Diginotar had ook al zijn papiertjes op orde. Dat voorkwam niet dat het mis ging.

Heeft de hele zorgsector veiligheid en dataminimalisatie wel voldoende op het netvlies.
Wat er niet aan data is, kan ook niet lekken/gestolen worden.

Waarschijnlijk weer een dingetje waar politici de wet voor aan moeten passen (Weeffoutje of zoiets), voordat de sector wakker schrikt.
Als politici al in beweging te krijgen zijn.

Je kunt al jaren ISO27001 of NEN7510 gecertificeerd zijn en je best doen om alles zo goed mogelijk te doen maar een (klein) foutje ergens kan fataal zijn; Een toeleverancier die vergeten is een standaard admin-wachtwoord te veranderen? Een werknemer die een wachtwoord gebruikt dat ook in een lek zit bij een externe club? Een slimme phishing aanval die wel heel erg echt eruit ziet? Het is helaas nooit helemaal te voorkomen...

Groepsvordering

Oud-kamerlid Ina Brouwer (GroenLinks-PvdA), tegenwoordig als advocaat gespecialiseerd in privacybescherming:


https://www.nrc.nl/nieuws/2025/08/20/geen-excuus-geen-vervolgstappen-gedupeerden-zijn-teleurgesteld-over-de-communicatie-rond-gehackte-gegevens-bevolkingsonderzoek-a4903581

Kalf en put verhaal. Maar als je dan gaat dempen, doe het dan goed.

daar heb je ook nietg weer steeds politici voor nodig. Dat is ook weer een soort van over de muur gooien bij hardwerkende kamerleden, die daar evenwel gewoon ook mogen zitten als ze niet eens de kleuterschool hebben gehad en tot maximaal twee jaar bak op hun CV maar even achterwege hebben gelaten. Dan kun je gewoon je zetel innemen mits je maar genoeg stemmen krijgt. Er bij stilstaan dat het daar over de muur gooien alles oplost geen garanties voor je belegging geeft, is al heel wat.

Wat een heel simpel beginnetje is, voor alle betrokkenen en verantwoordelijken in deze zaak, is je gewoon een keer allemaal af te vragen hoe je zou reageren als het met je eigen moeder zou gebeuren. Of met je eigen kind. Dat kijk je er vanzelf in de volgende designfase alweer heel anders tegenaan. Hoeft ook geen kamerlid aan te pas te komen! Noch het hele zangkoor met meningen van anderen...

Afgeperst
Hackers laboratorium 'beloven' gestolen data niet te publiceren: 'Alles [zou zijn] verwijderd'


https://www.rtl.nl/nieuws/binnenland/artikel/5524548/nova-hackers-gestolen-data-niet-publiceren-dark-web-alles

De vraag blijft natuurlijk of de cybercriminelen zich aan hun woord houden. Of er opnieuw losgeld is betaald door het lab, is niet bekend. Over twee dagen wordt het bericht over Clinical Diagnostics van het dark web verwijderd, belooft Nova.

Laat de IGJ en de AP maar inspecteren en onderzoeken. Plas, glas...

Van mij gaan er geen gegevens meer naar bevolkingsonderzoek. Wordt een beetje moeilijk als je kanker krijgt en er moet iets onderzocht worden. Misschien in het buitenland ergens een lab zoeken waar ze nog wel aan privacy doen.

Precies dit. Een papieren certificaat zegt niet dat het veilig is. Als 'ze' écht in willen breken doen ze dat toch wel. Je kunt alleen wél zorgen dat je het maximale hebt gedaan om het te voorkomen. Meer niet. Maar je zal altijd achter de feiten aan blijven rennen. Je kan ook niet voorkomen dat een leverancier ineens een zeroday vindt in de software die jij gebruikt en goed beveiligd denkt te hebben. Dan heb je zélf alles op orde, maar dan nog kun je de pineut zijn..

Het is niet duidelijk waarom de hackers terugkomen van hun dreigement. Ze eisten eerder 1,1 miljoen euro in bitcoins als straf voor het overtreden van de voorwaarden, maar het is onbekend of er daadwerkelijk is betaald. Clinical Diagnostics wil daarop niet inhoudelijk reageren. Een woordvoerder van Bevolkingsonderzoek Nederland zegt ook van niets te weten.

https://nos.nl/artikel/2579501-nova-groep-trekt-dreigement-in-toch-geen-nieuwe-data-bevolkingsonderzoek-online

Er is een NEN7510-1 (management) en een NEN7510-2. Beide zijn uit 2024. Ik heb niet alle 326 bladzijden vna NEN7510-2 gelezen, maar een aantal dingen uit hoofdstuk 8:
- Gevoelige informatie niet langer bewaren dan strikt noodzakelijk.
- Maskeren van gegevens.

Tja zeg het maar....

Het zou wel handig zijn als ondertussen bekend zou zijn hoe de data is gelekt. Dan kan het lek ook gedicht worden. Nu weten we niet of morgen een andere groep weer met de data aan de haal kan gaan.

Het begint en eindigt met dataminimalisatie. Geen gegevens bewaren die niet echt nodig zijn.
"Echt nodig" is iets anders dan "makkelijk" of "niet nodig voor lab-onderzoek, maar voor surveillance".

Staat er iets over dataminimalisatie in NEN7510?
Er staat in ieder geval iets over in de AVG. Ook zonder NEN7510 moet men dat dus toepassen.

Toch wordt dataminimalisatie in de medische zorg niet toegepast.
Integendeel BSN-nummer en NAW-gegevens worden kwistig rondgestuurd.
Dan helpt geen enkel NEN- of ander certificaat.
Dan helpt geen IGJ- of AP-controle.

Ik zit veel in de zorg en ik heb nog nooit een organisatie gezien die daadwerkelijk de informatiemanagement op orde had volgens de NEN7510. Dus ook niet bij de organisaties die volgens deze norm gecertificeerd zijn.

Zoals je zelf al aangeeft is deze norm honderden pagina's. Hoeveel interne medewerkers zullen op de hoogte zijn van deze regels die zeer vaag zijn opgesteld? Bijvoorbeeld: Gevoelige informatie niet langer bewaren dan strikt noodzakelijk. Welke data is dat dan? Een gedeelte van de data of alles? Hoe weet je nu of het strikt noodzakelijk is? Wie is hiervan op de hoogte en eindverantwoordelijk? Wie monitort en garandeert de vernietiging? Hoe controleer je dit?
Op al deze vragen moet je voor ieder stuk informatie een matrix bijhouden. Iets dat in de praktijk onmogelijk is en wat men ook bedoelt met dat de zorg kapot gemaakt wordt met bureaucratie.

Al deze normen zijn dan ook meer bedoelt om certificeringstrajecten te verkopen. Het idee is verder wel goed maar in de praktijk is er enkel aan te voldoen als je competente mensen hebt die zich hier de hele dag mee bezig houden. Deze mensen zijn in de zorg helemaal niet te vinden en daarvoor is ook helemaal geen geld beschikbaar. Men komt immers amper rond met de kernzaken: zorg verlenen....

Dat gezegd, het moederbedrijf is ranzig en is beschuldigt van meerdere controversies. Dus laat ze de boel maar eens flink onderzoeken. De zorg wordt helemaal kapot gemaakt maar de de boeven in de directie kamer zijn nog erger dan deze malware groepen...

Dataminimalisatie is een eis vanuit de AVG en daardoor zeker relevant en geef weeffoutje in mijn optiek. Ook vanuit IB is zou hier aandacht voor moeten zijn al kan dat zeker een stuk beter. In mijn opdrachten zie ik inderdaad dat veel organisaties banger zijn dat ze data niet hebben als die nodig is dan dat het te snel vernietigd is.... dat is zeker een gemiste kans!