Het laboratorium waar vorig jaar de gegevens werden gehackt van honderdduizenden vrouwen die meededen aan het bevolkingsonderzoek naar baarmoederhalskanker, hield zich niet aan de wettelijke eisen voor informatiebeveiliging. Dat concludeert de Inspectie Gezondheidszorg en Jeugd (IGJ).
is nieuwsverslaggever van de Volkskrant.
In juli wist hackersgroep Nova de hand te leggen op zeer gevoelige informatie van mensen van wie Clinical Diagnostics in Rijswijk testmateriaal had onderzocht. In totaal gaat het om gegevens van zo’n 900 duizend personen, het overgrote deel vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker. Ook van mensen die huid-, urine- en penisonderzoek lieten verrichten, zijn gegevens gehackt.
Er zijn testuitslagen buitgemaakt, maar ook persoonlijke gegevens zoals adressen, geboortedata en BSN-nummers. Na de hack stelden de Inspectie, de Autoriteit Persoonsgegevens en het OM onderzoeken in. De Inspectie is de eerste die met conclusies komt.
Clinical Diagnostics, eigendom van het Franse Eurofins, voldeed niet aan de zogeheten NEN 7510-norm, het wettelijke voorschrift voor informatiebeveiliging in de zorg. Dat was het geval ten tijde van de hack, maar ook nog in december 2025, toen de Inspectie in het kader van onderzoek een bezoek bracht aan het laboratorium.
Die norm schrijft onder meer voor dat er een onafhankelijke check gedaan moet worden naar de informatiebeveiliging. Dat is niet gebeurd. Bovendien had het laboratorium ‘de risico’s van de verwerking van deze gegevens periodiek en bij grote veranderingen in kaart moeten brengen’, aldus de Inspectie. ‘Zonder deze risico’s te kennen, zijn zij niet in staat geweest passende maatregelen te treffen.’
Het is niet uit te sluiten dat de hack zich ook had voorgedaan als Clinical Diagnostics zich wel aan de norm had gehouden, maar ‘deze maatregelen hadden het risico op het plaatsvinden van het informatiebeveiligingsincident kunnen verkleinen en de gevolgen daarvan kunnen beperken’.
Volgens Clinical Diagnostics hebben de hackers zich toegang verschaft tot een account van een medewerker, maar hoe is onduidelijk, schrijft de Inspectie. Dat account was alleen beveiligd met een wachtwoord van zestien tekens, dus niet met een extra code via sms of app, of een vingerafdruk op een telefoon die alleen de gebruiker heeft. De gehackte gegevens stonden bovendien op verouderde infrastructuur; de data moest nog worden overgezet naar nieuwe servers.
Verschillende stichtingen en advocatenkantoren hebben massaclaims tegen Clinical Diagnostics in voorbereiding. Mogelijk hebben die meer kans van slagen als onderzoeken zoals die van de IGJ vaststellen dat het bedrijf zich niet aan de wettelijke normen hield.
Geselecteerd door de redactie
Source: Volkskrant