buiten de taboe-consensus van het parlement te treden, maar die partij heeft weer andere issues. Ik zou niet weten op welke partij ik in de aanstaande verkiezingen nog zou moeten stemmen.

Daarom blijf ik me maar richten op bewustwording onder het publiek. Als die bewustwording groeit, dan gaan politieke partijen zich daar misschien aan aanpassen. Maar die bewustwording gaat langzaam, omdat gevestigde, traditionele media ook al zijn ingekapseld en geöligopoliseerd door de heersende tunnelvisie. Ze kunnen daar niet meer echt kritisch naar kijken. Ja, nu eventjes nu er van 500.000 mensen medische gegevens zijn gelekt. Dan wordt er eventjes aandacht aan besteed, maar op zo'n manier dat het grote publiek weer snel in slaap wordt gemasseerd. Dus de bewustwording zal via de "grassroots" moeten plaatsvinden.

Pas als voldoende mensen zich er bewust van worden dat ze slachtoffer zijn van al die inmiddels zeer gangbare en steeds verder gelegaliseerde privacy-schendende praktijken, gaat er misschien iets veranderen. Maar ook dan zullen de lobbies van het grote bedrijfsleven en van het surveillance-apparaat hun best doen om die bewustwording weer te perverteren en om te buigen naar iets anders... naar wat dan ook, als het maar niet iets is wat het verdienmodel van het grote bedrijfsleven of de controlezucht van het surveillance-apparaat hindert.

M.J.

[................]

Als ECP volgens jou doet aan "preventie van bewustwording", hoe verklaar je dan dat ECP samen met Privacy First elk jaar privacy awards uitdeelt?


Het kan niet allebei tegelijk: privacy bevorderen en privacy tegenwerken.

Bevolkingsonderzoek Nederland is de verwerkingsverantwoordelijke, Clinical Diagnostics is de verwerker aan wie iets is uitbesteed. Bevolkingsonderzoek Nederland heeft als verwerkingsverantwoordelijke ook de verantwoordelijkheid om mensen hierover in te lichten.
Clinical Diagnostics hoort ook die opdrachtgevers op de hoogte te hebben gesteld, en ook zij zijn verantwoordelijk om hun patiënten op de hoogte te stellen.

Die "fransozen" heten trouwens Eurofins, ze hebben laboratoria in 62 landen en hun hoofdkantoor zit in Luxemburg. Clinical Diagnostics in Rijswijk is weliswaar in 2018 door ze overgenomen, maar ik betwijfel of de mensen die daar werken daarmee spontaan tot "fransoos" genaturaliseerd zijn. En het bedrijf staat nog altijd bij de Nederlandse KvK ingeschreven. Het hangt natuurlijk ook af van hoe de IT geregeld is, per lab of over de hele keten, en van waar de fout is gemaakt die dit mogelijk maakte, als het op een fout terug te voeren is, maar het is mogelijk dat "die digibetische kaaskoppen" raker is. Of je kan gewoon de naam van het bedrijf gebruiken in plaats van denigrerende termen die geen donder te maken hebben met wat er is misgegaan en die niets toevoegen.

Een goede vraag, gevolgd door een stelling. Waarvoor dank. Mijn antwoord bestaat uit vier delen:
1. Privacy bevorderen en privacy tegenwerken kan wel degelijk tegelijk, als het gaat om verschillende soorten privacy.
2. Een actie (in dit geval van ECP) ter schijnbare bevordering van privacy kan ook een "token" (d.w.z. symbolische) actie zijn om plausible deniability te bereiken ten aanzien van het werkelijke doel.
3. Het doel van ECP kan ook zijn om Privacy First deels in te kapselen, met andere woorden, om de publieke communicatie van Privacy First op bepaalde punten te beïnvloeden door die te beperken;
4. Privacy First is minder onafhankelijk dan het lijkt en moet rekening houden met de macht van ECP.

Ik zal deze vier punten hieronder toelichten.

Ad 1. Privacy bevorderen en privacy tegenwerken kan wel degelijk tegelijk, als het gaat om verschillende soorten privacy.

Er bestaan verschillende soorten privacy. Echte privacy is de privacy van natuurlijke personen, in beginsel ten opzichte van hun volledige omgeving. Om te beoordelen of er sprake is van echte privacy, is het nodig om met een technologie-neutrale blik naar de betreffende persoon en diens privacy te kijken - zoals benoemd in overweging (15) van de AVG. Dat betekent dat je kijkt waar de privacy van een natuurlijke persoon het beste mee gewaarborgd is, zonder vooringenomenheid over welke technieken er gebruikt zouden moeten om de privacy van die persoon te beschermen. Als die privacy bijvoorbeeld met een analoge techniek beter beschermd kan worden dan met een digitale techniek, dan kies je, met het oog op de subsidiariteit (artikel 5.1.c - gegevensminimalisatie) voor de techniek die de privacy het minst aantast.

Als ECP het over de "bescherming van privacy" heeft, dan gaat het over een ander soort privacy, namelijk privacy voorzover die mogelijk is wanneer er eenmaal een digitaal systeem is geïnstalleerd waarvan het belangrijkste doel "databeschikbaarheid" is. Het gaat dan dus eigenlijk helemaal niet over privacy, maar over een illusie van privacy die alleen overeind blijft zolang je een aantal belangrijke zaken negeert.

De privacy-awards waarvan ECP de uitreiking financiert (zie verderop), zijn dus geen neutrale awards, maar gaan in hoofdzaak naar initiatieven die, te midden van de afbraak van echte privacy, een klein beetje "digitale" privacy terugbrengen en daarmee een illusie van privacy scheppen.

Als je bijvoorbeeld kijkt naar de jury van de privacy awards die in 2026 zullen worden verleend, dan zie je dat daarin de bekende hoogleraar Jaap-Henk Hoepman zit. Ik heb een keer persoonlijk met hem gesproken en hem toen het vereiste van technologie-neutraliteit voorgelegd. Hij antwoordde (kort samengevat) dat hij voorstander was van digitalisering van gegevensverwerking, ook als dat ten koste ging van reële privacy, maar zich tegelijk wilde inzetten voor het waarborgen van zoveel mogelijk relatieve privacy in een situatie van gedigitaliseerde datasystemen. Dat "boeide" hem. Zijn hart ligt dus niet bij echte privacy, maar bij relatieve privacy binnen een context van gedigitaliseerde systemen. Dit is hoe de jury van de privacy awards naar de kandidaten (de genomineerden) zal kijken, en dat past prima bij de agenda van ECP.

Het past minder goed bij de officiële agenda van Privacy First, want niet voor niets heet die organisatie "Privacy First", en dus niet "Digitalisering First". Maar Privacy First heeft waarschijnlijk geen andere keuze dan met ECP samenwerken. Zie verderop.

Ad 2. Een actie (in dit geval van ECP) ter schijnbare bevordering van privacy kan ook een "token" (d.w.z. symbolische) actie zijn om plausible deniability te bereiken ten aanzien van het werkelijke doel.

Je kent het verschijnsel van "tokenism". Dat wil zeggen dat er in een directie of een Raad van Bestuur tussen een heleboel witte mannen ook één vrouw wordt opgenomen, of één iemand met een donkere huidskleur. Dat heet dan een "token woman" of een "token blackguy". Zo iemand stelt de organisatie dan in staat om te zeggen: "Zie je wel, wij discrimineren helemaal niet, wij zijn helemaal niet vooringenomen."

Privacy First dient als de "token privacy NGO" van ECP. ECP is een digitalliserings- en databeschikbaarheidslobby, maar profileert zich als een "neutraal platform". De samenwerking met Privacy First helpt bij de instandhouding van dat imago.

Ad 3. Het doel van ECP kan ook zijn om Privacy First deels in te kapselen, met andere woorden, om de publieke communicatie van Privacy First op bepaalde punten te beïnvloeden door die te beperken

Net als de meest privacy-NGO's, zit Privacy First zeer krap in de middelen. In het meest recente jaarverslag dat ik op de website van Privacy First aantref, bedragen hun inkomsten in 2023 niet meer dan 221.771 euro. En dat is 60.000 euro minder dan in het voorafgaande jaar (2022). Dit geeft aan ECP de mogelijkheid van financiële "leverage" over Privacy First. ECP financiert de jaarlijkes privacy-conferentie van Privacy First waarop de privacy awards worden uitgereikt. ECP kan die financiële afhankelijkheid van Privacy First gebruiken om de publieke communicatie van Privacy First te beïnvloeden. Zoals de Amerikanen zeggen: "Money talks!" Als Privacy First zich al te kritisch uitlaat, zou dat de samenwerking met ECP in gevaar kunnen brengen.

Ad 4. Privacy First is minder onafhankelijk dan het lijkt en moet rekening houden met de macht van ECP

Maar hoe kan het dan dat Privacy First afhankelijk zou zijn van ECP? Op haar website zegt Privacy First nadrukkelijk:


Wie echter wat verder kijkt, ziet dat de situatie genuanceerder is. In het eerder genoemde jaarverslag 2023 tref ik in het hoofdstukje over "financiën" de volgende tekst aan:


Een organisatie die financieel voortdurend heel krap zit, kan niet volledig onafhankelijk opereren. ECP is een organisatie die tentakels heeft overal in het Nederlandse maatschappelijke middenveld. Als ECP informeel een boodschap laat uitgaan (altijd mondeling, nooit schriftelijk vastgelegd - zelfs niet in Rutte-achtige sms'jes) dat Privacy First uit de gratie is, dan zouden de sponsorgelden waarop Privacy First drijft, wel eens snel kunnen opdrogen. En dan is het einde verhaal voor Privacy First.

Het is ook geen toeval dat een andere privacy-NGO, namelijk Bits of Freedom (waarmee de eerder genoemde hoogeleraar Jaap-Henk Hoepman banden heeft) zichzelf makkelijker lijkt te kunnen financieren. BoF heeft blijkens haar website 16 betaalde medewerkers (tegen twee bij Privacy First). En blijkens het iets minder makkelijk vindbare jaarverslag 2023 van BoF, had BoF in dat jaar inkomsten ten bedrage van 1,5 miljoen euro (bron: https://2023.bitsoffreedom.nl/finances). Dat is meer dan zeven keer zoveel als Privacy First.

De agenda van BoF valt veel meer samen met die van ECP. Het streven van BoF is relatieve "privacy" in een gedigitaliseerde omgeving. Dat is in veel situaties iets heel anders dan echte privacy.

Er zijn genoeg bedrijven die een financieel belang hebben bij het promoten van vertrouwen van het publiek in digitale oplossingen, inclusief vertrouwen dat bij zulke oplossingen de privacy prima gewaarborgd kan zijn. De bedrijfsmatige sponsors van BoF zijn dan ook vooral afkomstig uit de ICT-wereld. BoF kan dus in alle vrijheid opkomen voor die belangen en verkeert in een minder precaire positie dan Privacy First.

-- Conclusie --
Ik hoop hiermee te hebben verduidelijkt dat de octopus-achtige ECP in het huidige maatschappelijke krachtenveld een kleine privacy-NGO zoals Privacy First in een halve wurggreep kan nemen. Privacy First zit in relatie tot ECP eigenlijk in een vergelijkbare spagaat als Europa in relatie tot de Verenigde Staten.

Kijk maar: Europa is voor zijn militaire verdediging in belangrijke mate afhankelijk van de VS en de gunst van president Trump, en daarom voelen Europese leiders zich niet vrij om president Trump krachtig te bekritiseren. Ze zien zich genoodzaakt zich zeer diplomatiek uit te laten over "Daddy" (zoals NAVO-secretaris-generaal Rutte en voormalig Nederlands premier bedreven slijmde).

Privacy First is voor zijn overleving in belangrijke mate afhankelijk van de gunst van sponsors die weer letten op hun goede of althans prettige relaties met (organisaties gelieerd aan) ECP. Daarom vermoed ik dat als iemand aan Privacy First gaat vragen hoe de relatie met ECP is, diegene het antwoord zal krijgen dat die relatie "prima" is en dat de samenwerking "uitstekend" verloopt.

Zo zit het maatschappelijke krachtenveld op dit moment in elkaar. Ik hoop dat ik hiermee je vraag goed heb beantwoord, en ook heb laten zien dat jouw stelling niet hoeft te kloppen.

M.J.

interview
Ernst Kuipers na lek bij Clinical Diagnostics
‘Hackers schenden niet alleen privacy, ze kunnen een heel ziekenhuis platleggen’

Oud-minister van VWS Ernst Kuipers (D66) vindt dat de verhoogde NAVO-norm voor defensie-uitgaven ook naar het beschermen van de digitale infrastructuur van ziekenhuizen moet gaan.


https://www.nrc.nl/nieuws/2025/08/18/ernst-kuipers-na-lek-bij-clinical-diagnostics-hackers-schenden-niet-alleen-privacy-ze-kunnen-een-heel-ziekenhuis-platleggen-a4903342

Kuipers probeert de hack bij Clinical Diagnostics om te katten van een privacy-probleem naar een defensieprobleem. Want grondrechten van burgers mogen van hem niet te veel op de voorgrond raken.

Maar toch... Ze kwamen er al achter dat contant geld niet alleen nodig is voor de bescherming van onnozele grondrechten zoals privacy, maar ook voor nationale veiligheid. Nu komen ze erachter dat respect voor de medische privacy eigenlijk in lijn ligt met de bescherming van militaire slagkracht... Maar dat gaan ze dan natuurlijk weer omdraaien: "Er moet een centraal datasysteem komen met nul% privacy voor burgers en 100% controle voor de defensiemacht."

Al sinds de coronacrisis is duidelijk dat Kuipers er niet is voor de burgers, maar voor de macht.