Misschien hebben ze in de zorg naast de facturering ook eens oog voor een sluitende verwerkersovereenkomst want daar staat dat allemaal in hoe een organisatie moet omgaan met persoonsgegevens en in geval van een datalek/hack wie wanneer wie informeert.

Is er al bekend hoe dit lek precies kon ontstaan?

Krokodillentranen van de LHV. Die heeft zelf alle huisartsen aangemoedigd zich vooral niet te veel te verdiepen in medische privacy, maar bij het kruisje te tekenen als het gaat om goortschalige datasystemen zoals Calculus. LHV is voorstander van meer digitalisering, vindt EHDS wel prima, inclusief de "inperking" (lees: afschaffing) van het medisch beroepsgeheim.

En dan nu opeens op hoge toon zeggen dat huisartsen niet goed genoeg geïnformeerd zijn... Wat een gotspe!

Te weinig en te laat, LHV. Te laat om opportunistisch nog even je eigen stoepje schoon te gaan vegen. Het lijkt een beetje op die nederlagenpolitiek van de PvdA tussen 1990 en 2010. Doen alsof je opkomt voor het belang van patiënten, maar ondertussen meewerken aan het omgekeerde.

En, zijn alle patiënten geïnformeerd? Volgens mij komen zij op de eerste plek....voor de huisartsen!!

Dat mijn huisarts in elk geval maar niks zegt ik heb hem al 2x gewaarschuwd dat zijn bij Google gehoste website niet veilig is met het Google TLS certificaat en alle hyperlinks op die pagina eerst via Google en daarna nog eens via tinyurl.com redirect worden.

Er word naar mijn mening overal heel slecht met onze medische gegevens omgesprongen.
Waarom moet alles digitaal wat mankeert er aan hoe het vroeger ging?
Het gaat zo massaal fout met al die databases stop daar gewoon eens mee tot het 100% veilig is wat vast nooit zal lukken.
Waarom moet alles met Internet connected zijn ???

Is al wel bekend dat het lab het onder de pet wilde houden (meer dan een maand) en pas na het laten lekken van een deel van de data overgegaan is tot betaling. Daarmee hebben ze de meldingsplicht van 72 uur voor deze hooggevoellige bijzondere persoonsgegevens ruim overschreden. Tussen de regels door lees je ook dat de hackers zelf melding (wilden) maken van de hack bij de AP.

Ben benieuwd hoe de politiek gaat reageren (ze zijn nu op reces en hebben het te druk met een zanger) nu er gegevens van een minister en kamerlid zijn geopenbaard. Wellicht wordt er een keer vaart gemaakt met de nis2 wetgeving die de bestuurders van kritieke infrastructuur persoonlijk aansprakelijk kan houden.

Waarom nemen organisaties niet in hun vwo op dat data die na afronding van de facturatie niet meer in het lab nodig is wordt verwijderd? Waarom gaat de impact van zo'n lek 8 jaar terug de tijd in? Ook wake-up call voor de verantwoordelijke hopelijk, niet alleen voor de verwerker.

Naast zorgen over phishing zeggen gedupeerde vrouwen tegen de NOS dat zij ook bang zijn voor identiteitsfraude. Hierbij doen criminelen zich voor als degene waar de gegevens van zijn gestolen. Zij kopen bijvoorbeeld spullen op iemands naam, maken accounts aan of lichten anderen op.

https://nos.nl/artikel/2578551-huisartsen-schrikken-van-hack-patientengegevens-wij-zijn-niet-geinformeerd

Er is nog geen aangifte gedaan en geen politieonderzoek in gang gezet, zegt de politie tegen NRC. Een vraag is of Clinical Diagnostics laakbaar heeft gehandeld: het bedrijf uit Rijswijk heeft er een maand over gedaan om gedupeerden van de hack te informeren, naar eigen zeggen zodat het „eerst de juiste stappen kon nemen”. Het gestolen sample stond al op 6 juli online, Bevolkingsonderzoek Nederland zegt op 6 augustus geïnformeerd te zijn door het laboratorium.

https://www.nrc.nl/nieuws/2025/08/13/rtl-laboratorium-betaalde-losgeld-aan-hackers-die-persoonsgegevens-stalen-a4902876

Is er al bekend waarom men het nodig bleek te vinden al die data daar te hebben?

Inderdaad, en je ziet ook vaker dat een bedrijf waaraan een verwerking van persoonsgegevens is uitbesteed in een kramp schiet als het mis blijkt te gaan in plaats van het goed af te handelen. Ik neem aan dat in de verwerkingsovereenkomst wel is opgenomen dat ze de verplichting hebben om behalve goede maatregelen te nemen om het te voorkomen ook tijdig en adequaat te reageren als het misgaat, ook daar moet je dan goed op voorbereid zijn. Als ze dan zo slecht reageren zou het, bovenop dat het ernstig is voor de mensen wiens persoonsgegevens zijn gelekt, ook kunnen betekenen dat ze hun verwerkersovereenkomst hebben geschonden door zo slecht voorbereid te zijn.

Dat laatste is iets dat mij steeds meer begint te storen: op papier is iedereen prima ingedekt, maar toch gaat het vaak en zoals nu ook spectaculair mis en dan blijkt de werkelijkheid heel wat minder prima te zijn dan dat papier. Mijn beeld kan vertekend zijn, want je krijgt in het nieuws te horen over wat er misgaat en hoe men erop reageert, en geen compleet overzicht van hoe men die systemen nou werkelijk had ingericht en beheerde, maar dat beeld dat zich aan mij opdringt is dat men zich drukker lijkt te maken over wat men heeft vastgelegd over hoe de aansprakelijkheid ligt bij missers dan over hoe die missers om te beginnen al voorkomen kunnen worden. Een heel duidelijk voorbeeld daarvan zag ik toen Edith Schippers minister van volksgezondheid was en het landelijk EPD wilde invoeren. In een interview werd ze gewezen op het risico van Amerikaanse wetgeving die inzage in allerlei gegevens mogelijk maakt en het inschakelen van een Amerikaans bedrijf voor het EPD. Dat wuifde ze in dat interview weg met de mededeling dat het contractueel goed was geregeld, totaal negerend dat zo'n contract niets kon uitrichten tegen bevoegdheden van de Amerikaanse overheid.

Een ander punt is dat in ons economische systeem er een heel sterke druk richting schaalvergroting bestaat. Bij het uitbesteden van werk aan partijen die het grootschalig doen, inclusief (of uitsluitend) dataverwerking, betekent dat dat er extreem aantrekkelijke doelwitten ontstaan voor cybercriminelen. Een crimineel hoeft maar één gaatje of combinatie van een paar gaatjes te vinden in de beveiliging van een extreem complex systeem om binnen te komen (en vergis je niet, het is extreem complex, zelfs een specialist overziet maar een fractie van het geheel), terwijl de bescherming daartegen vereist dat alle mogelijke gaatjes dicht zitten die aanvallers zouden kunnen vinden. De aanvallers hebben het wat dat betreft dus makkelijker dan de verdedigers. Dat komt er samen op neer dat schaalvergroting serieus risicoverhogend is, en dan kan moet je ernstig afvragen wanneer je het punt bereikt dat het vereiste beveiligingsniveau simpelweg niet meer te bolwerken is.

Dat werkelijk alles aan het internet is gekoppeld tegenwoordig is ook extreem risicoverhogend. Natuurlijk was het een verademing toen we internet op de werkplek kregen, we kunnen extreem veel makkelijker informatie opzoeken, communiceren, noem maar op. Maar het heeft wel als prijskaartje dat het ook extreem veel makkelijker is geworden om veilig vanuit een comfortabele stoel in een ver land zonder uitwisselingsverdrag ergens binnen te dringen en narigheid uit te halen.

Een "bug" in de psychologie van mensen is dat we waar we voordeel zien graag op veilig spelen en waar we risico zien makkelijk gaan gokken. Een bekend experiment is om mensen een tientje te geven, en ze kunnen er ofwel nog 5 euro bij krijgen zonder te gokken, ofwel wordt er kop of munt munt gegooid met 50-50 kans op 0 of 10 euro erbij. Een flinke meerderheid kiest dan voor de zekerheid van 5 euro erbij en gaan niet gokken. Maar als je mensen meteen 20 euro geeft en ze moeten vervolgens ofwel zonder gokken 5 euro teruggeven, of via dezelfde kop of munt 0 of 10 euro teruggeven, dan kiest een forse meerderheid om te gaan gokken.

Als je het rationeel bekijkt zijn de uitkomsten van beide situaties identiek: je krijgt uiteindelijk 10, 15 of 20 euro; 15 euro als je niet gokt en 10 of 20 euro met een 50-50 kans als je wel gokt, maar mensen kiezen met een forse meerderheid voor die zekere 15 euro als het geframed wordt als krijgen, en met een forse meerderheid voor gokken als het geframed wordt als inleveren. Het gaat niet om een marginaal verschil, als ik me goed herinner geldt in beide richtingen dat die meerderheid ongeveer 80% is.

Kijk eens door die bril naar hoe beslissingen over opbrengsten en beveiliging worden genomen. Men ziet hoe een dienst winst oplevert, hoe schaalvergroting winstverhogend werkt, en zal lang niet altijd (er zijn uitzonderingen natuurlijk) hyperagressief voor het uiterste gaan maar dat aspect op een degelijke en risicomijdende manier aanpakken. Alleen zitten beveiligingsincidenten in de hoek van inleveren, en bij tegenslagen is de neiging om niet op veilig te spelen maar juist te gaan gokken groot.

Als ik terugkijk naar alle keren dat ik als ontwikkelaar op projecten ergens een potentieel probleem zag en dan nogal bitse reacties van (met name hoger) management terug kon krijgen over techneuten die alleen maar problemen willen zien, terwijl dat typisch in een omgeving was waar projecten behoorlijk degelijk en zorgvuldig werden aangepakt, er heerste bepaald geen "move fast and break things"-mentaliteit, dan kan ik achteraf gezien makkelijk geloven dat deze "bug" in de psychologie van mensen daar een grote rol in heeft gespeeld: er is een tegenslag, die tegenslag wil men niet, dus gaat men gokken dat het wel goed gaat, net als bij dat experiment met geld, en dat uit zich in dat bitse afwijzen van de boodschap dat er een risico is. En iemand die niet gokt maar op het risico wijst roept dan vooral irritatie op bij mensen op wie al heel veel afkomt.

En nu ik erbij stilsta: die reactie van Edith Schippers die ik aan het begin van deze post noemde kan ook heel goed in het beeld passen. Het beeld is dan dit: ze werd gewezen op een risico, was direct geneigd om te gokken dat het wel los zou lopen, en bedacht daar ter plekke een argument bij, dat kunnen mensen die sterke debaters zijn indrukwekkend goed.

Die "bug" in onze psychologie zou wel eens een hoop kunnen verklaren van wat we mis zien gaan: op tegenslagen reageren mensen vaak niet verstandig maar door te gaan gokken. Dat combineert slecht met de grootschalige gegevensverwerking waar de schaal de risico's verhoogt doordat het dan des te aantrekkelijker wordt voor criminelen, terwijl ons economische systeem juist schaalvergroting in de hand werkt. En dat doorbreken we niet zolang we op het risico van verlies reageren met een gok, we hebben mensen nodig die wijs genoeg zijn om die neiging te onderdrukken en na te blijven denken.

Is Calculus dan gehacked?

Antwoord: Nee, je post heeft dus niets te maken met deze hack.

Automatisering is ook noodzakelijk in de medische wereld.

Het is ook verstandig dat je huistarts niet luistert naar je.

Waarom zijn bij google gehoste websites niet veilig? Google heeft security juist heel hoog staan.
Google TLS certificaten zijn ook gewoon veilig. Vele sites gebruiken deze ook.

De hyperlink redirect geeft juist ook veiligheid, want daarmee scannen ze eerst de website op security.


Gezien je post, zou ik denken dat jij misschien niet helemaal de juiste persoon bent om adviezen hierover te geven?

Mee eens. Huisartsen die zich opeens (impliciet) beroepen op de AVG: je weet niet wat je hoort.

Money, my dear, money makes the world go around (Liza Minnelli).
https://www.youtube.com/watch?v=UF8IgVj8uXc

Landelijke Huisartsen Vereniging heeft kritiek, terecht overigens. Maar zelf ook diensten van Google gebruiken, waaronder het afschuwelijke recaptcha. Ook Landelijke Huisartsen Vereniging heeft dus weinig op met de privacy van een ander.

"Google staat er gelukkig om bekend dat het uiterst goed omgaat met data van internet gebruikers (in dit geval patiënten) want die gebruiken ze echt niet voor hun eigen kassa te spekken."

En dan host je bij hun je website? Je neemt ook bij Google je p2p certificaat af? Hiermee kan Google echt niet bij de data die je website bezoekers achterlaten? Right?

Op die huisarts website horen geen hyperlinks te staan naar onveilige websites die gescand moeten worden als ik erop klik. Het is gewoon gedaan om bezoekers te tracken en statistieken bij te houden. Het is door een beunhaas gemaakt allemaal dat geeft de huisarts ook schoorvoetend toe. Maar hij zwaait met zijn hand in een boog naar zijn administratie afdeling, Hij wil zich daar niet meer mee bezig houden zegt ie. Hij heeft mijn bevindingen aan zijn administratie doorgegeven ze hebben tinyurl ertussenuit gehaald maar dat was het dan ook.

Ze linken bijv. o.a. door naar ezorg.nl dat lijkt me geen onveilige website om naar te linken dat kun je gerust direct in je website zetten zonder via google en tinyurl te redirecten.

Hij heeft ook Google tracking cookies op zijn website die je moet accepteren.

Ik zou er voor zijn dat huisarts praktijken zich aan bepaalde standaarden moeten houden en anders beboet kunnen worden. Want ik lees vaker dat het slecht gesteld is met de websites van huisartsen dat zou niet moeten kunnen bij instanties die omgaat met medische gegevens van mensen, je cliënten nota bene.

Je bent niet de enige die zich aan de data-praktijken van huisartsen stoort. Kijk ook eens op: https://www.security.nl/posting/813517/Medische+privacy+-+een+gedeeltelijke+oplossing
Daar was ook sprake van een huisarts die dingen wegwuifde. Geen verantwoordelijkheid nam voor het medisch beroepsgeheim. Na erg veel gedoe nam de patiënt zijn medisch dossier in eigen beheer. Dat was het enige haalbare.

De Autoriteit Persoonsgegevens (AP) is een onderzoek gestart naar Clinical Diagnostics. Dat liet een woordvoerder weten aan de NOS. Verder onderzoek zal moeten uitwijzen of Clinical Diagnostics hiermee de AVG heeft overtreden. Wat zo snel mogelijk betekent, hangt volgens de toezichthouder af van verschillende factoren, zoals hoeveel mensen er geïnformeerd moeten worden, wat voor soort gegevens er zijn gestolen en wat de 'informeermogelijkheden' zijn.

https://nos.nl/artikel/2578649-autoriteit-persoonsgegevens-start-onderzoek-naar-clinical-diagnostics-na-hack

Het verschil zit hem tussen een privé of een zakelijke omgeving. Verdiep je daar eens in.

Want google zal de data analyseren?

Prive vs zakelijk omgevingen.

Of zoals Microsoft heeft, safelinks?

Hij is ook huisarts en geen IT persoon. Een goed IT persoon, weet bijvoorbeeld ook het verschil tussen een zakelijk omgeving en een consumenten omgeving.


Was een erg lachwekkend topic inderdaad. Vooral iemand die zijn eigen mening als feit gebruikte.

Guttegut, ik heb even paar boeken over ethiek erbij gepakt en me erin verdiept.
Voor mij is een onbetrouwbaar bedrijf nog steeds een onbetrouwbaar bedrijf ook al hebben ze verschillende takken.

Google staat erom bekend sinds haar oprichting het hele Internet af te struinen om zoveel mogelijk gebruiker gegevens op te slaan en dat te gebruiken om gepersonaliseerde reclame te verkopen aan bedrijven.

Dan hebben ze een hosting tak en geven eigen TLS certificaten uit waarvan ze de privatekeys ook hebben van klanten sites en dan gaan ze dat natuurlijk niet misbruiken want Google is niet evil right?

En jij zou ook met een gerust hart een gebruikte auto van Trump kopen nietwaar?
Want Trump licht alles en iedereen op maar zijn auto verkoop tak die is echt wel te vertrouwen.

Zo werkt het ongeveer?

Ik vraag me eigenlijk ook af waarom zou een Google hosting tak ook nog eigen certificaten gaan uitgeven als daar al prima organisaties voor bestaan? en ook nog beter als je je certificaat ergens anders haalt dan waar je je website host lijkt mij. Ik kan daar maar 1 reden voor bedenken, ze willen alle macht en mogelijkheden van uitgegeven certificaten in eigen handen houden. Gut waarom zouden ze dat nou willen?

Denk daar maar eens over na!

Men kan natuurlijk alles op het hoofd van Clinical Diagnostics stapelen maar zo werkt het niet.
CD werkte in opdracht. Wat betreft persoonsgegevens is CD daarmee hooguit 'Verwerker'.
De opdrachtgever, zoals Bevolkingsonderzoek Nederland, blijft hier de verantwoordelijke partij. In termen van de AVG de
'Verwerkingsverantwoordelijke'.
Dat men gebruik maakt van een externe dienstverlener - in termen van de AVG de 'Verwerker' - doet volstrekt niets af aan
deze verantwoordelijkheid.
Het impliceert dat de opdrachtgever dient toe te zien op de uitvoering. Sterker nog, dat er aanvullende maatregelen
getroffen dien(d)en te worden teneinde de door deze uitbesteding ontstane kwetsbaarheden af te dekken.

Van de LHV en huisartsen stel ik mij weinig voor. Gezien hun houding rond o.a. patiëntendossier.
Ook bij mijn huisarts heerst de houding van 'Ik heb het uitbesteed, dus het is niet langer mijn verantwoordelijkheid'.