image

Datalek Bevolkingsonderzoek Nederland veel groter: 715.000 slachtoffers

vrijdag 29 augustus 2025, 10:19 door Redactie, 61 reacties

Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. Bevolkingsonderzoek Nederland sluit echter niet uit dat alle informatie die het in de afgelopen negen jaar heeft aangeleverd bij het laboratorium gelekt is.

Bevolkingsonderzoek Nederland werkt sinds 2017 met Clinical Diagnostics. In die periode zijn de gegevens van ruim 941.000 deelnemers tussen Bevolkingsonderzoek Nederland en het laboratorium gedeeld in het kader van het bevolkingsonderzoek. Het gaat daarbij om naam, adres en woonplaats, geslacht, soort onderzoek (zelftest of uitstrijkje), geboortedatum, BSN-nummer, testuitslag(en) en de naam van de huisarts. Bevolkingsonderzoek Nederland gaat nu aan alle vrouwen van wie de gegevens met het lab zijn gedeeld de komende weken een brief sturen.

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

"Ik vind het verschrikkelijk voor alle getroffenen dat de hack groter is dan we op basis van de informatie die is verstrekt, verwachtten. De afgelopen weken heb ik gezien dat deze hack een grote impact heeft op alle deelnemers aan bevolkingsonderzoeken", laat demissionair staatssecretaris Tielen van Jeugd, Preventie en Sport in een brief aan de Tweede Kamer weten. De bewindsvrouw zegt na het weekend met meer informatie te komen.

Woensdag maakte het Openbaar Ministerie bekend dat het strafrechtelijk onderzoek doet naar het datalek bij Clinical Diagnostics. Het onderzoek richt zich op de vraag wie de gegevens hebben gestolen. Daarnaast doen ook de Inspectie Gezondheidszorg en Jeugd (IGJ) en Autoriteit Persoonsgegevens onderzoek.

Reacties (61)
29-08-2025, 10:33 door Anoniem
Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. [....]

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

Beste Elza den Hertog, hoe dit heeft kunnen gebeuren, is uitermate simpel. Jullie van Bevolkingsonderzoek Nederland hebben die persoonsgegevens naar verschillende testlabs gestuurd, die geen zorgaanbieders zijn, maar testlabs.

Daarmee hebben jullie de mogelijkheden voor hackers drastisch vergroot.

Jullie zijn jarenlang niet opgekomen voor de privacy van deelnemers aan jullie onderzoeken. Om precies te zijn: nog nooit.

Jullie hebben nooit aan dataminimalisatie willen doen. Was niet belangrijk, want
digitaal & databeschikbaarheid = goed,
volgens jullie en de tech-lobby die het bij de overheid en het ministerie van VWS voor het zeggen heeft.

Jullie hebben dit ook niet van te voren aan potentiële deelnemers gecommuniceerd. Die wisten niet wat er met hun gegevens gebeurde en kregen ook niet de keuze voorgelegd of ze in dat geval eigenlijk wel wilden deelnemen aan zo'n onderzoek.

BVO Nederland heeft dit zelf veroorzaakt.Dit was volkomen voorspelbaar en is ook voorspeld.

Dat jullie het nu "verschrikkelijk" vinden wat er is gebeurd, maakt op mij héél weinig indruk. Om precies te zijn: geen indruk.
29-08-2025, 11:09 door Anoniem
Wat ik me afvraag, waarom worden deze data niet anoniem opgeslagen nadat de resultaten naar de betrokkenen zijn gestuurd? Je kunt dan met deze anonieme gegevens verdere analyses doen maar dan zonder deze gevoelige data.............
29-08-2025, 11:13 door Anoniem
Ach, een half bestand weg gelekt, is ongeloof waardig.. Ik vroeg me al waar is de andere helft.
29-08-2025, 11:18 door Anoniem
In dit artikel onder de kop: Profiel Bevolkingsonderzoek Nederland
https://www.bevolkingsonderzoeknederland.nl/nieuws/datalek-veel-groter-dan-eerder-vermeld/

Bevolkingsonderzoek Nederland voert de bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker uit. Het ministerie van VWS is eindverantwoordelijk. Het Centrum voor Bevolkingsonderzoek van het RIVM is opdrachtgever, regievoerder en subsidieverlener voor de bevolkingsonderzoeken.
Bevolkingsonderzoek Nederland verzorgt de uitvoering in samenwerking met haar ketenpartners - zoals huisartsen en ziekenhuizen - met als doel kanker in een vroeg stadium op te sporen.

RIVM is dus de opdrachtgever en VWS is eindverantwoordelijk.
29-08-2025, 11:21 door Anoniem
Is er al iets bekend over hoe de toegang tot al die data is verkregen?
29-08-2025, 11:25 door Anoniem
Quote:
"Het onderzoek richt zich op de vraag wie de gegevens hebben gestolen."

Fout.

Het onderzoek moet zich richten op HOE dit heeft kunnen gebeuren. Vervolgens maatregelen nemen en daarna structurelen inbedding.

Daarna kun je wellicht op zoek gaan naar de data. Eerst de kraan dicht en daarna gaan dweilen.
29-08-2025, 11:37 door Anoniem
Omdat niet uit te sluiten is dat data van bijna een miljoen vrouwen is gestolen, krijgen ze allemaal een brief:

https://www.ad.nl/binnenland/mogelijk-gegevens-van-alle-941-000-vrouwen-gestolen~ae8d078b/

De Stichting Collectieve Consumentenbelangen (VCC) bereidt samen met DHKV Advocaten een collectieve schadeclaim voor. VCC-voorzitter Luuk Krijnen zegt dat daar ‘per minuut nieuwe aanmeldingen’ voor binnenkomen.
29-08-2025, 11:49 door Anoniem
Een ding weet ik wel: een onderzoek laten uitvoeren door zulke 'testlabs' komt er bij mij niet meer in.
Tijd voor een algemene Boycott.
29-08-2025, 11:55 door Anoniem
Door Anoniem: Is er al iets bekend over hoe de toegang tot al die data is verkregen?

Gehackt medisch laboratorium heeft oorzaak datadiefstal nog niet gevonden
vrijdag 15 augustus 2025, 16:21 door Redactie

https://www.security.nl/posting/900799/Gehackt+medisch+lab+heeft+oorzaak+datadiefstal+nog+niet+gevonden
29-08-2025, 12:04 door Anoniem
Door Anoniem:
Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. [....]

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

Beste Elza den Hertog, hoe dit heeft kunnen gebeuren, is uitermate simpel. Jullie van Bevolkingsonderzoek Nederland hebben die persoonsgegevens naar verschillende testlabs gestuurd, die geen zorgaanbieders zijn, maar testlabs.

Daarmee hebben jullie de mogelijkheden voor hackers drastisch vergroot.

Jullie zijn jarenlang niet opgekomen voor de privacy van deelnemers aan jullie onderzoeken. Om precies te zijn: nog nooit.

Jullie hebben nooit aan dataminimalisatie willen doen. Was niet belangrijk, want
digitaal & databeschikbaarheid = goed,
volgens jullie en de tech-lobby die het bij de overheid en het ministerie van VWS voor het zeggen heeft.

Jullie hebben dit ook niet van te voren aan potentiële deelnemers gecommuniceerd. Die wisten niet wat er met hun gegevens gebeurde en kregen ook niet de keuze voorgelegd of ze in dat geval eigenlijk wel wilden deelnemen aan zo'n onderzoek.

BVO Nederland heeft dit zelf veroorzaakt.Dit was volkomen voorspelbaar en is ook voorspeld.

Dat jullie het nu "verschrikkelijk" vinden wat er is gebeurd, maakt op mij héél weinig indruk. Om precies te zijn: geen indruk.

Hear hear. Volkomen juist en het moet echt helemaal afgelopen zijn met het absurde delen van uiterst gevoelige persoonlijke data!!

Strikte naleving van de AVG en grote persoonlijke straffen op overtreding !!
29-08-2025, 12:06 door majortom - Bijgewerkt: 29-08-2025, 12:07
Door Anoniem: Omdat niet uit te sluiten is dat data van bijna een miljoen vrouwen is gestolen, krijgen ze allemaal een brief:

https://www.ad.nl/binnenland/mogelijk-gegevens-van-alle-941-000-vrouwen-gestolen~ae8d078b/

De Stichting Collectieve Consumentenbelangen (VCC) bereidt samen met DHKV Advocaten een collectieve schadeclaim voor. VCC-voorzitter Luuk Krijnen zegt dat daar ‘per minuut nieuwe aanmeldingen’ voor binnenkomen.
Volgens mij wordt de verkeerde partij voor de rechter gedaagd. De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab, dat is enkel een verwerker. Ik zou wel eens willen weten wie het interface heeft bedacht met al die (onnodige) data, hoe het contract tussen de partijen eruit ziet e.d. Bevolkingsonderzoek NL valt denk ik heel wat te verwijten.
29-08-2025, 12:16 door Anoniem
Wat is nu verschrikkelijk,dat kan ik je uitleggen,
het feit dat mensen gedwongen en verplicht zijn
om mee te digitaliseren in onze digitale samenleving
en daarbij altijd hun persoonlijke gegevens moeten uploaden
anders geen rechten en services van de overheid.
Alles is ons ontnomen om te weigeren of er tegen te zijn,
met alle gevolgen van dien,ja bij ons is het veilig wees niet bang
beste burgers.

NL2025
29-08-2025, 12:18 door Anoniem
De Patiëntenfederatie Nederland wil dat er "nu snel drie dingen gebeuren". De beveiliging van zulke gegevens moet beter en er moet een "fundamenteel" debat komen over welke gegevens écht verzameld moeten worden en welke niet. Daarnaast "moet alles in het werk worden gesteld om het vertrouwen van mensen in bevolkingsonderzoeken te behouden". Als dat vertrouwen door affaires als deze terugloopt, is dat volgens de federatie slecht nieuws.

https://www.telegraaf.nl/binnenland/dataroof-lab-rijswijk-veel-groter-dan-gedacht-mogelijk-gegevens-van-bijna-miljoen-vrouwen-gelekt/86731901.html
29-08-2025, 12:54 door Anoniem
Door majortom: Volgens mij wordt de verkeerde partij voor de rechter gedaagd. De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab, dat is enkel een verwerker. Ik zou wel eens willen weten wie het interface heeft bedacht met al die (onnodige) data, hoe het contract tussen de partijen eruit ziet e.d. Bevolkingsonderzoek NL valt denk ik heel wat te verwijten.
Ik lees nergens dat er al een partij gedaagd is en helemaal niet welke. Gebaseerd op de informatie die ik nu heb is duidelijk dat Clinical Diagnostics de beveiliging van de medische gegevens die zij in bezit had, zowel de door haarzelf geproduceerde als de door Bevolkingsonderzoek versterkte, niet op orde had.
En welke partij aansprakelijk gesteld zou moeten worden, het zou me niet slecht lijken als zowel Bevolkingsonderzoek NL als Clinical Diagnostics eens verantwoording gaan afleggen.
29-08-2025, 12:57 door Anoniem
Door Anoniem: Omdat niet uit te sluiten is dat data van bijna een miljoen vrouwen is gestolen, krijgen ze allemaal een brief:

Straks leeft PostN helemaal op met al die brieven-naar-slachtoffers-van-datalekkn
29-08-2025, 13:07 door Anoniem
Door majortom:
Door Anoniem: Omdat niet uit te sluiten is dat data van bijna een miljoen vrouwen is gestolen, krijgen ze allemaal een brief:

https://www.ad.nl/binnenland/mogelijk-gegevens-van-alle-941-000-vrouwen-gestolen~ae8d078b/

De Stichting Collectieve Consumentenbelangen (VCC) bereidt samen met DHKV Advocaten een collectieve schadeclaim voor. VCC-voorzitter Luuk Krijnen zegt dat daar ‘per minuut nieuwe aanmeldingen’ voor binnenkomen.
Volgens mij wordt de verkeerde partij voor de rechter gedaagd. De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab, dat is enkel een verwerker. Ik zou wel eens willen weten wie het interface heeft bedacht met al die (onnodige) data, hoe het contract tussen de partijen eruit ziet e.d. Bevolkingsonderzoek NL valt denk ik heel wat te verwijten.

Ik denk dat alle betrokken partijen, van politiek, via de koppen in de zorg-sector, tot het lab zelf veel te verwijten valt.
Het wordt veel te lakoniek omgegaan met patientgegevens.
Het ontbreken van dataminimalisatie, gebrekkige encryptie, 1 centrale sleutel (BSN), en ga zo maar door.
Alle betrokkenen zijn door hun werkzame leven gegaan met oogkleppen op.
Dat gaat ze nu opbreken: schadeclaims, verlies van vetrouwen in de betrouwbaarheid van de zorg-sector.

Dit is (minstens) een PR drama van de eerste orde.
Hoeveel betrokkenen gaan op hun eigen zwaard vallen? Of slachtofferen ze een medewerker?
29-08-2025, 13:26 door Anoniem
Door Anoniem:
Door Anoniem: Omdat niet uit te sluiten is dat data van bijna een miljoen vrouwen is gestolen, krijgen ze allemaal een brief:

Straks leeft PostN helemaal op met al die brieven-naar-slachtoffers-van-datalekkn
Bevolkingsonderzoek Nederland stuurt je een brief en haalt je zo uit je sociale isolement! Het is allemaal voor jouw bestwil.
29-08-2025, 13:37 door VM
Ik heb gisteren een brief van een Kamerlid ontvangen, en die gaat nu kijken naar een betere bescherming van het BSN. In zo'n geval zou het BSN beveiligd kunnen worden met een extra code. Er moet wel eerst een onderzoek komen hoe dit te implementeren en ook de vraag naar de kosten spelen een rol.

We kunnen dit soort Clinical Diagnostics drama's gewoon niet veroorloven. Er moet iets gedaan worden.
29-08-2025, 13:39 door Anoniem
Door majortom: De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab.

Het ministerie van VWS is eindverantwoordelijk, d.w.z. de Nederlandse staat. Lees Anoniem: 11:18. Maar laten we niet voorbarig zijn, en eerst de uitkomst van het strafrechtelijk onderzoek tegen Clinical Diagnostics NMDL afwachten.

https://www.security.nl/posting/902743#posting902755
29-08-2025, 13:46 door Anoniem
Door VM: Ik heb gisteren een brief van een Kamerlid ontvangen, en die gaat nu kijken naar een betere bescherming van het BSN. In zo'n geval zou het BSN beveiligd kunnen worden met een extra code. Er moet wel eerst een onderzoek komen hoe dit te implementeren en ook de vraag naar de kosten spelen een rol.

We kunnen dit soort Clinical Diagnostics drama's gewoon niet veroorloven. Er moet iets gedaan worden.

Het gaat niet om een betere bescherming van het BSN, maar om een betere bescherming van (het privéleven van) burgers. Dat is veel breder dan één of andere quick-fix om het BSN in sommige gevallen ietsjes minder te verspreiden.

Het BSN heeft nergens last van. Het zijn de mensen op wie BSN's worden geplakt, die het slachtoffer worden.
29-08-2025, 13:51 door Tintin and Milou
Door Anoniem:
Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. [....]

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

Beste Elza den Hertog, hoe dit heeft kunnen gebeuren, is uitermate simpel.
Omdat dit wettelijk is vastgelegd, dat medische gegevens uitgewisseld worden met het BSN.,

Jullie van Bevolkingsonderzoek Nederland hebben die persoonsgegevens naar verschillende testlabs gestuurd, die geen zorgaanbieders zijn, maar testlabs.
Leuke gedachte, maar ze zijn gewoon een zorgaanbieder, maar ondanks dat, medische gegevens worden uitgewisseld met je BSN.



Dat jullie het nu "verschrikkelijk" vinden wat er is gebeurd, maakt op mij héél weinig indruk. Om precies te zijn: geen indruk.
Je post maakt ook weinig indruk bij Elza.
Omdat het:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.
29-08-2025, 13:53 door Anoniem
Door Anoniem: Een ding weet ik wel: een onderzoek laten uitvoeren door zulke 'testlabs' komt er bij mij niet meer in.
Tijd voor een algemene Boycott.
Wel eens een bloedonderzoek laten doen?

Door majortom:
Door Anoniem: Omdat niet uit te sluiten is dat data van bijna een miljoen vrouwen is gestolen, krijgen ze allemaal een brief:

https://www.ad.nl/binnenland/mogelijk-gegevens-van-alle-941-000-vrouwen-gestolen~ae8d078b/

De Stichting Collectieve Consumentenbelangen (VCC) bereidt samen met DHKV Advocaten een collectieve schadeclaim voor. VCC-voorzitter Luuk Krijnen zegt dat daar ‘per minuut nieuwe aanmeldingen’ voor binnenkomen.
Volgens mij wordt de verkeerde partij voor de rechter gedaagd. De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab, dat is enkel een verwerker. Ik zou wel eens willen weten wie het interface heeft bedacht met al die (onnodige) data, hoe het contract tussen de partijen eruit ziet e.d. Bevolkingsonderzoek NL valt denk ik heel wat te verwijten.
De wet verplicht dat medische gegevens uitgewisseld worden met het BSN nummer.

En is het wel een verwerker alleen? Hoe heb je dit vastgesteld?
29-08-2025, 13:55 door majortom
Door Anoniem:
Door majortom: De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab.

Het ministerie van VWS is eindverantwoordelijk, d.w.z. de Nederlandse staat. Lees Anoniem: 11:18. Maar laten we niet voorbarig zijn, en eerst de uitkomst van het strafrechtelijk onderzoek tegen Clinical Diagnostics NMDL afwachten.

https://www.security.nl/posting/902743#posting902755
Eens, die post kwam later beschikbaar dan mijn reactie (nadeel van Anonieme posters). Het strafrechtelijk onderzoek doet onderzoek naar de aanvallers, laat onverlet dat de data verantwoordelijke ten alle tijde aansprakelijk is voor het lek.
29-08-2025, 13:56 door Anoniem
Door Anoniem:
Door majortom: De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab.

Het ministerie van VWS is eindverantwoordelijk, d.w.z. de Nederlandse staat. Lees Anoniem: 11:18. Maar laten we niet voorbarig zijn, en eerst de uitkomst van het strafrechtelijk onderzoek tegen Clinical Diagnostics NMDL afwachten.

https://www.security.nl/posting/902743#posting902755

Qua privacy-recht (is de AVG overtreden?) gaat het om de rechtspersoon die bepaalt wat er met de persoonsgegevens gebeurt en die bijvoorbeeld het contract met de betrokkene (het datasubject) afsluit. Dat is de verwerkingsverantwoordelijke (artikel 4.7 AVG) en dat is in dit geval Stichting Bevolkingsonderzoek Nederland.

De verwerkingsverantwoordelijke is verantwoordelijk voor het aantoonbaar naleven van het principe van dataminimalisatie (artikel 5.1.c AVG).

De verwerkingsverantwoordelijke is ook verantwoordelijk voor het sluiten van goede verwerkersovereenkomsten.

De verwerker (Clinical Diagnostics; artikel 4.8 AVG) is verantwoordelijk voor het correct uitvoeren van zo'n verwerkersovereenkomst.

De directeuren van Clinical Diagnostics zijn verantwoordelijk voor het zich onthouden van strafbare nalatigheid, fraude en dergelijke.

De minister van VWS is misschien politiek-ministerieel verantwoordelijk, maar niet als persoon aansprakelijk. De minister kan door het parlement worden gedwongen om af te treden en ontvangt dan een riant wachtgeld.
29-08-2025, 13:57 door majortom
Door Tintin and Milou:
Door Anoniem:
Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. [....]

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

Beste Elza den Hertog, hoe dit heeft kunnen gebeuren, is uitermate simpel.
Omdat dit wettelijk is vastgelegd, dat medische gegevens uitgewisseld worden met het BSN.
BSN wel maar NAW gegevens, geboortedatum e.d. niet. En ook die zaten in de dataset.
29-08-2025, 14:04 door Anoniem
Je hoeft niet eens zelf te lekken, een bedrijf kan voor je lekken als ze je gegevens hebben, is mij twee keer gebeurd, beide grote gerenomeerde bedrijven.
Deel zo min mogelijk data met derden.
29-08-2025, 14:08 door majortom - Bijgewerkt: 29-08-2025, 14:08
Door Anoniem:
Door majortom: Volgens mij wordt de verkeerde partij voor de rechter gedaagd. De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab, dat is enkel een verwerker. Ik zou wel eens willen weten wie het interface heeft bedacht met al die (onnodige) data, hoe het contract tussen de partijen eruit ziet e.d. Bevolkingsonderzoek NL valt denk ik heel wat te verwijten.
Ik lees nergens dat er al een partij gedaagd is en helemaal niet welke. Gebaseerd op de informatie die ik nu heb is duidelijk dat Clinical Diagnostics de beveiliging van de medische gegevens die zij in bezit had, zowel de door haarzelf geproduceerde als de door Bevolkingsonderzoek versterkte, niet op orde had.
En welke partij aansprakelijk gesteld zou moeten worden, het zou me niet slecht lijken als zowel Bevolkingsonderzoek NL als Clinical Diagnostics eens verantwoording gaan afleggen.
Als ik op de claim site kijk https://datalekbevolkingsonderzoek.nl/ dan staat er toch echt dat primair het lab wordt aangeklaagd en wellicht Bevolkingsonderzoek NL:
Daarmee tekenen zich de eerste bouwstenen af voor een collectieve actie. Allereerst jegens Clinical Diagnostics. Het laboratorium was verantwoordelijk voor de veiligheid van de data en het is de vraag of voldoende veiligheidsmaatregelen werden getroffen. Bovendien is het de vraag of het laboratorium over zóveel data moest beschikken, en zonder medeweten van de slachtoffers lag de informatie dus al een maand op straat. Ook Bevolkingsonderzoek Nederland gaat mogelijk niet vrijuit, omdat bij het verstrekken van de opdracht zo mogelijk onvoldoende is toegezien op het borgen van de vertrouwelijkheid.
29-08-2025, 14:20 door Anoniem
Door majortom:
Door Anoniem:
Door majortom: De verantwoordelijke voor de data is Bevolkingsonderzoek Nederland en niet het lab.

Het ministerie van VWS is eindverantwoordelijk, d.w.z. de Nederlandse staat. Lees Anoniem: 11:18. Maar laten we niet voorbarig zijn, en eerst de uitkomst van het strafrechtelijk onderzoek tegen Clinical Diagnostics NMDL afwachten.

https://www.security.nl/posting/902743#posting902755
Eens, die post kwam later beschikbaar dan mijn reactie (nadeel van Anonieme posters). Het strafrechtelijk onderzoek doet onderzoek naar de aanvallers, laat onverlet dat de data verantwoordelijke ten alle tijde aansprakelijk is voor het lek.

En:

Door Anoniem 11:18 : In dit artikel onder de kop: Profiel Bevolkingsonderzoek Nederland
https://www.bevolkingsonderzoeknederland.nl/nieuws/datalek-veel-groter-dan-eerder-vermeld/

Bevolkingsonderzoek Nederland voert de bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker uit. Het ministerie van VWS is eindverantwoordelijk. Het Centrum voor Bevolkingsonderzoek van het RIVM is opdrachtgever, regievoerder en subsidieverlener voor de bevolkingsonderzoeken.
Bevolkingsonderzoek Nederland verzorgt de uitvoering in samenwerking met haar ketenpartners - zoals huisartsen en ziekenhuizen - met als doel kanker in een vroeg stadium op te sporen.

RIVM is dus de opdrachtgever en VWS is eindverantwoordelijk.

Vreemd. Ik heb een uitnodigingsbrief van Bevolkingsonderzoek Nederland ontvangen. Daar staat niets over RIVM. Niet in het verzendadres, niet in het retouradres. De brief is ondertekend door: "Elza den Hertog, Raad van Bestuur, Bevolkingsonderzoek Nederland".

In de folder erbij staat ook niets over RIVM.

Betekent dit dat Bevolkingsonderzoek Nederland alle geadresseerden voorliegt door geheim te houden dat de afzender eigenlijk het RIVM is?

Of is de Raad van Bestuur van "Bevolkingsonderzoek Nederland" eigenlijk de Raad van Bestuur RIVM?

Met andere woorden: hetzelfde RIVM dat tijdens de coronacrisis van alles riep maar geen transparantie gaf, onzinnige modellen opstelde en aan misleidende rapportage deed over statistische uitkomsten?
29-08-2025, 14:26 door Anoniem
Door Tintin and Milou:
Door Anoniem:
Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. [....]

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

Beste Elza den Hertog, hoe dit heeft kunnen gebeuren, is uitermate simpel.
Omdat dit wettelijk is vastgelegd, dat medische gegevens uitgewisseld worden met het BSN.,

Jullie van Bevolkingsonderzoek Nederland hebben die persoonsgegevens naar verschillende testlabs gestuurd, die geen zorgaanbieders zijn, maar testlabs.
Leuke gedachte, maar ze zijn gewoon een zorgaanbieder, maar ondanks dat, medische gegevens worden uitgewisseld met je BSN.



Dat jullie het nu "verschrikkelijk" vinden wat er is gebeurd, maakt op mij héél weinig indruk. Om precies te zijn: geen indruk.
Je post maakt ook weinig indruk bij Elza.
Omdat het:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.
29-08-2025, 14:31 door Anoniem
We hebben er prachtige woorden voor die dit moeten voorkomen: proportionaliteit, subsidiariteit, dataminimalisatie... Probleem is dat geen van deze partijen zijn rol hierin serieus heeft genomen.
29-08-2025, 14:58 door Anoniem



Leuke gedachte, maar ze zijn gewoon een zorgaanbieder, maar ondanks dat, medische gegevens worden uitgewisseld met je BSN.



Het testlab, de cateraar en de schoonmaakploeg zijn GEEN zorgaanbieder. Het zijn LEVERANCIERS van de zorgaanbieder.

Zij mogen NIET over het BSN beschikken.

De zorgaanbieder had het BSN NOOIT aan dat lab ter beschikking mogen stellen.
29-08-2025, 15:00 door Anoniem
Door VM: Ik heb gisteren een brief van een Kamerlid ontvangen, en die gaat nu kijken naar een betere bescherming van het BSN. In zo'n geval zou het BSN beveiligd kunnen worden met een extra code. Er moet wel eerst een onderzoek komen hoe dit te implementeren en ook de vraag naar de kosten spelen een rol.

We kunnen dit soort Clinical Diagnostics drama's gewoon niet veroorloven. Er moet iets gedaan worden.

Mail hem/haar eens terug. Beschermen met een code? Inmiddels zijn alle Nederlandse BSNs wel eens gelekt , of dat nu met Clinical Diagnostics was , of op een Russische darknet forum , of via andere kleinere leaks die niet het nieuws maakten , of wie vroeger ZZPer was en de Belastingdienst eiste dat je BSN op elke factuur ging.

Er valt niets meer te beveiligen... het is allemaal al 'out there'. Je zult dus iedereen een nieuwe BSN moeten geven en met de media aandacht nu, deze aandacht uitvergroten om een zo'n breed mogelijk public in te lichten over wie het BSN mogen hebben. Namelijk overheid-burger communicatie, zorg&verzekeraars, openen van een bankrekening.
29-08-2025, 15:02 door Anoniem
Door Anoniem: Ach, een half bestand weg gelekt, is ongeloof waardig.. Ik vroeg me al waar is de andere helft.

Het NPO journaal opent met het getal 850.000

Dus inmiddels al 3 verschillende cijfers gehoord.
29-08-2025, 15:58 door Anoniem
In algemene zin geldt dat dat het een pijnlijk dossier is. Omdat gevoelige gegevens werden geopenbaard aan derden die daarmee niets van doen hebben, en omdat derden met de gegevens vervolgens aan de haal kunnen gaan. Hoe dat zich in de komende periode zal manifesteren is onbekend, maar op de loer liggen het risico van identiteitsfraude, (gerichte) phishing, chantage en intimidatie. De slachtoffers komen langdurig in onzekerheid te verkeren, niet wetende wat met de gegevens gebeurt. Wat eenmaal op het internet rondwaart blijft voor altijd.

https://www.security.nl/posting/902391/Advocatenkantoren+onderzoeken+haalbaarheid+schadeclaim+slachtoffers
29-08-2025, 17:34 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 29-08-2025, 17:37
Door Anoniem:
Door Tintin and Milou:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.

Eens met Anoniem. Wat betreft de telkens door Tintin and Milou herhaalde bewering dat "medische gegevens verplicht uitgewisseld worden met een BSN", dat staat niet als zodanig in de wet (de Wabvpz - Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg). Daar staat namelijk in artikel 9, eerste lid:
De zorgaanbieder vermeldt bij het verstrekken van persoonsgegevens met betrekking tot de verlening van, indicatiestelling voor of verzekering van zorg aan een zorgaanbieder, een indicatieorgaan of een zorgverzekeraar steeds het burgerservicenummer van de cliënt.

(vetmarkering van mij)

De vraag is dan, wat er moet worden verstaan onder een "zorgaanbieder". Valt een testlaboratorium onder die definitie, of niet? Dit brengt ons bij artikel 1 Wabvpz (definities). Daar wordt onder c. voor de term "zorgaanbieder" verwezen naar de definitie daarvan in de Wet kwaliteit, klachten en geschillen zorg:
c. zorgaanbieder: zorgaanbieder als bedoeld in de Wet kwaliteit, klachten en geschillen zorg;

In die tweede wet wordt in artikel 1, eerste lid de volgende definitie gegeven van de term "zorgaanbieder":
- zorgaanbieder: een instelling dan wel een solistisch werkende zorgverlener;
Elders in datzelfde wetsartikel wordt de term "instelling" als volgt gedefinieerd:
- instelling: een rechtspersoon die bedrijfsmatig zorg verleent of doet verlenen, een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg doet verlenen;

Dit roept dan weer de vraag op wat er onder "zorg" moet worden verstaan. Verleent een laboratorium nu wel of geen "zorg"? De definitie van "zorg" (nog steeds in die tweede wet) helpt ook niet echt, want die definitie luidt:
- zorg: Wlz-zorg, Zvw-zorg en andere zorg;

Kortom, "zorg" wordt hier gedefinieerd als "alle zorg". Of nee, wacht. "Zvw-zorg" wordt elders in datzelfde wetsartikel namelijk op onnavolgbare wijze gedefinieerd als méér dan alleen zorg:
- Zvw-zorg: zorg of een andere dienst als omschreven bij of krachtens de Zorgverzekeringswet.

Hier wordt de definitie van "zorg" dus afhankelijk gemaakt van welke dienstverlening er door een verkeringsmaatschappij wordt vergoed. Deze definitie is op zichzelf al een grof schandaal. In feite zegt de wetgever hier dat niet de inhoud van de dienst bepalend is voor of het "zorg" is, maar of een verzekeraar ervoor betaalt.

Maar goed... We marcheren snel door naar die derde wet, de Zorgverzekeringswet. Daar staat in artikel 10 welke diensten er krachtens deze wet kunnen worden verzekerd:
Het krachtens de zorgverzekering te verzekeren risico is de behoefte aan:
a. geneeskundige zorg, waaronder de integrale eerstelijnszorg zoals die door huisartsen en verloskundigen pleegt te geschieden;
b. mondzorg;
c. farmaceutische zorg;
d. hulpmiddelenzorg;
e. verpleging;
f. verzorging, waaronder de kraamzorg;
g. verblijf in verband met geneeskundige zorg;
h. vervoer in verband met het ontvangen van zorg of diensten als bedoeld in de onderdelen a tot en met g, dan wel in verband met een recht op zorg op grond van de Wet langdurige zorg.

Een "behoefte" aan het testen van monsters door een laboratorium staat daar niet bij. Een behoefte aan preventief bevolkingsonderzoek onder alle gezonde Nederlanders ook niet. Op basis van dit wetsartikel gaat het bij die activiteiten dus niet om "zorg".

Maar dan komen we bij artikel 11 van de Zorgverzekeringswet. Daar gaat het niet over behoeften, maar over "prestaties". De eerste drie leden van dit artikel luiden als volgt:

Artikel 11
1 De zorgverzekeraar heeft jegens zijn verzekerden een zorgplicht die zodanig wordt vormgegeven, dat de verzekerde bij wie het verzekerde risico zich voordoet, krachtens de zorgverzekering recht heeft op prestaties bestaande uit:
- - a. de zorg of de overige diensten waaraan hij behoefte heeft, of
- - b. vergoeding van de kosten van deze zorg of overige diensten alsmede, desgevraagd, activiteiten gericht op het verkrijgen van deze zorg of diensten.

2 In de zorgverzekering kunnen combinaties van verzekerde prestaties als bedoeld in het eerste lid, onderdeel a of b, worden opgenomen.

3 Bij algemene maatregel van bestuur worden de inhoud en omvang van de in het eerste lid bedoelde prestaties nader geregeld en kan voor bij die maatregel aan te wijzen vormen van zorg of overige diensten worden bepaald dat een deel van de kosten voor rekening van de verzekerde komt.

Aha. Hieruit volgt dat de minister bij algemene maatregel van bestuur (Amvb), dus zonder democratische tussenkomst van het parlement, zelf met willekeur kan bepalen wat als "zorg" wordt gedefinieerd, en wat niet.

Wat hier dus eigenlijk staat is dat een minister het volgende kan regelen: "Geachte burger, u dacht dat u recht had op wondverzorging in verband met uw doorligplek, maar de minister heeft bepaald dat dergelijke verzorging niet langer als zorg wordt beschouwd. Wij raden u aan om dit thuis zelf te regelen met uw naaste familieleden of andere mantelzorgers." Op deze manier wordt er van "zorg" een politiek begrip gemaakt.

Of toch niet? Even verderop lees ik in artikel 14, eerste lid van de Zorgverzekeringswet:
1. De vraag of een verzekerde behoefte heeft aan een bepaalde vorm van zorg of een bepaalde andere dienst, wordt slechts op basis van zorginhoudelijke criteria beantwoord.
Aha, maar wie bepaalt dan die "zorginhoudelijke criteria"? Het lijkt er toch op dat dat de artsen zouden moeten zijn die daadwerkelijk zorg verlenen aan patiënten.

Het tweede lid van artikel 14 wijst inderdaad op een beslissende rol van artsen (zowel medisch-specialisten als huisartsen), want daar staat:
2. De zorgverzekeraar neemt in zijn modelovereenkomst op dat geneeskundige zorg zoals medisch-specialisten die plegen te bieden, met uitzondering van acute zorg, slechts toegankelijk is na verwijzing door in die overeenkomst aangewezen categorieën zorgaanbieders, waaronder in ieder geval de huisarts.

Daar hebben we die "zorgaanbieders" weer. Wat de wet hier in ieder geval vastlegt, en wat de minister dus niet bij Amvb kan veranderen, is dat medisch-specialisten èn huisartsen beschouwd moeten worden als zorgaanbieders.

Tot hier gekomen in het door de wetgever gecreëerde labyrinth, weten we over de definitie van het begrip "zorgaanbieder" in essentie twee dingen:
-- huisartsen en medisch-specialisten zijn het in ieder geval wel;
-- voor de rest mag de minister met het begrip "zorgaanbieder" spelen, mits dit schriftelijk wordt vastgelegd in een Amvb.

De vraag rijst dus of er in een Amvb iets is vastgelegd over de status van commerciële testlaboratoria zoals die van Eurofins (bijvoorbeeld Clinical Diagnostics).

Als ik hiernaar op zoek ga, kom ik eerst uit bij het Besluit alcohol, drugs en geneesmiddelen in het verkeer (een Amvb). Interessant hieraan is dat dit de vraag oproept of een opsporingsambtenaar (bijvoorbeeld een bereden motoragent die een verkeersovertreder aanhoudt) beschouwd moet worden als een "zorgaanbieder" zodra hij die snelheidsduivel in een apparaatje laat blazen om diens alcoholpromillage vast te stellen. Dat is immers vergelijkbaar met het werk dat door een laboratorium zoals Clinical Diagnostics wordt gedaan. Het besluit spreekt hier echter consequent niet van een "zorgaanbieder", maar van een "opsporingsambtenaar".

Wel kan deze opsporingsambtenaar krachtens artikel 14 van deze Amvb een laboratorium inschakelen voor het onderzoeken van een bloedmonster van de snelheidsovertreder. Hierover zegt het betreffende besluit-artikel in het eerste en tweede lid:
1. De opsporingsambtenaar formuleert de opdracht voor de onderzoeker die het bloedonderzoek verricht.

2. De onderzoeker is verbonden aan een laboratorium. Als laboratorium komt alleen in aanmerking:

a. een laboratorium dat door de Raad voor Accreditatie is geaccrediteerd aan de hand van de algemene criteria voor het functioneren van beproevingslaboratoria, genoemd in de NEN-EN ISO/IEC 17025 of van criteria die daarmee vergelijkbaar zijn, en deskundig is op het terrein van de bio-analyse, dan wel

b. een laboratorium dat in het buitenland is gevestigd en door een met de Raad voor Accreditatie vergelijkbare instantie is geaccrediteerd aan de hand van criteria die vergelijkbaar zijn met de criteria, genoemd in de NEN-EN ISO/IEC 17025, en deskundig is op het terrein van de bio-analyse.

Het laboratorium wordt nergens in de Amvb aangemerkt als een "zorgaanbieder". Het wordt wel gekarakteriseerd als een "beproevingslaboratorim" en als een "geaccrediteerde" instelling.

Hieruit volgt dat een laboratorium dat lichaamsmonsters onderzoekt, in ieder geval niet per definitie aangemerkt kan worden als een "zorgaanbieder". Het werk van een laboratorium waarin bloed- of andere monsters van het menselijk lichaam worden onderzocht, hoeft helemaal geen verband te houden met zorgverlening, het kan ook verband houden met opsporing en handhaving.

Sterker nog, precies dezelfde uitslag van precies hetzelfde soort laboratoriumonderzoek kan in beginsel zowel voor zorgdoeleinden als voor opsporings- en handhavingsdoeleinden worden gebruikt. Soms gebeurt dat ook, bijvoorbeeld als een automobilist na een zwaar auto-ongeluk in een ziekenhuis is opgenomen en de uitslag van een bloedonderzoek (alcoholpromillage in het bloed) wordt gebruikt voor zowel het verlenen van optimale zorg, als voor het instellen van een strafrechtelijk onderzoek.

Ik zal niet verder gaan in dit labyrinth van regelingen.

Het lijkt me inmiddels duidelijk dat respect voor het privéleven en de persoonsgegevens van Nederlandse burgers niet een speelbal mag worden van ondoorzichtige wetgevende en ministeriële knutselarijen (gestapelde bouwsels van regels, gelardeerd met vrijbrieven voor willekeur). Burgers kunnen aan artikel 8 EVRM een rechtstreekse bescherming ontlenen voor hun privéleven. Tegen Nederlandse autoriteiten zou ik willen zeggen: "Cut the crap, start protecting your citizens. Now."

Hoe dat kan? Hiervoor verwijs ik graag naar een bijdrage op een andere thread over ditzelfde onderwerp:

Gewoon weer de interpretatie van de definitie van "zorgaanbieder" beperken tot diegenen die echt zorg verlenen aan patiënten. Dat zijn dus artsen en andere behandelaars die zelf met de patiënt een behandelingsovereenkomst hebben afgesloten (zoals bedoeld in de Wet Geneeskundige Behandelingsovereenkomst - WGBO), alsmede hun directe assistenten die zelf betrokken zijn bij de behandeling van de betreffende patiënt. In een ziekenhuis zijn dat bijvoorbeeld ook de verpleegdkundigen die zelf aan het bed van de betreffende patiënt staan.

Belangrijk is ook om te onderkennen dat het beginsel van dataminimalisatie (artikel 5, eerste lid AVG) vereist dat een verwerkingsverantwoordelijke (bijvoorbeeld een arts) niet onnodig veel data laat verwerken door "verwerkers" (bijvoorbeeld een lab).

Er is dus niet eens een wetswijziging nodig om weer verstandig met persoonsgegevens van patiënten om te gaan en hun (medische en andere) privacy te respecteren. Het gebruik van het gezonde verstand is genoeg. Want dat leidt tot een gezonde interpretatie van bestaande wetgeving, met respect voor het medisch beroepsgeheim en de medische privacy.

Maar allerlei partijen (van artsen die hun beroepsgeheim te grabbel hebben gegooid tot toezichthouders en bestuurders) hebben er nu belang bij om te doen alsof een wetswijziging nodig zou zijn om het goed te regelen. Want dan kunnen ze hun eigen verantwoordelijkheid ontkennen en de schuld leggen bij "wetgeving uit het verleden".

Bron: https://www.security.nl/posting/902237/ (26-08-2025 om 14:15 uur)

M.J.
29-08-2025, 18:50 door Tintin and Milou
Door VM: Ik heb gisteren een brief van een Kamerlid ontvangen, en die gaat nu kijken naar een betere bescherming van het BSN. In zo'n geval zou het BSN beveiligd kunnen worden met een extra code. Er moet wel eerst een onderzoek komen hoe dit te implementeren en ook de vraag naar de kosten spelen een rol.

We kunnen dit soort Clinical Diagnostics drama's gewoon niet veroorloven. Er moet iets gedaan worden.
Dan was nog steeds alle privacy gerelateerde data gelekt.
29-08-2025, 18:53 door Anoniem
Door Anoniem:



Leuke gedachte, maar ze zijn gewoon een zorgaanbieder, maar ondanks dat, medische gegevens worden uitgewisseld met je BSN.



Het testlab, de cateraar en de schoonmaakploeg zijn GEEN zorgaanbieder. Het zijn LEVERANCIERS van de zorgaanbieder.

Zij mogen NIET over het BSN beschikken.

De zorgaanbieder had het BSN NOOIT aan dat lab ter beschikking mogen stellen.
Het verschil zit hem in wie er aan de medische diagnose werkt. Dat zal waarschijnlijk een schoonmaakploeg of een cateraar inderdaad niet zijn. Een test lab doet echter wel werkzaamheden voor je medische diagnose.

Nog los van, dat je medische gegevens VERPLICHT uitgewisseld worden met een BSN.
29-08-2025, 19:11 door Tintin and Milou
Door Anoniem:
Door Tintin and Milou:
Door Anoniem:
Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. [....]

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

Beste Elza den Hertog, hoe dit heeft kunnen gebeuren, is uitermate simpel.
Omdat dit wettelijk is vastgelegd, dat medische gegevens uitgewisseld worden met het BSN.,

Jullie van Bevolkingsonderzoek Nederland hebben die persoonsgegevens naar verschillende testlabs gestuurd, die geen zorgaanbieders zijn, maar testlabs.
Leuke gedachte, maar ze zijn gewoon een zorgaanbieder, maar ondanks dat, medische gegevens worden uitgewisseld met je BSN.



Dat jullie het nu "verschrikkelijk" vinden wat er is gebeurd, maakt op mij héél weinig indruk. Om precies te zijn: geen indruk.
Je post maakt ook weinig indruk bij Elza.
Omdat het:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.
het is alleen niet de wet, maar veel meer. De hele uitwisseling van (medische) data moet je hierop aanpassen. Dat is niet even een wet aanpassen, want je zal eerst de onderliggende architectuur moeten bedenken, voordat je een goede wet kan verzitten.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Dat klopt, echter al zou je het BSN veranderen naar een "zorgid", dan los je maar een klein gedeelte van het lek op.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.
Het kost alleen jaren en zeker miljoenen, misschien een miljard. Het is niet even een wet maken. Vergeet niet wat je aan applicaties moet veranderen, die nu uitwisselingen doen, huidige data migreren.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.
Omdat je eerst goed inzicht moet hebben hoe alles aan elkaar gekoppeld is. Voorbeeld, een lab moet bijvoorbeeld declaraties versturen, dus moet weten bij welke zorgverzekering je nu zit. Moet misschien data doorsturen naar een vervolg lab voor verder onderzoek. Hier zal je dus allemaal wat op moeten bedenken. Een lab zou je ook direct een terug koppeling kunnen geven, moet je gegevens kunnen aanleveren voor een second opinion. Waarbij de aanvrager misschien ook niet meer bestaat.
Je moet iets hebben om fraude te detecteren, maar ook om deze aan te pakken (fraude register).
Ook nog een systeem maken waarmee je goed en veilig kan inloggen, zoals we nu met digid doen.

Je zou een zorgid kunnen bedenken (nog afgezien van de complexiteit), maar dat lost alleen je BSN nummer op met de huidige wetgeving. Dus minimaal winst, tegen hoge kosten, doorlooptijd en risico's.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Dat mag je vinden, of je weet te weinig van het systeem af?
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Ze zijn een onderdeel in je medische diagnose, dus een onderdeel van de zorgverlening. Bij een bloedonderzoek, declareren ze bijvoorbeeld ook direct je zorgverzekering.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.
Eens, maar dat zou misschien ook kunnen, omdat vele eigenlijk te weinig weten op dit onderwerp, maar wel een mening hebben.

Dat zien we bij meer onderwerpen voorbij komen. Klimaatverandering, Covid maar we kunnen het ook op de energietransitie doen. Iedereen heeft er een mening over, maar weinig hebben maar echt goede inhoudelijke kennis.
Ik ben hier ook zeker geen specialist is, maar ondertussen wel de afgelopen 10 jaar veel met zorg te maken gehad en wat daarbij komt kijken.
29-08-2025, 19:49 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ:
Door Anoniem:
Door Tintin and Milou:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.

Eens met Anoniem. Wat betreft de telkens door Tintin and Milou herhaalde bewering dat "medische gegevens verplicht uitgewisseld worden met een BSN", dat staat niet als zodanig in de wet (de Wabvpz - Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg). [..]

M.J.

Een hoop tekst volledig gebaseerd op een eigen interpretatie van de wet.

De verplichting voor het gebruik van het Burgerservicenummer (BSN) bij bevolkingsonderzoeken, zoals die uitgevoerd door Bevolkingsonderzoek Nederland, is vastgelegd in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z). Deze wet regelt dat erkende zorgverleners, zoals screeningsorganisaties, het BSN van patiënten moeten vastleggen in hun administratie en moeten gebruiken bij het uitwisselen van gegevens over patiënten. Dit is nodig om de identiteit te verifiëren en medische gegevens correct te koppelen.

Het is dan ook de regionale screeningsorganisatie die bewoners van die regio uitnodigt voor een bevolkingsonderzoek. De vervolgvraag is vervolgens of het uitvoerende laboratorium een verwerkersrelatie heeft met zo'n regionale screeningsorganisatie. Het antwoord daarop is ja:

Het uitvoerende laboratorium dat betrokken is bij het bevolkingsonderzoek heeft in principe recht op het verwerken van het Burgerservicenummer (BSN) van een deelnemer, maar dit is gebonden aan strikte voorwaarden zoals vastgelegd in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) en de Algemene Verordening Gegevensbescherming (AVG).
Uitleg:

Wettelijke grondslag (Wbsn-z):

Volgens de Wbsn-z mogen zorgverleners, waaronder laboratoria die in opdracht van Bevolkingsonderzoek Nederland werken, het BSN verwerken voor zover dit noodzakelijk is voor de uitvoering van hun taken. Dit omvat het koppelen van testresultaten aan de juiste persoon en het waarborgen van de continuïteit van zorg (bijvoorbeeld bij doorverwijzing voor vervolgonderzoek).
Het laboratorium wordt in dit geval gezien als een verwerker of onderaannemer van Bevolkingsonderzoek Nederland, dat optreedt als verantwoordelijke voor de gegevensverwerking.


AVG-voorwaarden:

De verwerking van het BSN moet voldoen aan de AVG, wat betekent dat het doelgebonden, rechtmatig en noodzakelijk moet zijn. Het laboratorium mag het BSN alleen gebruiken voor het analyseren van monsters en het rapporteren van resultaten in het kader van het bevolkingsonderzoek.
Er moet een verwerkersovereenkomst zijn tussen Bevolkingsonderzoek Nederland en het laboratorium, waarin afspraken staan over hoe het BSN en andere persoonsgegevens worden beveiligd en verwerkt.


Praktische noodzaak:

Het BSN wordt gebruikt om ervoor te zorgen dat monsters en uitslagen uniek gekoppeld worden aan de juiste persoon, wat cruciaal is voor de betrouwbaarheid van het bevolkingsonderzoek (bijvoorbeeld bij screening op borstkanker, baarmoederhalskanker of darmkanker).
Zonder het BSN zou het risico op verwarring of fouten in de identificatie van personen groter zijn.


Beperkingen:

Het laboratorium mag het BSN niet voor andere doeleinden gebruiken dan waarvoor het is verstrekt (bijvoorbeeld niet voor commerciële doeleinden of andere onderzoeken buiten het bevolkingsonderzoek).
De gegevens moeten adequaat worden beveiligd en na de noodzakelijke bewaartermijn worden vernietigd, zoals voorgeschreven in de AVG en de richtlijnen van het RIVM.

Conclusie:
Het uitvoerende laboratorium heeft recht op het verwerken van het BSN, maar alleen voor zover dit noodzakelijk is voor de uitvoering van het bevolkingsonderzoek en in overeenstemming met de Wbsn-z en de AVG. Als je specifieke zorgen hebt over de verwerking van jouw BSN, kun je contact opnemen met Bevolkingsonderzoek Nederland via www.bevolkingsonderzoeknederland.nl voor meer informatie over hun privacybeleid of de verwerkersovereenkomsten met laboratoria.
29-08-2025, 21:36 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ:
Door Anoniem:
Door Tintin and Milou:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.

Eens met Anoniem. Wat betreft de telkens door Tintin and Milou herhaalde bewering dat "medische gegevens verplicht uitgewisseld worden met een BSN", dat staat niet als zodanig in de wet (de Wabvpz - Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg). Daar staat namelijk in artikel 9, eerste lid:
De zorgaanbieder vermeldt bij het verstrekken van persoonsgegevens met betrekking tot de verlening van, indicatiestelling voor of verzekering van zorg aan een zorgaanbieder, een indicatieorgaan of een zorgverzekeraar steeds het burgerservicenummer van de cliënt.

(vetmarkering van mij)

De vraag is dan, wat er moet worden verstaan onder een "zorgaanbieder". Valt een testlaboratorium onder die definitie, of niet? Dit brengt ons bij artikel 1 Wabvpz (definities). Daar wordt onder c. voor de term "zorgaanbieder" verwezen naar de definitie daarvan in de Wet kwaliteit, klachten en geschillen zorg:
c. zorgaanbieder: zorgaanbieder als bedoeld in de Wet kwaliteit, klachten en geschillen zorg;

In die tweede wet wordt in artikel 1, eerste lid de volgende definitie gegeven van de term "zorgaanbieder":
- zorgaanbieder: een instelling dan wel een solistisch werkende zorgverlener;
Elders in datzelfde wetsartikel wordt de term "instelling" als volgt gedefinieerd:
- instelling: een rechtspersoon die bedrijfsmatig zorg verleent of doet verlenen, een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg doet verlenen;

Dit roept dan weer de vraag op wat er onder "zorg" moet worden verstaan. Verleent een laboratorium nu wel of geen "zorg"? De definitie van "zorg" (nog steeds in die tweede wet) helpt ook niet echt, want die definitie luidt:
- zorg: Wlz-zorg, Zvw-zorg en andere zorg;

Kortom, "zorg" wordt hier gedefinieerd als "alle zorg". Of nee, wacht. "Zvw-zorg" wordt elders in datzelfde wetsartikel namelijk op onnavolgbare wijze gedefinieerd als méér dan alleen zorg:
- Zvw-zorg: zorg of een andere dienst als omschreven bij of krachtens de Zorgverzekeringswet.

Hier wordt de definitie van "zorg" dus afhankelijk gemaakt van welke dienstverlening er door een verkeringsmaatschappij wordt vergoed. Deze definitie is op zichzelf al een grof schandaal. In feite zegt de wetgever hier dat niet de inhoud van de dienst bepalend is voor of het "zorg" is, maar of een verzekeraar ervoor betaalt.

Maar goed... We marcheren snel door naar die derde wet, de Zorgverzekeringswet. Daar staat in artikel 10 welke diensten er krachtens deze wet kunnen worden verzekerd:
Het krachtens de zorgverzekering te verzekeren risico is de behoefte aan:
a. geneeskundige zorg, waaronder de integrale eerstelijnszorg zoals die door huisartsen en verloskundigen pleegt te geschieden;
b. mondzorg;
c. farmaceutische zorg;
d. hulpmiddelenzorg;
e. verpleging;
f. verzorging, waaronder de kraamzorg;
g. verblijf in verband met geneeskundige zorg;
h. vervoer in verband met het ontvangen van zorg of diensten als bedoeld in de onderdelen a tot en met g, dan wel in verband met een recht op zorg op grond van de Wet langdurige zorg.

Een "behoefte" aan het testen van monsters door een laboratorium staat daar niet bij. Een behoefte aan preventief bevolkingsonderzoek onder alle gezonde Nederlanders ook niet. Op basis van dit wetsartikel gaat het bij die activiteiten dus niet om "zorg".

Maar dan komen we bij artikel 11 van de Zorgverzekeringswet. Daar gaat het niet over behoeften, maar over "prestaties". De eerste drie leden van dit artikel luiden als volgt:

Artikel 11
1 De zorgverzekeraar heeft jegens zijn verzekerden een zorgplicht die zodanig wordt vormgegeven, dat de verzekerde bij wie het verzekerde risico zich voordoet, krachtens de zorgverzekering recht heeft op prestaties bestaande uit:
- - a. de zorg of de overige diensten waaraan hij behoefte heeft, of
- - b. vergoeding van de kosten van deze zorg of overige diensten alsmede, desgevraagd, activiteiten gericht op het verkrijgen van deze zorg of diensten.

2 In de zorgverzekering kunnen combinaties van verzekerde prestaties als bedoeld in het eerste lid, onderdeel a of b, worden opgenomen.

3 Bij algemene maatregel van bestuur worden de inhoud en omvang van de in het eerste lid bedoelde prestaties nader geregeld en kan voor bij die maatregel aan te wijzen vormen van zorg of overige diensten worden bepaald dat een deel van de kosten voor rekening van de verzekerde komt.

Aha. Hieruit volgt dat de minister bij algemene maatregel van bestuur (Amvb), dus zonder democratische tussenkomst van het parlement, zelf met willekeur kan bepalen wat als "zorg" wordt gedefinieerd, en wat niet.

Wat hier dus eigenlijk staat is dat een minister het volgende kan regelen: "Geachte burger, u dacht dat u recht had op wondverzorging in verband met uw doorligplek, maar de minister heeft bepaald dat dergelijke verzorging niet langer als zorg wordt beschouwd. Wij raden u aan om dit thuis zelf te regelen met uw naaste familieleden of andere mantelzorgers." Op deze manier wordt er van "zorg" een politiek begrip gemaakt.

Of toch niet? Even verderop lees ik in artikel 14, eerste lid van de Zorgverzekeringswet:
1. De vraag of een verzekerde behoefte heeft aan een bepaalde vorm van zorg of een bepaalde andere dienst, wordt slechts op basis van zorginhoudelijke criteria beantwoord.
Aha, maar wie bepaalt dan die "zorginhoudelijke criteria"? Het lijkt er toch op dat dat de artsen zouden moeten zijn die daadwerkelijk zorg verlenen aan patiënten.

Het tweede lid van artikel 14 wijst inderdaad op een beslissende rol van artsen (zowel medisch-specialisten als huisartsen), want daar staat:
2. De zorgverzekeraar neemt in zijn modelovereenkomst op dat geneeskundige zorg zoals medisch-specialisten die plegen te bieden, met uitzondering van acute zorg, slechts toegankelijk is na verwijzing door in die overeenkomst aangewezen categorieën zorgaanbieders, waaronder in ieder geval de huisarts.

Daar hebben we die "zorgaanbieders" weer. Wat de wet hier in ieder geval vastlegt, en wat de minister dus niet bij Amvb kan veranderen, is dat medisch-specialisten èn huisartsen beschouwd moeten worden als zorgaanbieders.

Tot hier gekomen in het door de wetgever gecreëerde labyrinth, weten we over de definitie van het begrip "zorgaanbieder" in essentie twee dingen:
-- huisartsen en medisch-specialisten zijn het in ieder geval wel;
-- voor de rest mag de minister met het begrip "zorgaanbieder" spelen, mits dit schriftelijk wordt vastgelegd in een Amvb.

De vraag rijst dus of er in een Amvb iets is vastgelegd over de status van commerciële testlaboratoria zoals die van Eurofins (bijvoorbeeld Clinical Diagnostics).

Als ik hiernaar op zoek ga, kom ik eerst uit bij het Besluit alcohol, drugs en geneesmiddelen in het verkeer (een Amvb). Interessant hieraan is dat dit de vraag oproept of een opsporingsambtenaar (bijvoorbeeld een bereden motoragent die een verkeersovertreder aanhoudt) beschouwd moet worden als een "zorgaanbieder" zodra hij die snelheidsduivel in een apparaatje laat blazen om diens alcoholpromillage vast te stellen. Dat is immers vergelijkbaar met het werk dat door een laboratorium zoals Clinical Diagnostics wordt gedaan. Het besluit spreekt hier echter consequent niet van een "zorgaanbieder", maar van een "opsporingsambtenaar".

Wel kan deze opsporingsambtenaar krachtens artikel 14 van deze Amvb een laboratorium inschakelen voor het onderzoeken van een bloedmonster van de snelheidsovertreder. Hierover zegt het betreffende besluit-artikel in het eerste en tweede lid:
1. De opsporingsambtenaar formuleert de opdracht voor de onderzoeker die het bloedonderzoek verricht.

2. De onderzoeker is verbonden aan een laboratorium. Als laboratorium komt alleen in aanmerking:

a. een laboratorium dat door de Raad voor Accreditatie is geaccrediteerd aan de hand van de algemene criteria voor het functioneren van beproevingslaboratoria, genoemd in de NEN-EN ISO/IEC 17025 of van criteria die daarmee vergelijkbaar zijn, en deskundig is op het terrein van de bio-analyse, dan wel

b. een laboratorium dat in het buitenland is gevestigd en door een met de Raad voor Accreditatie vergelijkbare instantie is geaccrediteerd aan de hand van criteria die vergelijkbaar zijn met de criteria, genoemd in de NEN-EN ISO/IEC 17025, en deskundig is op het terrein van de bio-analyse.

Het laboratorium wordt nergens in de Amvb aangemerkt als een "zorgaanbieder". Het wordt wel gekarakteriseerd als een "beproevingslaboratorim" en als een "geaccrediteerde" instelling.

Hieruit volgt dat een laboratorium dat lichaamsmonsters onderzoekt, in ieder geval niet per definitie aangemerkt kan worden als een "zorgaanbieder". Het werk van een laboratorium waarin bloed- of andere monsters van het menselijk lichaam worden onderzocht, hoeft helemaal geen verband te houden met zorgverlening, het kan ook verband houden met opsporing en handhaving.

Sterker nog, precies dezelfde uitslag van precies hetzelfde soort laboratoriumonderzoek kan in beginsel zowel voor zorgdoeleinden als voor opsporings- en handhavingsdoeleinden worden gebruikt. Soms gebeurt dat ook, bijvoorbeeld als een automobilist na een zwaar auto-ongeluk in een ziekenhuis is opgenomen en de uitslag van een bloedonderzoek (alcoholpromillage in het bloed) wordt gebruikt voor zowel het verlenen van optimale zorg, als voor het instellen van een strafrechtelijk onderzoek.

Ik zal niet verder gaan in dit labyrinth van regelingen.

Het lijkt me inmiddels duidelijk dat respect voor het privéleven en de persoonsgegevens van Nederlandse burgers niet een speelbal mag worden van ondoorzichtige wetgevende en ministeriële knutselarijen (gestapelde bouwsels van regels, gelardeerd met vrijbrieven voor willekeur). Burgers kunnen aan artikel 8 EVRM een rechtstreekse bescherming ontlenen voor hun privéleven. Tegen Nederlandse autoriteiten zou ik willen zeggen: "Cut the crap, start protecting your citizens. Now."

Hoe dat kan? Hiervoor verwijs ik graag naar een bijdrage op een andere thread over ditzelfde onderwerp:

Gewoon weer de interpretatie van de definitie van "zorgaanbieder" beperken tot diegenen die echt zorg verlenen aan patiënten. Dat zijn dus artsen en andere behandelaars die zelf met de patiënt een behandelingsovereenkomst hebben afgesloten (zoals bedoeld in de Wet Geneeskundige Behandelingsovereenkomst - WGBO), alsmede hun directe assistenten die zelf betrokken zijn bij de behandeling van de betreffende patiënt. In een ziekenhuis zijn dat bijvoorbeeld ook de verpleegdkundigen die zelf aan het bed van de betreffende patiënt staan.

Belangrijk is ook om te onderkennen dat het beginsel van dataminimalisatie (artikel 5, eerste lid AVG) vereist dat een verwerkingsverantwoordelijke (bijvoorbeeld een arts) niet onnodig veel data laat verwerken door "verwerkers" (bijvoorbeeld een lab).

Er is dus niet eens een wetswijziging nodig om weer verstandig met persoonsgegevens van patiënten om te gaan en hun (medische en andere) privacy te respecteren. Het gebruik van het gezonde verstand is genoeg. Want dat leidt tot een gezonde interpretatie van bestaande wetgeving, met respect voor het medisch beroepsgeheim en de medische privacy.

Maar allerlei partijen (van artsen die hun beroepsgeheim te grabbel hebben gegooid tot toezichthouders en bestuurders) hebben er nu belang bij om te doen alsof een wetswijziging nodig zou zijn om het goed te regelen. Want dan kunnen ze hun eigen verantwoordelijkheid ontkennen en de schuld leggen bij "wetgeving uit het verleden".

Bron: https://www.security.nl/posting/902237/ (26-08-2025 om 14:15 uur)

M.J.
Conclusie: Het is heel complex.

Lang betoog, maar volgens de wet moeten medische gegevens uitgewisseld worden dmv het BSN nummer. Of dat nu verstandig is vanuit het privacy standpunt is een andere discussie die je post.
29-08-2025, 22:32 door Anoniem
Vreemd. Ik heb een uitnodigingsbrief van Bevolkingsonderzoek Nederland ontvangen. Daar staat niets over RIVM. Niet in het verzendadres, niet in het retouradres. De brief is ondertekend door: "Elza den Hertog, Raad van Bestuur, Bevolkingsonderzoek Nederland".

In de folder erbij staat ook niets over RIVM.
Waarom zouden ze dat allemaal in de uitnodigingsbrief moeten zetten? Voor de volledigheid? Is niet nodig. Het staat allemaal op hun website (voor degenen die er meer van willen weten).
De uitnodigingsbrief bevat alle informatie die nodig is om aan het onderzoek mee te kunnen doen (en informatie over wat je moet doen als je geen uitnodigingsbrieven meer wilt ontvangen).
Dat is voldoende.
Betekent dit dat Bevolkingsonderzoek Nederland alle geadresseerden voorliegt door geheim te houden dat de afzender eigenlijk het RIVM is?
De afzender is Bevolkingsonderzoek Nederland dus dat is correct.
Het is alleen een uitvoeringsorganisatie.
Van hun website:

Over ons:
"Bevolkingsonderzoek Nederland is verantwoordelijk voor de uitvoering van de bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker. Het Ministerie van VWS is opdrachtgever en het Centrum voor Bevolkingsonderzoek van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM/CvB) is verantwoordelijk voor de regie en subsidieverlening van de bevolkingsonderzoeken. Bevolkingsonderzoek Nederland verzorgt de uitvoering in samenwerking met haar ketenpartners, zoals de huisartsen en de ziekenhuizen met als doel kanker in een vroeg stadium op te sporen." (eigen vetdruk en schuindruk)
https://www.bevolkingsonderzoeknederland.nl/over-ons/

Waar het Centrum voor Bevolkingsonderzoek precies in de hiërarchie thuishoort is te vinden in het volgende organogram van RIVM, namelijk onder: "Preventieprogramma’s en opschaling voor de Publieke Gezondheid".
https://www.rivm.nl/sites/default/files/2024-12/Organogram_RIVM_161224_TG.pdf

Of is de Raad van Bestuur van "Bevolkingsonderzoek Nederland" eigenlijk de Raad van Bestuur RIVM?
Natuurlijk niet want het zijn twee aparte organisaties (zo te zien heeft het RIVM géén Raad van Bestuur).
Met andere woorden: hetzelfde RIVM dat tijdens de coronacrisis van alles riep maar geen transparantie gaf, onzinnige modellen opstelde en aan misleidende rapportage deed over statistische uitkomsten?
Ja, het is wel datzelfde RIVM.
29-08-2025, 23:01 door Anoniem
Door Anoniem: [...]
Conclusie:
Het uitvoerende laboratorium heeft recht op het verwerken van het BSN, maar alleen voor zover dit noodzakelijk is voor de uitvoering van het bevolkingsonderzoek en in overeenstemming met de Wbsn-z en de AVG. Als je specifieke zorgen hebt over de verwerking van jouw BSN, kun je contact opnemen met Bevolkingsonderzoek Nederland via www.bevolkingsonderzoeknederland.nl voor meer informatie over hun privacybeleid of de verwerkersovereenkomsten met laboratoria.

Maar niet alleen het BSN, maar ook geboortedatum en persoonsgegevens werden gedeeld. Was dit noodzakelijk?
Een persoon is bij het Bevolkingsonderzoek Nederland alherleidbaar dmv dat BSN nummer. Dus waarom moet het lab het dan ook nog extra verwerken.

Welke wet/regels regelen dat dan in dit specifieke geval?
29-08-2025, 23:13 door Anoniem
Door Tintin and Milou:
Door Anoniem:
Door Tintin and Milou:
Door Anoniem:
Het datalek bij Bevolkingsonderzoek Nederland is veel groter dan in eerste instantie gemeld. Criminelen hebben bij het medische lab Clinical Diagnostics de gegevens van zeker 715.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker gestolen. [....]

"De hoeveelheid gelekte data is schokkend. En dat we niet kunnen uitsluiten dat het een nog grotere groep betreft, komt daar nog eens bovenop. Wij vinden het verschrikkelijk dat dit is gebeurd en ik kan mij voorstellen dat mensen willen weten hoe dit heeft kunnen gebeuren. Datzelfde geldt voor ons. De vragen die verontruste mensen hebben, moeten worden beantwoord. We willen niet dat er straks opnieuw een onaangename mededeling komt over meer lekken", aldus Elza den Hertog van Bevolkingsonderzoek Nederland over de reden om alle vrouwen een brief te sturen.

Beste Elza den Hertog, hoe dit heeft kunnen gebeuren, is uitermate simpel.
Omdat dit wettelijk is vastgelegd, dat medische gegevens uitgewisseld worden met het BSN.,

Jullie van Bevolkingsonderzoek Nederland hebben die persoonsgegevens naar verschillende testlabs gestuurd, die geen zorgaanbieders zijn, maar testlabs.
Leuke gedachte, maar ze zijn gewoon een zorgaanbieder, maar ondanks dat, medische gegevens worden uitgewisseld met je BSN.



Dat jullie het nu "verschrikkelijk" vinden wat er is gebeurd, maakt op mij héél weinig indruk. Om precies te zijn: geen indruk.
Je post maakt ook weinig indruk bij Elza.
Omdat het:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.
het is alleen niet de wet, maar veel meer. De hele uitwisseling van (medische) data moet je hierop aanpassen. Dat is niet even een wet aanpassen, want je zal eerst de onderliggende architectuur moeten bedenken, voordat je een goede wet kan verzitten.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Dat klopt, echter al zou je het BSN veranderen naar een "zorgid", dan los je maar een klein gedeelte van het lek op.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.
Het kost alleen jaren en zeker miljoenen, misschien een miljard. Het is niet even een wet maken. Vergeet niet wat je aan applicaties moet veranderen, die nu uitwisselingen doen, huidige data migreren.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.
Omdat je eerst goed inzicht moet hebben hoe alles aan elkaar gekoppeld is. Voorbeeld, een lab moet bijvoorbeeld declaraties versturen, dus moet weten bij welke zorgverzekering je nu zit. Moet misschien data doorsturen naar een vervolg lab voor verder onderzoek. Hier zal je dus allemaal wat op moeten bedenken. Een lab zou je ook direct een terug koppeling kunnen geven, moet je gegevens kunnen aanleveren voor een second opinion. Waarbij de aanvrager misschien ook niet meer bestaat.
Je moet iets hebben om fraude te detecteren, maar ook om deze aan te pakken (fraude register).
Ook nog een systeem maken waarmee je goed en veilig kan inloggen, zoals we nu met digid doen.

Je zou een zorgid kunnen bedenken (nog afgezien van de complexiteit), maar dat lost alleen je BSN nummer op met de huidige wetgeving. Dus minimaal winst, tegen hoge kosten, doorlooptijd en risico's.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Dat mag je vinden, of je weet te weinig van het systeem af?
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Ze zijn een onderdeel in je medische diagnose, dus een onderdeel van de zorgverlening. Bij een bloedonderzoek, declareren ze bijvoorbeeld ook direct je zorgverzekering.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.
Eens, maar dat zou misschien ook kunnen, omdat vele eigenlijk te weinig weten op dit onderwerp, maar wel een mening hebben.

Dat zien we bij meer onderwerpen voorbij komen. Klimaatverandering, Covid maar we kunnen het ook op de energietransitie doen. Iedereen heeft er een mening over, maar weinig hebben maar echt goede inhoudelijke kennis.
Ik ben hier ook zeker geen specialist is, maar ondertussen wel de afgelopen 10 jaar veel met zorg te maken gehad en wat daarbij komt kijken.

Dus, omdat de wetgever en de uitvoerende instanties geblunderd hebben bij het ontwerp en de opzet, moeten burgers nu maar slikken dat de zorgsector hun data niet veilig kan verwerken, omdat het (nu opeens) te duur en complex is om aan te passen. Omdat de opzet niet flexibel genoeg is, om aan te passen zonder "extreem" hoge kosten.

Dat is geen oplossing, maar een excuus om niets te hoeven doen.
Een bedrijf zou met zo'n antwoord failliet gaan.

Laat de overheid maar een OPT-IN aanbieden, zodat burgers zelf kunnen bepalen welk risico zij voor lief willen nemen:
Data lekkage in de zorgsector of slechte diagnoses.


[s]
Hebben de organisaties in de zorgsector hun faxen nog ergens in de kast staan?
Dan moeten ze maar overstappen op papieren dossiers.
Tot iemand wel met een goed, veilig en flexibel ontwerp en ondersteunende set software voor een betaalbare prijs kan zorgen.
De onkundige verantwoordelijken voor de huidige wertgeving, ontwerp en bouw van de zorg-systemen zijn daar blijkbaar niet toe in staat.
[/s]
29-08-2025, 23:16 door Anoniem
Door Anoniem: De verplichting voor het gebruik van het Burgerservicenummer (BSN) bij bevolkingsonderzoeken, zoals die uitgevoerd door Bevolkingsonderzoek Nederland, is vastgelegd in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z).

Dat is verouderde informatie, want die wet is verlopen en gepasseerd door andere, nieuwere wet- en regelgeving:

Wet gebruik burgerservicenummer in de zorg
Geraadpleegd op 29-08-2025.
Geldend van 01-01-2016 t/m 30-06-2017

https://wetten.overheid.nl/BWBR0023864/2016-01-01/

Ik laat het aan de in ICT-recht gespecialiseerde juristen over om uit te zoeken waar het BSN in laboratoria onder valt.
29-08-2025, 23:43 door Anoniem
Door Anoniem:
Door EersteEnigeEchte M.J. - EEEMJ:
Door Anoniem:
Door Tintin and Milou:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.

Eens met Anoniem. Wat betreft de telkens door Tintin and Milou herhaalde bewering dat "medische gegevens verplicht uitgewisseld worden met een BSN", dat staat niet als zodanig in de wet (de Wabvpz - Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg). Daar staat namelijk in artikel 9, eerste lid:

[....]

M.J.
Conclusie: Het is heel complex.

Lang betoog, maar volgens de wet moeten medische gegevens uitgewisseld worden dmv het BSN nummer. Of dat nu verstandig is vanuit het privacy standpunt is een andere discussie die je post.
Kun je het wetsartikel waar dat staat dan ff quoten? Met vermelding van welke wet? MJ quote teminste alles.
29-08-2025, 23:45 door Anoniem
Jaja EHDS, kom er maar bij, onze polici zijn toch te stom om dezelfde fout niet nog een keer te maken!
Door EersteEnigeEchte M.J. - EEEMJ op 29-08-2025 om 17:34 uur: (...)

Tot hier gekomen in het door de wetgever gecreëerde labyrinth, weten we over de definitie van het begrip "zorgaanbieder" in essentie twee dingen:
-- huisartsen en medisch-specialisten zijn het in ieder geval wel;
-- voor de rest mag de minister met het begrip "zorgaanbieder" spelen, mits dit schriftelijk wordt vastgelegd in een Amvb.

De vraag rijst dus of er in een Amvb iets is vastgelegd over de status van commerciële testlaboratoria zoals die van Eurofins (bijvoorbeeld Clinical Diagnostics).

(...)

M.J.

Er is voor zover ik kan zien niet in enige Amvb vastgelegd dat er een plicht zou zijn om BSN-nummers te laten verwerken door testlaboratoria.

Daarop reageert @Anoniem op 29-08-2025 om 19:49 uur met een heel ander betoog (dat mij een beetje doet denken aan een door AI gegenereerde tekst, maar goed, misschien kan die @Anoniem daar nog duidelijkheid over geven). In dat andere betoog verwijst @Anoniem naar de Wet op het burgerservicenummer in de zorg (Wbsn-z):

(...) Het uitvoerende laboratorium dat betrokken is bij het bevolkingsonderzoek heeft in principe recht op het verwerken van het Burgerservicenummer (BSN) van een deelnemer, maar dit is gebonden aan strikte voorwaarden zoals vastgelegd in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) en de Algemene Verordening Gegevensbescherming (AVG).
Uitleg:

Wettelijke grondslag (Wbsn-z):

Volgens de Wbsn-z mogen zorgverleners, waaronder laboratoria die in opdracht van Bevolkingsonderzoek Nederland werken, het BSN verwerken voor zover dit noodzakelijk is voor de uitvoering van hun taken. (...)

@Anoniem claimt hier dat een laboratorium dat een opdracht van Bevolkingsonderzoek Nederland uitvoert, het "recht" zou hebben om het BSN-nummer van bevolkingsonderzoeksdeelnemers te verwerken. Daarmee verandert @Anoniem het vraagstuk. Mijn betoog ging over het vraagstuk of er een wettelijke plicht bestaat om het BSN-nummer naar het laboratorium te sturen.

Als het laboratorium zelf geen zorgaanbieder is, en niet meer is dan een verwerker die in opdracht van een zorgaanbieder iets doet, dan is er niet zo'n plicht (en trouwens ook niet zo'n recht van het laboratorium, zolang dat niet is opgenomen in de verwerkersovereenkomst). Tenzij iemand nog met nieuwe wetgeving (incl. een eventuele Amvb) op de proppen komt waarin een dergelijke plicht is opgenomen. In dat geval hoor ik het graag, met een specifieke verwijzing (naam wet of Amvb plus artikelnummer).

De Wbsn-z, waarnaar @Anoniem verwijst, schept verplichtingen voor zorgaanbieders m.b.t. registratie van het BSN-nummer. Daarom ben ik in mijn betoog ingegaan op de vraag of zo'n testlaboratorium een zorgaanbieder is, of niet. Mijn voorlopige conclusie is dat zo'n testlaboratorium geen zorgaanbieder is, behoudens tegenbewijs.

Op 29-08-2025 om 21:37 uur reageert (een andere?) @Anoniem als volgt op mijn betoog:

Conclusie: Het is heel complex.

Lang betoog, maar volgens de wet moeten medische gegevens uitgewisseld worden dmv het BSN nummer. Of dat nu verstandig is vanuit het privacy standpunt is een andere discussie die je post.

Waar staat dan dat "medische gegeens uitgewisseld moeten worden d.m.v. het BSN nummer"? Ik zie dat nergens staan. Niet in de Wabvpz en ook niet in de Wbsn-z. In die wetten staat namelijk niets over een verplichting die ziet op "medische gegevens", maar alleen over verplichtingen die zien op (het handelen van) "zorgaanbieders".

Ik mag bijvoorbeeld prima mijn medische gegevens of die van een familielid (met diens toestemming) delen met mijn buurman, als ik daar zin in heb, zonder aan die buurman het BSN-nummer van de betrokkene te verstrekken. Waarom mag ik dat? Omdat ik in dat kader geen "zorgaanbieder" ben, en mijn buurman ook niet.

M.J.
30-08-2025, 09:32 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 30-08-2025, 09:42
Door Anoniem:
Door Anoniem: De verplichting voor het gebruik van het Burgerservicenummer (BSN) bij bevolkingsonderzoeken, zoals die uitgevoerd door Bevolkingsonderzoek Nederland, is vastgelegd in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z).

Dat is verouderde informatie, want die wet is verlopen en gepasseerd door andere, nieuwere wet- en regelgeving:

Wet gebruik burgerservicenummer in de zorg
Geraadpleegd op 29-08-2025.
Geldend van 01-01-2016 t/m 30-06-2017

https://wetten.overheid.nl/BWBR0023864/2016-01-01/

Ik laat het aan de in ICT-recht gespecialiseerde juristen over om uit te zoeken waar het BSN in laboratoria onder valt.

Oeps en dank! Dat was me in mijn bijdrage van vannacht (30-08-2025 om 00:30 uur) ontgaan. Affijn, het ondersteunt mijn betoog. M.J.

P.S. Als mijn vermoeden klopt dat die tekst van @Anoniem met verwijzing naar de Wbsn-z is gegenereerd door AI, dan laat dit één van de risico's zien die met (geloof in) AI-teksten gepaard gaan. "AI" is tot op heden niet werkelijk intelligent, dus kan in voorkomend geval zomaar een verouderde wet, die dus niet langer geldig is, opvoeren als geldige wet.
30-08-2025, 16:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door EersteEnigeEchte M.J. - EEEMJ:
Door Anoniem:
Door Tintin and Milou:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.

Eens met Anoniem. Wat betreft de telkens door Tintin and Milou herhaalde bewering dat "medische gegevens verplicht uitgewisseld worden met een BSN", dat staat niet als zodanig in de wet (de Wabvpz - Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg). Daar staat namelijk in artikel 9, eerste lid:

[....]

M.J.
Conclusie: Het is heel complex.

Lang betoog, maar volgens de wet moeten medische gegevens uitgewisseld worden dmv het BSN nummer. Of dat nu verstandig is vanuit het privacy standpunt is een andere discussie die je post.
Kun je het wetsartikel waar dat staat dan ff quoten? Met vermelding van welke wet? MJ quote teminste alles.

Natuurlijk:

Artikel 13a van de Wabvpz: Dit artikel stelt dat een zorgaanbieder bij het verstrekken van persoonsgegevens aan een andere zorgaanbieder, een indicatieorgaan of een zorgverzekeraar steeds het burgerservicenummer van de cliënt moet vermelden.

En ga, een testlab wordt over het algemeen beschouwd als een zorgaanbieder.

Deze classificatie is gebaseerd op de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). De Wkkgz hanteert een brede definitie van "zorgaanbieder". Onder deze wet valt iedereen die "zorg" verleent, en dat is niet beperkt tot alleen artsen, verpleegkundigen of ziekenhuizen. De wet definieert een zorgaanbieder als:

* een instelling die bedrijfsmatig zorg verleent of doet verlenen;
* een solistisch werkende zorgverlener.

Aangezien een testlab medische diagnostische diensten levert, valt het onder de brede definitie van "zorg". Denk hierbij aan bloedonderzoek, microbiologisch onderzoek, of pathologie. Daarom worden laboratoria en diagnostische centra als zorgaanbieders gezien en moeten zij zich houden aan de verplichtingen van de Wkkgz.
30-08-2025, 16:11 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ:
Door Anoniem:
Door Anoniem: De verplichting voor het gebruik van het Burgerservicenummer (BSN) bij bevolkingsonderzoeken, zoals die uitgevoerd door Bevolkingsonderzoek Nederland, is vastgelegd in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z).

Dat is verouderde informatie, want die wet is verlopen en gepasseerd door andere, nieuwere wet- en regelgeving:

Wet gebruik burgerservicenummer in de zorg
Geraadpleegd op 29-08-2025.
Geldend van 01-01-2016 t/m 30-06-2017

https://wetten.overheid.nl/BWBR0023864/2016-01-01/

Ik laat het aan de in ICT-recht gespecialiseerde juristen over om uit te zoeken waar het BSN in laboratoria onder valt.

Oeps en dank! Dat was me in mijn bijdrage van vannacht (30-08-2025 om 00:30 uur) ontgaan. Affijn, het ondersteunt mijn betoog. M.J.

P.S. Als mijn vermoeden klopt dat die tekst van @Anoniem met verwijzing naar de Wbsn-z is gegenereerd door AI, dan laat dit één van de risico's zien die met (geloof in) AI-teksten gepaard gaan. "AI" is tot op heden niet werkelijk intelligent, dus kan in voorkomend geval zomaar een verouderde wet, die dus niet langer geldig is, opvoeren als geldige wet.

Het is waar dat de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) is vervallen. Echter, de regels over het verplichte gebruik van het BSN in de zorg zijn niet verdwenen, maar zijn overgenomen en aangescherpt in een nieuwe wet.

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
Sinds 1 juli 2017 zijn de bepalingen uit de Wbsn-z overgegaan in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Deze wet regelt onder meer de verwerking van persoonsgegevens en de uitwisseling van informatie via elektronische patiëntdossiers in de zorg.

Artikel 13a van de Wabvpz verplicht zorgaanbieders, waaronder ook laboratoria en de organisaties die bevolkingsonderzoeken uitvoeren (zoals Bevolkingsonderzoek Nederland), om het BSN te gebruiken bij de gegevensuitwisseling.

De redenering dat de Wbsn-z is verlopen klopt dus, maar de conclusie dat het BSN-gebruik in laboratoria daardoor niet meer verplicht is, is onjuist. De plicht is simpelweg overgegaan naar de Wabvpz.
30-08-2025, 16:12 door Anoniem
Door Anoniem:
Door Anoniem: [...]
Conclusie:
Het uitvoerende laboratorium heeft recht op het verwerken van het BSN, maar alleen voor zover dit noodzakelijk is voor de uitvoering van het bevolkingsonderzoek en in overeenstemming met de Wbsn-z en de AVG. Als je specifieke zorgen hebt over de verwerking van jouw BSN, kun je contact opnemen met Bevolkingsonderzoek Nederland via www.bevolkingsonderzoeknederland.nl voor meer informatie over hun privacybeleid of de verwerkersovereenkomsten met laboratoria.

Maar niet alleen het BSN, maar ook geboortedatum en persoonsgegevens werden gedeeld. Was dit noodzakelijk?
Een persoon is bij het Bevolkingsonderzoek Nederland alherleidbaar dmv dat BSN nummer. Dus waarom moet het lab het dan ook nog extra verwerken.

Welke wet/regels regelen dat dan in dit specifieke geval?
Artikel 13a van de Wabvpz
30-08-2025, 16:16 door Anoniem
Door Anoniem:
Een hoop tekst volledig gebaseerd op een eigen interpretatie van de wet.
Daar is MJ ook heel goed in.


Conclusie:
Het uitvoerende laboratorium heeft recht op het verwerken van het BSN, maar alleen voor zover dit noodzakelijk is voor de uitvoering van het bevolkingsonderzoek en in overeenstemming met de Wbsn-z en de AVG. Als je specifieke zorgen hebt over de verwerking van jouw BSN, kun je contact opnemen met Bevolkingsonderzoek Nederland via www.bevolkingsonderzoeknederland.nl voor meer informatie over hun privacybeleid of de verwerkersovereenkomsten met laboratoria.
Dit is de enige eind conclussie.

Of de wet nu aangepast moet worden of niet helemaal perfect is, staat daar los van.

De wet verplicht een laboratorium nu om je BSN te verwerken.
30-08-2025, 17:14 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door EersteEnigeEchte M.J. - EEEMJ:
Door Anoniem:
Door Tintin and Milou:
1: Medische gegevens verplicht uitgewisseld worden met een BSN.
2: Het is een zorgaanbieder, en onderdeel van je medischebehandeling.

Dan moeten ze de wet maar aanpassen. Dat doen politici wel vaker om hun eigen denk-fouten toe te dekken.

Je continue verontschuldigingen dat het BSN nu verplicht is, lost het lek-probleem niet op. BSN, persoonsgegevens en medische gegevens werden gecombineerd uitgewisseld EN zijn NU gestolen.
Als dat allemaal wettelijk moet, dan zit daar de fout en moet dat aangepast worden. Zo snel mogelijk. Liefst gisteren nog.

Ik leest in jouw posts keer op keer dat het wettelijk moet en dat je voorgestelde aanpassingen moeilijk en complex vindt.
Maar je komt zelf niet met alternatieve oplossingen die de data en de datauitswisseling wel veilger maken of burgers/patienten beter beschermen tegen dit soort misstanden.
Dan kan er pas een inhoudelijk discussie met je gevoerd worden.

Ook dat een lab een zorgverlener zou zijn, is een ontwerpfout in het systeem.
Zij hebben geen direct contact met een patient. In dat opzicht zijn ze een onderaannemer.
Over complexiteiten in een systeem gesproken. Dat dit al verwarring in de discussie oplevert, zegt al genoeg.

Eens met Anoniem. Wat betreft de telkens door Tintin and Milou herhaalde bewering dat "medische gegevens verplicht uitgewisseld worden met een BSN", dat staat niet als zodanig in de wet (de Wabvpz - Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg). Daar staat namelijk in artikel 9, eerste lid:

[....]

M.J.
Conclusie: Het is heel complex.

Lang betoog, maar volgens de wet moeten medische gegevens uitgewisseld worden dmv het BSN nummer. Of dat nu verstandig is vanuit het privacy standpunt is een andere discussie die je post.
Kun je het wetsartikel waar dat staat dan ff quoten? Met vermelding van welke wet? MJ quote teminste alles.

Natuurlijk:

Artikel 13a van de Wabvpz: Dit artikel stelt dat een zorgaanbieder bij het verstrekken van persoonsgegevens aan een andere zorgaanbieder, een indicatieorgaan of een zorgverzekeraar steeds het burgerservicenummer van de cliënt moet vermelden.

En ga, een testlab wordt over het algemeen beschouwd als een zorgaanbieder.

Nee, dat een testlab "over het algemeen beschouwd wordt als een zorgaanbieder", is alleen een bewering van jou. Het staat niet in een wet. Het kan daardoor geen wettelijke grondslag opleveren voor het verstrekken van persoonsgegevens aan een testlab.

Deze classificatie is gebaseerd op de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). De Wkkgz hanteert een brede definitie van "zorgaanbieder". Onder deze wet valt iedereen die "zorg" verleent, en dat is niet beperkt tot alleen artsen, verpleegkundigen of ziekenhuizen. De wet definieert een zorgaanbieder als:

* een instelling die bedrijfsmatig zorg verleent of doet verlenen;
* een solistisch werkende zorgverlener.'

Dat heeft MJ al besproken (29-8-2025, 17.34). Een laboratorium zou een instelling moeten zijn. Maar het moet dan wel een instelling zijn die zorg verleent. Dat doet een laboratorium niet. Jij gaat niet in op wat MJ daarover zegt.

Aangezien een testlab medische diagnostische diensten levert, valt het onder de brede definitie van "zorg". Denk hierbij aan bloedonderzoek, microbiologisch onderzoek, of pathologie. Daarom worden laboratoria en diagnostische centra als zorgaanbieders gezien en moeten zij zich houden aan de verplichtingen van de Wkkgz.

Nee, zo staat het niet gedefinieerd in de wet. Jij roept dat alleen. "Zorg" wordt in de wet anders gedefinieerd, namelijk als dat wat professionele artsen vinden dat zorg is. Artsen verlenen zorg en sluiten daarvoor een behandelingsovereenkomst met patiënten af. Dat doet een laboratorium niet. Het stellen van een diagnose hoort wel bij zorg. Dat doen artsen. Het leveren van een "diagnostische dienst" is niet hetzelfde als het stellen van een diagnose. Het leveren van een diagnostische dienst kan namelijk ook zijn het bij elkaar harken van informatie over een patiënt door een familielid of een kennis, om een arts te helpen. Of het testen van een uitstrijkje en dan een uitslag aan de arts sturen door een laboratorium.

Jij blijft maar in een cirkeltje draaien waarin je jouw claim herhaalt dat een laboratorium een zorgaanbieder is. Het zou prettig zijn als je eens met onderbouwing kwam en niet alleen maar telkens opnieuw met die loze bewering.
30-08-2025, 17:41 door Anoniem
De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

Hoofdstuk 2. Gebruik burgerservicenummer (Artikelen 4 t/m 13)

Wijziging(en) zonder datum inwerkingtreding aanwezig. Zie het wijzigingenoverzicht. [1]
Geraadpleegd op 30-08-2025.
Geldend van 05-07-2025 t/m heden

https://wetten.overheid.nl/BWBR0023864/2025-07-05#Hoofdstuk2

Op 1 juli 2017 is de voorheen "Wet gebruik burgerservicenummer in de zorg" (Wbsn-z) uitgebreid en hernoemd naar "Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg" (Wabvpz). Sindsdien had de wet wijzigingen.

[1] Wijzigingenoverzicht voor de regeling
https://wetten.overheid.nl/BWBR0023864/2025-07-05/0/informatie#tab-wijzigingenoverzicht
30-08-2025, 18:38 door Anoniem
Door Anoniem:
Door Anoniem:
Een hoop tekst volledig gebaseerd op een eigen interpretatie van de wet.
Daar is MJ ook heel goed in.


Conclusie:
Het uitvoerende laboratorium heeft recht op het verwerken van het BSN, maar alleen voor zover dit noodzakelijk is voor de uitvoering van het bevolkingsonderzoek en in overeenstemming met de Wbsn-z en de AVG. Als je specifieke zorgen hebt over de verwerking van jouw BSN, kun je contact opnemen met Bevolkingsonderzoek Nederland via www.bevolkingsonderzoeknederland.nl voor meer informatie over hun privacybeleid of de verwerkersovereenkomsten met laboratoria.
Dit is de enige eind conclussie.

Of de wet nu aangepast moet worden of niet helemaal perfect is, staat daar los van.

De wet verplicht een laboratorium nu om je BSN te verwerken.

Maar ook de overige personalia zoals naam, adres, en geboortedatum?
Staat dat ook in die wet?
01-09-2025, 10:50 door gbrugman
"Het Eurofins-lab, waar persoonsgegevens van honderdduizenden Nederlanders werden gestolen, was niet geaccrediteerd voor NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties
01-09-2025, 11:46 door Anoniem
Door gbrugman: "Het Eurofins-lab, waar persoonsgegevens van honderdduizenden Nederlanders werden gestolen, was niet geaccrediteerd voor NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties

Speciaal voor de zorg is er NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties. Het lab geeft zelf heel duidelijk aan dat het niet geaccrediteerd is voor die norm, ofschoon het wel zegt te werken aan de implementatie ervan.

https://www.computable.nl/2025/08/22/databeveiliging-in-de-zorg-nen-7510-en-de-lab-hack/
01-09-2025, 13:55 door Anoniem
Door gbrugman: "Het Eurofins-lab, waar persoonsgegevens van honderdduizenden Nederlanders werden gestolen, was niet geaccrediteerd voor NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties
Door Anoniem:
Door gbrugman: "Het Eurofins-lab, waar persoonsgegevens van honderdduizenden Nederlanders werden gestolen, was niet geaccrediteerd voor NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties

Speciaal voor de zorg is er NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties. Het lab geeft zelf heel duidelijk aan dat het niet geaccrediteerd is voor die norm, ofschoon het wel zegt te werken aan de implementatie ervan.

https://www.computable.nl/2025/08/22/databeveiliging-in-de-zorg-nen-7510-en-de-lab-hack/

"Het lab meldt zelf dat het nog niet geaccrediteerd is voor NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg, en zegt bezig te zijn met implementatie daarvan."


Ze waren er dus blijkbaar wel mee bezig. De vraag is alleen, waar men stond in dit proces.
01-09-2025, 16:12 door Anoniem
De bijna obsessieve focus van sommige opiniemakers op dit forum, over het al dan niet gerechtvaardige gebruik van het burgerservicenummer door ziekenhuislaboratoria, leidt af van het werkelijke probleem: want ook los van dat nummer zijn namelijk de meest gevoelige persoons- en medische en locatie gegevens gestolen. Het werkelijk probleem is niet dat nummer, maar de deplorabele staat van de beveiliging van de medische dossiers binnen onze gezondheidszorg.
01-09-2025, 17:08 door Anoniem
Door Anoniem: De bijna obsessieve focus van sommige opiniemakers op dit forum, over het al dan niet gerechtvaardige gebruik van het burgerservicenummer door ziekenhuislaboratoria, leidt af van het werkelijke probleem: want ook los van dat nummer zijn namelijk de meest gevoelige persoons- en medische en locatie gegevens gestolen. Het werkelijk probleem is niet dat nummer, maar de deplorabele staat van de beveiliging van de medische dossiers binnen onze gezondheidszorg.

Als de persoons-data er niet was geweest (naam, gebortedatum, adres, etc) dan konden data die gelekt waren moeilijker of helemaal niet herleid worden naar en patient/burger. Dat is altijd nog beter dan het alleen maar (slecht) beveiligen van datasets of dossiers.
Het lab had genoeg moeten hebben aan een identifier die terug herleid kon worden tot de aanvragende zorgverlener (huisarts, ziekenhuis).
Tenzij de "dossiers" zelf niet op orde zijn... en er dus extra steekproef-controles uitgevoerd moeten worden door het lab of de patient wel de patient is. :-(
02-09-2025, 10:49 door Anoniem
Door Anoniem: Is er al iets bekend over hoe de toegang tot al die data is verkregen?

Nee. Hoe criminelen toegang tot het netwerk van Clinical Diagnostics konden krijgen is nog steeds niet bekendgemaakt.

Staatssecretaris: AP moet oordelen of Clinical Diagnostics datalek op tijd meldde
dinsdag 2 september 2025, 09:37 door Redactie

https://www.security.nl/posting/903225/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.