Kamervragen over oorzaak van gevoelige datadiefstal bij Clinical Diagnostics
In de Tweede Kamer zijn vragen aan demissionair staatssecretarissen Tielen van Volksgezondheid en Van Marum voor Digitalisering gesteld over de oorzaak van de gevoelige datadiefstal bij het medische laboratorium Clinical Diagnostics in Rijswijk. Daar werden gegevens buitgemaakt van 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker en patiënten van privéklinieken en huisartsen.
Begin augustus werd het datalek bekend. Hoe de aanvallers op systemen van Clinical Diagnostics konden inbreken is twee maanden later nog altijd niet bekendgemaakt. GroenLinks-PvdA heeft nu Kamervragen gesteld om opheldering te krijgen. "Is inmiddels duidelijk geworden hoe de hack en het datalek plaats hebben kunnen vinden? Zo ja, welke oorzaak lag daaraan ten grondslag en hoe gaat dit in de toekomst worden voorkomen? Zo nee, wanneer kan de Kamer de uitkomst van dat onderzoek verwachten?", wil Kamerlid Kathmann van de bewindspersonen weten.
Tielen en Van Marum moeten ook duidelijk maken of het kabinet aanvullende beveiligingsmaatregelen gaat invoeren om de tijd totdat de behandeling van de Cyberbeveiligingswet is afgerond te overbruggen. "Zo ja, welke maatregelen zijn dat? Zo nee, hoe gaat u ervoor zorgen dat het risico op datalekken zoals deze zo klein mogelijk wordt?", vraagt Kathmann verder.
"Heeft u collega-bewindspersonen op de hoogte gesteld van deze casus en van het belang van gegevensbeveiliging om dergelijke incidenten buiten de zorg ook te voorkomen? Zo nee, waarom niet? Zo ja, heeft het kabinet een plan gemaakt om bij alle departementen en hun ketenpartners het risico op datalekken te verminderen?", wil het GroenLinks-PvdA-Kamerlid daarnaast weten. De Kamervragen moeten binnen drie weken zijn beantwoord.
Reacties (19)
10-10-2025, 13:37 door
Anoniem
Ik vind het nogal wat dat de 2e kamer (met zeer weinig kennis op IT gebied) wil weten wat de oorzaak is van een hack bij een commercieel bedrijf. Ja, het commercieel bedrijf werd ingehuurd/ ingezet voor/ door de overheid en ja, de hack heeft grote gevolgen voor veel Nederlandse burgers.
Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
10-10-2025, 13:48 door
Anoniem
Gewoon verbieden dat zulke gedetailleerde data wordt gedeeld. Al op het niveau van de registreerder (de PC van de dokter) comprimeren tot macrocijfers, die niet meer tot de persoon te herleiden zijn. En dan wetenschappelijk onderzoek beperken tot spelen met macrodata.
Springt er dan één dataset uit, of tien, dan kun je altijd contact met die dokter opnemen of je meer mag weten. Wat je dan bij voorkeur door een andere dokter laat doen, want dan heb je twee beëdigden op één schaaltje.
Wat is er mis met voorlopige conclusies uit steekproeven trekken, trouwens?
Veel te veel in detail willen weten is een hele goeie reden om aan jezelf te twijfelen!
Springt er dan één dataset uit, of tien, dan kun je altijd contact met die dokter opnemen of je meer mag weten. Wat je dan bij voorkeur door een andere dokter laat doen, want dan heb je twee beëdigden op één schaaltje.
Wat is er mis met voorlopige conclusies uit steekproeven trekken, trouwens?
Veel te veel in detail willen weten is een hele goeie reden om aan jezelf te twijfelen!
10-10-2025, 14:47 door
Anoniem
Door Anoniem: Ik vind het nogal wat dat de 2e kamer (met zeer weinig kennis op IT gebied) wil weten wat de oorzaak is van een hack bij een commercieel bedrijf. Ja, het commercieel bedrijf werd ingehuurd/ ingezet voor/ door de overheid en ja, de hack heeft grote gevolgen voor veel Nederlandse burgers.
Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
En wat als het antwoord is: 'weten we niet".Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
Dan kan de kamer juist wel verder gaan, in grijpen of wetten voorstellen.
Daar gaat het m.i. over hier.
10-10-2025, 15:29 door
Anoniem
Door Anoniem: Gewoon verbieden dat zulke gedetailleerde data wordt gedeeld. Al op het niveau van de registreerder (de PC van de dokter) comprimeren tot macrocijfers, die niet meer tot de persoon te herleiden zijn. En dan wetenschappelijk onderzoek beperken tot spelen met macrodata.
Bij bevolkingsonderzoeken gaat het niet om de pc van de dokter maar om een landelijke organisatie die het organiseert. Je krijgt een testsetje thuisgestuurd, neemt zelf volgens de instructies af wat voor dat onderzoek relevant is, en stuurt het resultaat naar een antwoordnummer. De uitslag van het onderzoek krijg je thuisgestuurd. Als dat niet goed is moet je er zelf mee naar de dokter stappen.Ik vermoed dat dat antwoordnummer op de retourenvelop waarmee je je resultaat terugstuurt rechtstreeks van het lab is dat het onderzoek uitvoert. Wat je afneemt mag namelijk niet te lang ongekoeld onderweg zijn, dus hoe minder handen waar het doorheen moet hoe beter. Ik vermoed ook dat dergelijke labs hoe dan ook al zijn ingericht op het zelf terugsturen van uitslagen, en dat ook daar de landelijke organisatie geen handelingen in verricht nu, waarom zouden ze zelf dingen gaan inrichten die al ingericht zijn. Het lijkt mij heel waarschijnlijk dat die landelijke organisatie zelf niets praktisch uitvoert maar alleen organiseert dat anderen dat doen.
Dan is het als ik me niet vergis ook nog zo dat je als deelnemende burger niet meer dan een goed/niet goed-antwoord terugkrijgt, en naar je huisarts stapt met het advies voor een vervolgonderzoek. Het lab of die landelijke organisatie weten niet wie je huisarts is en al helemaal niet wie de specialist zal zijn waar je naar doorverwezen wordt, dus de gedetailleerde uitslag zal bij het lab opgevraagd moeten worden. En hoe geven de huisarts of de specialist op om wie het gaat? Door een BSN door te geven. Dat zal de reden zijn dat het lab ook over BSN's beschikt.
Als je zo'n opzet wilt veranderen, en dat lab alleen over een eenmalige identificatie laat beschikken waar niet uit blijkt om wie het eigenlijk gaat, dan moet ergens anders de koppeling gelegd worden met de echte persoonsgegevens, zowel voor de ja/nee-uitslag aan de burger zelf als voor de gedetailleerde uitslag die een arts kan opvragen. De opdrachtgever is een landelijke organisatie. Die moet daar dan iets voor (laten) opzetten, en dan worden de gegevens al gauw verzameld op een centrale plek voor het hele land, terwijl ze nu over verschillende labs verdeeld worden. Oeps, als je het zo doet wordt het nog aantrekkelijker voor een aanvaller.
Ik weet echt niet of ik alle details goed heb, maar dat dit soort dingen onderdeel van het verhaal zijn daar kan je gif op innemen. Even "gewoon verbieden" of "gewoon <vul maar wat in>" roepen is geen oplossing, dat is een benadering waarmee het probleem alleen maar gierend nog veel verder uit de hand zou lopen als men het echt zo kort door de bocht zou aanpakken.
Onderschat dit soort dingen niet, de werkelijkheid is verrassend veel complexer als je dingen op die schaal organiseert dan wanneer je het voor een plaatselijke vereniging of zo doet, en zeker als je het goed wilt doen.
10-10-2025, 16:00 door
Anoniem
Door Anoniem:
Dan kan de kamer juist wel verder gaan, in grijpen of wetten voorstellen.
Daar gaat het m.i. over hier.
Door Anoniem: Ik vind het nogal wat dat de 2e kamer (met zeer weinig kennis op IT gebied) wil weten wat de oorzaak is van een hack bij een commercieel bedrijf. Ja, het commercieel bedrijf werd ingehuurd/ ingezet voor/ door de overheid en ja, de hack heeft grote gevolgen voor veel Nederlandse burgers.
Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
En wat als het antwoord is: 'weten we niet".Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
Dan kan de kamer juist wel verder gaan, in grijpen of wetten voorstellen.
Daar gaat het m.i. over hier.
Ja, maar ze vragen nu wat er voor maartegelen genomen zijn zodat dit specifiieke icident niet nog een keer gebeurt.
Maar er zijn vele wegen die naar Rome leiden. Criminelen nemen de volgenden keer wel een andere route. Die nog niet geblokeerd is.
Voorkomen is beter dan genezen.
Bv dataminimalisatie:
Ik hoor nog geen kamerlid over maatregelen/aanpassingen van wetten zodat persoonlijke data niet bij een onderaannemer belandt die die data helemaal niet nodig heeft. Idem vwb gebruik BSN-nummer.
Zij zijn de wetgever. Zij moeten de onderliggende (datamaximalisatie afdwingende) wetgeving aanpassen. Burgers en bedrijven kunnen dat niet.
Maar dan moeten ze de hand in eigen boezem steken. En dat doet pijn, Vooral tijdens verkiezingen.
10-10-2025, 16:18 door
Anoniem
Waarschijnlijk zijn hier onrechtmatig veel te veel gegevens uitgewisseld. Doelbinding mist. Dit kan verstrekkende gevolgen krijgen en een flinke boete.
10-10-2025, 17:02 door
Anoniem
Door Anoniem: Waarschijnlijk zijn hier onrechtmatig veel te veel gegevens uitgewisseld. Doelbinding mist. Dit kan verstrekkende gevolgen krijgen en een flinke boete.
En waarschijnlijk zullen "ze" zich wel kunnen verschuilen achter tegenstrijdige wetgeving.
Het is maar persoonlijke data van burgers/patienten,
Geen volksvertegenwoordiger of zorg-sector medewerker die daar slapeloze nachten van heeft.
Zachte heelmeersters, stinkende wonden. (pun intended)
10-10-2025, 17:42 door
Anoniem
Door Anoniem:
Ja, maar ze vragen nu wat er voor maartegelen genomen zijn zodat dit specifiieke icident niet nog een keer gebeurt.
Maar er zijn vele wegen die naar Rome leiden. Criminelen nemen de volgenden keer wel een andere route. Die nog niet geblokeerd is.
Voorkomen is beter dan genezen.
Bv dataminimalisatie:
Ik hoor nog geen kamerlid over maatregelen/aanpassingen van wetten zodat persoonlijke data niet bij een onderaannemer belandt die die data helemaal niet nodig heeft. Idem vwb gebruik BSN-nummer.
Zij zijn de wetgever. Zij moeten de onderliggende (datamaximalisatie afdwingende) wetgeving aanpassen. Burgers en bedrijven kunnen dat niet.
Maar dan moeten ze de hand in eigen boezem steken. En dat doet pijn, Vooral tijdens verkiezingen.
Waarschijnlijk omdat de kamer weet, hoe de zorgketen in elkaar zit, en dat eventueel dit aanpassen, zeer complex, tijdrovend en risicovol is?Ja, maar ze vragen nu wat er voor maartegelen genomen zijn zodat dit specifiieke icident niet nog een keer gebeurt.
Maar er zijn vele wegen die naar Rome leiden. Criminelen nemen de volgenden keer wel een andere route. Die nog niet geblokeerd is.
Voorkomen is beter dan genezen.
Bv dataminimalisatie:
Ik hoor nog geen kamerlid over maatregelen/aanpassingen van wetten zodat persoonlijke data niet bij een onderaannemer belandt die die data helemaal niet nodig heeft. Idem vwb gebruik BSN-nummer.
Zij zijn de wetgever. Zij moeten de onderliggende (datamaximalisatie afdwingende) wetgeving aanpassen. Burgers en bedrijven kunnen dat niet.
Maar dan moeten ze de hand in eigen boezem steken. En dat doet pijn, Vooral tijdens verkiezingen.
Een lab is trouwens ook geen onderaannemer, maar een onderdeel van je behandeling/onderzoeken.
10-10-2025, 17:42 door
Anoniem
Door Anoniem:
Ik vermoed dat dat antwoordnummer op de retourenvelop waarmee je je resultaat terugstuurt rechtstreeks van het lab is dat het onderzoek uitvoert. Wat je afneemt mag namelijk niet te lang ongekoeld onderweg zijn, dus hoe minder handen waar het doorheen moet hoe beter. Ik vermoed ook dat dergelijke labs hoe dan ook al zijn ingericht op het zelf terugsturen van uitslagen, en dat ook daar de landelijke organisatie geen handelingen in verricht nu, waarom zouden ze zelf dingen gaan inrichten die al ingericht zijn. Het lijkt mij heel waarschijnlijk dat die landelijke organisatie zelf niets praktisch uitvoert maar alleen organiseert dat anderen dat doen.
Dan is het als ik me niet vergis ook nog zo dat je als deelnemende burger niet meer dan een goed/niet goed-antwoord terugkrijgt, en naar je huisarts stapt met het advies voor een vervolgonderzoek. Het lab of die landelijke organisatie weten niet wie je huisarts is en al helemaal niet wie de specialist zal zijn waar je naar doorverwezen wordt, dus de gedetailleerde uitslag zal bij het lab opgevraagd moeten worden. En hoe geven de huisarts of de specialist op om wie het gaat? Door een BSN door te geven. Dat zal de reden zijn dat het lab ook over BSN's beschikt.
Als je zo'n opzet wilt veranderen, en dat lab alleen over een eenmalige identificatie laat beschikken waar niet uit blijkt om wie het eigenlijk gaat, dan moet ergens anders de koppeling gelegd worden met de echte persoonsgegevens, zowel voor de ja/nee-uitslag aan de burger zelf als voor de gedetailleerde uitslag die een arts kan opvragen. De opdrachtgever is een landelijke organisatie. Die moet daar dan iets voor (laten) opzetten, en dan worden de gegevens al gauw verzameld op een centrale plek voor het hele land, terwijl ze nu over verschillende labs verdeeld worden. Oeps, als je het zo doet wordt het nog aantrekkelijker voor een aanvaller.
Ik weet echt niet of ik alle details goed heb, maar dat dit soort dingen onderdeel van het verhaal zijn daar kan je gif op innemen. Even "gewoon verbieden" of "gewoon <vul maar wat in>" roepen is geen oplossing, dat is een benadering waarmee het probleem alleen maar gierend nog veel verder uit de hand zou lopen als men het echt zo kort door de bocht zou aanpakken.
Onderschat dit soort dingen niet, de werkelijkheid is verrassend veel complexer als je dingen op die schaal organiseert dan wanneer je het voor een plaatselijke vereniging of zo doet, en zeker als je het goed wilt doen.
Kijk, eindelijk iemand die het ook snapt hoe complex zorgketens zijn.Door Anoniem: Gewoon verbieden dat zulke gedetailleerde data wordt gedeeld. Al op het niveau van de registreerder (de PC van de dokter) comprimeren tot macrocijfers, die niet meer tot de persoon te herleiden zijn. En dan wetenschappelijk onderzoek beperken tot spelen met macrodata.
Bij bevolkingsonderzoeken gaat het niet om de pc van de dokter maar om een landelijke organisatie die het organiseert. Je krijgt een testsetje thuisgestuurd, neemt zelf volgens de instructies af wat voor dat onderzoek relevant is, en stuurt het resultaat naar een antwoordnummer. De uitslag van het onderzoek krijg je thuisgestuurd. Als dat niet goed is moet je er zelf mee naar de dokter stappen.Ik vermoed dat dat antwoordnummer op de retourenvelop waarmee je je resultaat terugstuurt rechtstreeks van het lab is dat het onderzoek uitvoert. Wat je afneemt mag namelijk niet te lang ongekoeld onderweg zijn, dus hoe minder handen waar het doorheen moet hoe beter. Ik vermoed ook dat dergelijke labs hoe dan ook al zijn ingericht op het zelf terugsturen van uitslagen, en dat ook daar de landelijke organisatie geen handelingen in verricht nu, waarom zouden ze zelf dingen gaan inrichten die al ingericht zijn. Het lijkt mij heel waarschijnlijk dat die landelijke organisatie zelf niets praktisch uitvoert maar alleen organiseert dat anderen dat doen.
Dan is het als ik me niet vergis ook nog zo dat je als deelnemende burger niet meer dan een goed/niet goed-antwoord terugkrijgt, en naar je huisarts stapt met het advies voor een vervolgonderzoek. Het lab of die landelijke organisatie weten niet wie je huisarts is en al helemaal niet wie de specialist zal zijn waar je naar doorverwezen wordt, dus de gedetailleerde uitslag zal bij het lab opgevraagd moeten worden. En hoe geven de huisarts of de specialist op om wie het gaat? Door een BSN door te geven. Dat zal de reden zijn dat het lab ook over BSN's beschikt.
Als je zo'n opzet wilt veranderen, en dat lab alleen over een eenmalige identificatie laat beschikken waar niet uit blijkt om wie het eigenlijk gaat, dan moet ergens anders de koppeling gelegd worden met de echte persoonsgegevens, zowel voor de ja/nee-uitslag aan de burger zelf als voor de gedetailleerde uitslag die een arts kan opvragen. De opdrachtgever is een landelijke organisatie. Die moet daar dan iets voor (laten) opzetten, en dan worden de gegevens al gauw verzameld op een centrale plek voor het hele land, terwijl ze nu over verschillende labs verdeeld worden. Oeps, als je het zo doet wordt het nog aantrekkelijker voor een aanvaller.
Ik weet echt niet of ik alle details goed heb, maar dat dit soort dingen onderdeel van het verhaal zijn daar kan je gif op innemen. Even "gewoon verbieden" of "gewoon <vul maar wat in>" roepen is geen oplossing, dat is een benadering waarmee het probleem alleen maar gierend nog veel verder uit de hand zou lopen als men het echt zo kort door de bocht zou aanpakken.
Onderschat dit soort dingen niet, de werkelijkheid is verrassend veel complexer als je dingen op die schaal organiseert dan wanneer je het voor een plaatselijke vereniging of zo doet, en zeker als je het goed wilt doen.
10-10-2025, 21:54 door
Anoniem
Door Anoniem:
Door Anoniem:
Ik vermoed dat dat antwoordnummer op de retourenvelop waarmee je je resultaat terugstuurt rechtstreeks van het lab is dat het onderzoek uitvoert. Wat je afneemt mag namelijk niet te lang ongekoeld onderweg zijn, dus hoe minder handen waar het doorheen moet hoe beter. Ik vermoed ook dat dergelijke labs hoe dan ook al zijn ingericht op het zelf terugsturen van uitslagen, en dat ook daar de landelijke organisatie geen handelingen in verricht nu, waarom zouden ze zelf dingen gaan inrichten die al ingericht zijn. Het lijkt mij heel waarschijnlijk dat die landelijke organisatie zelf niets praktisch uitvoert maar alleen organiseert dat anderen dat doen.
Dan is het als ik me niet vergis ook nog zo dat je als deelnemende burger niet meer dan een goed/niet goed-antwoord terugkrijgt, en naar je huisarts stapt met het advies voor een vervolgonderzoek. Het lab of die landelijke organisatie weten niet wie je huisarts is en al helemaal niet wie de specialist zal zijn waar je naar doorverwezen wordt, dus de gedetailleerde uitslag zal bij het lab opgevraagd moeten worden. En hoe geven de huisarts of de specialist op om wie het gaat? Door een BSN door te geven. Dat zal de reden zijn dat het lab ook over BSN's beschikt.
Als je zo'n opzet wilt veranderen, en dat lab alleen over een eenmalige identificatie laat beschikken waar niet uit blijkt om wie het eigenlijk gaat, dan moet ergens anders de koppeling gelegd worden met de echte persoonsgegevens, zowel voor de ja/nee-uitslag aan de burger zelf als voor de gedetailleerde uitslag die een arts kan opvragen. De opdrachtgever is een landelijke organisatie. Die moet daar dan iets voor (laten) opzetten, en dan worden de gegevens al gauw verzameld op een centrale plek voor het hele land, terwijl ze nu over verschillende labs verdeeld worden. Oeps, als je het zo doet wordt het nog aantrekkelijker voor een aanvaller.
Ik weet echt niet of ik alle details goed heb, maar dat dit soort dingen onderdeel van het verhaal zijn daar kan je gif op innemen. Even "gewoon verbieden" of "gewoon <vul maar wat in>" roepen is geen oplossing, dat is een benadering waarmee het probleem alleen maar gierend nog veel verder uit de hand zou lopen als men het echt zo kort door de bocht zou aanpakken.
Onderschat dit soort dingen niet, de werkelijkheid is verrassend veel complexer als je dingen op die schaal organiseert dan wanneer je het voor een plaatselijke vereniging of zo doet, en zeker als je het goed wilt doen.
Kijk, eindelijk iemand die het ook snapt hoe complex zorgketens zijn.Door Anoniem: Gewoon verbieden dat zulke gedetailleerde data wordt gedeeld. Al op het niveau van de registreerder (de PC van de dokter) comprimeren tot macrocijfers, die niet meer tot de persoon te herleiden zijn. En dan wetenschappelijk onderzoek beperken tot spelen met macrodata.
Bij bevolkingsonderzoeken gaat het niet om de pc van de dokter maar om een landelijke organisatie die het organiseert. Je krijgt een testsetje thuisgestuurd, neemt zelf volgens de instructies af wat voor dat onderzoek relevant is, en stuurt het resultaat naar een antwoordnummer. De uitslag van het onderzoek krijg je thuisgestuurd. Als dat niet goed is moet je er zelf mee naar de dokter stappen.Ik vermoed dat dat antwoordnummer op de retourenvelop waarmee je je resultaat terugstuurt rechtstreeks van het lab is dat het onderzoek uitvoert. Wat je afneemt mag namelijk niet te lang ongekoeld onderweg zijn, dus hoe minder handen waar het doorheen moet hoe beter. Ik vermoed ook dat dergelijke labs hoe dan ook al zijn ingericht op het zelf terugsturen van uitslagen, en dat ook daar de landelijke organisatie geen handelingen in verricht nu, waarom zouden ze zelf dingen gaan inrichten die al ingericht zijn. Het lijkt mij heel waarschijnlijk dat die landelijke organisatie zelf niets praktisch uitvoert maar alleen organiseert dat anderen dat doen.
Dan is het als ik me niet vergis ook nog zo dat je als deelnemende burger niet meer dan een goed/niet goed-antwoord terugkrijgt, en naar je huisarts stapt met het advies voor een vervolgonderzoek. Het lab of die landelijke organisatie weten niet wie je huisarts is en al helemaal niet wie de specialist zal zijn waar je naar doorverwezen wordt, dus de gedetailleerde uitslag zal bij het lab opgevraagd moeten worden. En hoe geven de huisarts of de specialist op om wie het gaat? Door een BSN door te geven. Dat zal de reden zijn dat het lab ook over BSN's beschikt.
Als je zo'n opzet wilt veranderen, en dat lab alleen over een eenmalige identificatie laat beschikken waar niet uit blijkt om wie het eigenlijk gaat, dan moet ergens anders de koppeling gelegd worden met de echte persoonsgegevens, zowel voor de ja/nee-uitslag aan de burger zelf als voor de gedetailleerde uitslag die een arts kan opvragen. De opdrachtgever is een landelijke organisatie. Die moet daar dan iets voor (laten) opzetten, en dan worden de gegevens al gauw verzameld op een centrale plek voor het hele land, terwijl ze nu over verschillende labs verdeeld worden. Oeps, als je het zo doet wordt het nog aantrekkelijker voor een aanvaller.
Ik weet echt niet of ik alle details goed heb, maar dat dit soort dingen onderdeel van het verhaal zijn daar kan je gif op innemen. Even "gewoon verbieden" of "gewoon <vul maar wat in>" roepen is geen oplossing, dat is een benadering waarmee het probleem alleen maar gierend nog veel verder uit de hand zou lopen als men het echt zo kort door de bocht zou aanpakken.
Onderschat dit soort dingen niet, de werkelijkheid is verrassend veel complexer als je dingen op die schaal organiseert dan wanneer je het voor een plaatselijke vereniging of zo doet, en zeker als je het goed wilt doen.
Dat is geen excuus om het fout te laten gaan en er niets aan te doen.
Tot nu toe heb ik alleen maar uitvluchten gehoord bij deze discussie;
Of het komt door de wetgeving dat het zo "moet" (wetten kunnen aangepast worden)
Of het is allemaal te complex dus niet/nooit aankomen (wat als er dan een keer wel iets angepast moet worden agv innovatie of tekorten?)
Maar in plaats van het hoofd in het zand te steken, kan men ook eens gaan nadenken hoe het systeem dan wel verbeterd kan worden.
De vraag is:
Hoe maak je het zorg-systeem dan simpelere, robuster, en optimailseer je het met dataminimalisatie waar mogelijk.
Wat moet daar allemaal voor gebeuren?
Biedt de "kort-door-de-bocht reaguurders" dan het profijt van jullie kennis en kunde, en denk mee in de oplossingsrichtingen die er dan wel zijn.
Ook een complex systeem kan verbeterd worden. Niets is perfect. Niets is onaantastbaar als er een fout of kwetsbaarheid gevonden wordt.
En anders hebben we als samenleving een wel heel groot probleem ontdekt dat heel snel van de grond af aan aangepakt moet worden.
Zeg het maar. :-)
11-10-2025, 08:35 door
Anoniem
Goed dat er vragen worden gesteld, ook al zijn de vragers/beantwoorders wel/niet expert op IT gebied. Door vragen te stelen wordt je slimmer! Er zitten ministeries achter deze personen vol met ambtenaren om de IT-gerelateerde informatie te verwerken.
Om dit -nog meer- te verbeteren zou je kunnen stemmen op de persoon van jou partij met het meeste IT-kennis. Zie pic om te bepalen wie die persoon is:
https://i.postimg.cc/rsq7Jb03/Pol-Part-vs-IT-Expertise.jpg
Om dit -nog meer- te verbeteren zou je kunnen stemmen op de persoon van jou partij met het meeste IT-kennis. Zie pic om te bepalen wie die persoon is:
https://i.postimg.cc/rsq7Jb03/Pol-Part-vs-IT-Expertise.jpg
11-10-2025, 10:07 door
dingetje
Is inmiddels duidelijk geworden hoe de hack en het datalek plaats hebben kunnen vinden? Zo ja, welke oorzaak lag daaraan ten grondslag en hoe gaat dit in de toekomst worden voorkomen? [..]
Beetje domme vragen.De oorzaak is uiteraard dat criminelen in spé graag de data willen hebben om door te verkopen, af te persen, etc.
Wanneer ze dat proberen zijn het criminelen. Het lukt omdat ze meer kennis en kunde hebben dan de zorgorganisatie en hun partners. Hoe je voorkomt dat mensen criminelen worden is een vraag die IT overstijgt.
Dergelijke vragen worden dan ook niet gesteld omdat ze echt willen weten hoe het zit, want dat verander je toch niet.
Ze worden publiekelijk gesteld om het publiek te laten weten hoe ze er over denken. Gratis PR met 29 oktober in aantocht.
11-10-2025, 10:56 door
Anoniem
Door Anoniem: Kijk, eindelijk iemand die het ook snapt hoe complex zorgketens zijn.
"Voor elk complex probleem bestaat een simpele oplossing die niet werkt."
____ dr. Danka Stuijver, huisarts
In haar boek Dit kost ons de zorg (Arbeiderspers, 2025) wilde Stuijver alle krachten beschrijven die inspelen op de zorg. En weg van de ‘drama-driehoek’, zoals ze het noemt, met de patiënt als slachtoffer, de arts als redder en het systeem als dader. Zo simpel ligt het niet, betoogt ze. Net zoals een patiënt baat heeft bij de continuïteit van een vaste huisarts, zo heeft de zorg baat bij continuïteit van zorgbeleid. "En dus niet bij zeven zorgministers in de afgelopen zes jaar."
interview door Michiel van der Geest, 8 september 2025
https://www.volkskrant.nl/wetenschap/burgers-worden-tot-patient-gemaakt-aanbod-creeert-vraag-dat-doen-we-zelf~bd5fcadf/
11-10-2025, 11:34 door
linuxpro
De daadwerkelijke oorzaak van hoe al deze data en kennelijk nier van andere klanten van dat lab buit is gemaakt zullen we nooit weten. Ik denk dat dat komt omdat die oorzaak zo'n flater is dat ze er domweg niet voor uit willen komen. Uit angst voor verdere schade.
11-10-2025, 12:03 door
Anoniem
Geen mysterieuze APT, maar een niet-gepatchte Citrix-gateway die als N-day is misbruikt, gevolgd door data-exfiltratie door een low-tier groep, en een rookgordijn in de communicatie.
De infrastructuur van laat zien dat Citrix de ruggengraat vormt. Een interne handleiding op Scribd (inclusief linkjes 8)7) toont dat medewerkers het Document Management System via Citrix moeten benaderen. Daar komt bij dat een vacature uit maart 2025 bij NMDL Rijswijk expliciet vroeg om ervaring met Citrix, wat bevestigt dat dit een kernonderdeel van hun omgeving was.
De tijdlijn sluit naadloos aan op de bekende exploitgolf. Tussen 3 en 6 juli vond de datadiefstal plaats, uitgevoerd door Nova, een groep die kant-en-klare PoC’s gebruikt. Hun leaksite en OPSEC zijn van scriptkiddie-niveau.
Aldus: opportunistische Citrix-exploitatie. De AVG-meldplicht van 72 uur is zwaar overschreden en het publieke narratief verdoezelt in feite slechts dat een niet-gepatchte NetScaler de zwakke plek was.
De infrastructuur van laat zien dat Citrix de ruggengraat vormt. Een interne handleiding op Scribd (inclusief linkjes 8)7) toont dat medewerkers het Document Management System via Citrix moeten benaderen. Daar komt bij dat een vacature uit maart 2025 bij NMDL Rijswijk expliciet vroeg om ervaring met Citrix, wat bevestigt dat dit een kernonderdeel van hun omgeving was.
De tijdlijn sluit naadloos aan op de bekende exploitgolf. Tussen 3 en 6 juli vond de datadiefstal plaats, uitgevoerd door Nova, een groep die kant-en-klare PoC’s gebruikt. Hun leaksite en OPSEC zijn van scriptkiddie-niveau.
Aldus: opportunistische Citrix-exploitatie. De AVG-meldplicht van 72 uur is zwaar overschreden en het publieke narratief verdoezelt in feite slechts dat een niet-gepatchte NetScaler de zwakke plek was.
11-10-2025, 12:55 door
Anoniem
Door Anoniem: "Voor elk complex probleem bestaat een simpele oplossing die niet werkt."
____ dr. Danka Stuijver, huisarts
____ dr. Danka Stuijver, huisarts
"For every complex problem there is an answer that is clear, simple and wrong"
H.L. Mencken, een Amerikaanse journalist, schrijver, criticus, satiricus, die leefde van 1880 tot 1956.
Er is dus een kans dat Danka Stuijver het niet helemaal zelf had bedacht, maar dit is zo'n uitspraak die het verdient om herhaald en overgenomen te worden.
11-10-2025, 13:44 door
Anoniem
Door Anoniem: Dat is geen excuus om het fout te laten gaan en er niets aan te doen.
Tot nu toe heb ik alleen maar uitvluchten gehoord bij deze discussie;
Of het komt door de wetgeving dat het zo "moet" (wetten kunnen aangepast worden)
Of het is allemaal te complex dus niet/nooit aankomen (wat als er dan een keer wel iets angepast moet worden agv innovatie of tekorten?)
Ik schreef die lange reactie waar je indirect op reageerde en die je meenam in je citaat. Aangeven dat het complex is is iets wezenlijk anders dan wat jij er nu van maakt, ik heb helemaal niet beweerd dat het onoplosbaar is of dat er niet aangekomen moet worden.Tot nu toe heb ik alleen maar uitvluchten gehoord bij deze discussie;
Of het komt door de wetgeving dat het zo "moet" (wetten kunnen aangepast worden)
Of het is allemaal te complex dus niet/nooit aankomen (wat als er dan een keer wel iets angepast moet worden agv innovatie of tekorten?)
Maar in plaats van het hoofd in het zand te steken, kan men ook eens gaan nadenken hoe het systeem dan wel verbeterd kan worden.
Dat kan je nooit goed doen als je niet tot in detail overziet wat er allemaal bij komt kijken, en is daarom nogal zinloos om als buitenstaander te proberen. Dit moet worden gedaan door mensen die er wel direct bij betrokken zijn (of worden) en dat is niet iets waarvoor je even tussen de bedrijven door op een forum het konijn uit de hoed kan trekken. Dat het zo simpel niet is was nou juist mijn punt. Biedt de "kort-door-de-bocht reaguurders" dan het profijt van jullie kennis en kunde, en denk mee in de oplossingsrichtingen die er dan wel zijn.
Ik heb een kort-door-de-bocht-reaguurder hopelijk wat meer inzicht gegeven, maar ik ben niet in een positie om aan te kunnen geven wat nou werkelijk de oplossing is, want ik ken in de verste verte niet alle details van hoe dat is opgezet en wat voor eisen er allemaal gelden, ik heb gegarandeerd niet alle kennis op alle terreinen die nodig is om het goed te doen. Dat is niet iets dat een eenling even uit zijn mouw schudt, en een paar mensen die op een forum aan het kletsen zijn kunnen dat ook niet. Zeg het maar. :-)
Nee, ik zeg het niet want ik weet niet genoeg. Je hoeft helemaal niet op alles een antwoord te hebben. De wijsheid hebben om te overzien en erkennen dat je iets niet weet, en om dan niet stoer te gaan doen alsof je het wel weet, is zeker zo belangrijk als de kennis toepassen die je wel hebt.Kwaliteit bluf je niet een systeem in, daar heb je grondigheid voor nodig en voor grondigheid heb je grondige kennis van zaken nodig. Bluffers zijn brokkenmakers.
11-10-2025, 13:53 door
Anoniem
Door Anoniem: Geen mysterieuze APT, maar een niet-gepatchte Citrix-gateway die als N-day is misbruikt, gevolgd door data-exfiltratie door een low-tier groep, en een rookgordijn in de communicatie.
De infrastructuur van laat zien dat Citrix de ruggengraat vormt. Een interne handleiding op Scribd (inclusief linkjes 8)7) toont dat medewerkers het Document Management System via Citrix moeten benaderen. Daar komt bij dat een vacature uit maart 2025 bij NMDL Rijswijk expliciet vroeg om ervaring met Citrix, wat bevestigt dat dit een kernonderdeel van hun omgeving was.
De tijdlijn sluit naadloos aan op de bekende exploitgolf. Tussen 3 en 6 juli vond de datadiefstal plaats, uitgevoerd door Nova, een groep die kant-en-klare PoC’s gebruikt. Hun leaksite en OPSEC zijn van scriptkiddie-niveau.
Aldus: opportunistische Citrix-exploitatie. De AVG-meldplicht van 72 uur is zwaar overschreden en het publieke narratief verdoezelt in feite slechts dat een niet-gepatchte NetScaler de zwakke plek was.
De infrastructuur van laat zien dat Citrix de ruggengraat vormt. Een interne handleiding op Scribd (inclusief linkjes 8)7) toont dat medewerkers het Document Management System via Citrix moeten benaderen. Daar komt bij dat een vacature uit maart 2025 bij NMDL Rijswijk expliciet vroeg om ervaring met Citrix, wat bevestigt dat dit een kernonderdeel van hun omgeving was.
De tijdlijn sluit naadloos aan op de bekende exploitgolf. Tussen 3 en 6 juli vond de datadiefstal plaats, uitgevoerd door Nova, een groep die kant-en-klare PoC’s gebruikt. Hun leaksite en OPSEC zijn van scriptkiddie-niveau.
Aldus: opportunistische Citrix-exploitatie. De AVG-meldplicht van 72 uur is zwaar overschreden en het publieke narratief verdoezelt in feite slechts dat een niet-gepatchte NetScaler de zwakke plek was.
Deze keer was het die specifieke zwakke plek, morgen of volgend jaar een andere. Of anderd bij een andere organisatie.
Iets van de put dempen als het kalf verdronken is. Maar verder niets doen om te voorkomen dat het kalf voortaan nog bij om-het-eender welke put kan komen.
Dat is waar de politiek op zou moeten sturen. Voorkomen iov genezen.
Ipv symptoombestrijding, juist het onderliggende probleem grondig aanpakken.
Voorkomen dat teveel gevoelige data op teveel verschillende plekken terecht komt.
Begin voortaan maar bij een ontwerp met de aanname dat er data zal gaan lekken.
Hoe voorkom je dan dat er effectief gebruik gemaakt kan worden van die lekkende data. (dataminimalisatie, datafragmentatie, etc)
En hoe controleer je dat?
Oh, en als het huidige systeem daar "te complex" voor is, dan hebben we een nog groter probleem ontdekt.
Gisteren, 09:54 door
Anoniem
Door Anoniem: Ik vind het nogal wat dat de 2e kamer (met zeer weinig kennis op IT gebied) wil weten wat de oorzaak is van een hack bij een commercieel bedrijf. Ja, het commercieel bedrijf werd ingehuurd/ ingezet voor/ door de overheid en ja, de hack heeft grote gevolgen voor veel Nederlandse burgers.
Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
Het gaat daar over inrichting van de zorg-keten ,bmet name over het wettelijk kader.Maar wat gaat de 2e kamer doen met de informatie dat aanvalsgroep ATP-AA gebruik heeft gemaakt van vulnerablity X (met CVE code Y)? Mag dit gevraagd worden aan een commercieel bedrijf? Dat de AP dit krijgt/ monitort kan ik nog inkomen, maar moet dit publiekelijk gemaakt worden door kamervragen?
Dat men wil weten OF de oorzaak gevonden is en dat men de zekerheid heeft gekregen van Clinical Diagnostics dat het adequate maatregelen heeft genomen om dit in de toekomst te voorkomen snap ik. Dat men ook wil weten hoe de verschillende ministeries hiervoor waarborgen in het contract en due diligence hebben opgenomen snap ik ook.
Maar ik betwijfel of een gedetailleerd antwoord dat dieper gaat dan <mogelijk scenario>: een medewerker heeft op een malicious link geklikt en daana is er misbruik gemaakt van een kwetsbaarheid in een van de systemen <einde mogelijk scenario> dit kamerlid informatie geeft waar deze wat mee kan.
Mogelijk zijn er onvoldoende waarborgen, is het besluit over centrale opslag van data een issue?
Weid verspreid van BSN een fout idee? Dat zijn wettelijke eisen.... Daar moet een tweede kamer dus wel wat van vinden. Dus een faal oorzaak vinden..
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Site Reliability Engineer
NFI
Ben je thuis in het installeren, ontwikkelen en beheren van een groot aantal Linux-systemen? Als jij graag de handen uit de mouwen steekt, zowel thuis bent in software als hardware en oog hebt voor auto-matisering en vernieuwing, dan willen wij jou in ons team!
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?