Het aantal datalekken in Nederland is in 2024 fors toegenomen. In totaal werden er bijna 38.000 meldingen gedaan bij de Autoriteit Persoonsgegevens (AP), een flinke stijging ten opzichte van 2023, toen er nog 25.000 datalekken werden gemeld. De cijfers voor 2025 zijn nog niet bekend, maar de trend maakt duidelijk dat het datalek bij Bevolkingsonderzoek Nederland, dat vorige week naar buiten kwam, niet op zichzelf staat. Voor wie de berichtgeving gemist heeft volgt hieronder een beknopte samenvatting: een datalek dat opnieuw laat zien hoe cruciaal het is om bevolkingsonderzoeken te herontwerpen volgens het principe privacy by design.
In juli 2025 werd laboratorium Clinical Diagnostics Nederland in Rijswijk getroffen door een hack. Dit lab verwerkt in opdracht van Bevolkingsonderzoek Nederland uitstrijkjes en zelftests voor het bevolkingsonderzoek baarmoederhalskanker. Cybercriminelen wisten toegang te krijgen tot de systemen en stalen gegevens van ruim 485.000 vrouwen die sinds 2016 aan dit onderzoek deelnamen. Het ging om persoonsgegevens zoals naam, adres, geboortedatum en burgerservicenummer, maar ook om medische gegevens, waaronder testuitslagen en namen van zorgverleners. Een deel van de data, circa 53.000 patiëntendossiers, verscheen kort daarna op het dark web.
Opvallend is dat het laboratorium de hack al op 6 juli ontdekte, maar Bevolkingsonderzoek Nederland pas een maand later informeerde. Volgens hoogleraar Bart van der Sloot was dat “volstrekt onverantwoord” en in strijd met de wettelijke plicht om slachtoffers zo snel mogelijk te informeren. De AP eist dat ernstige datalekken binnen 72 uur worden gemeld. Ook de Inspectie Gezondheidszorg en Jeugd (IGJ) onderzoekt of het lab de beveiliging en meldplicht heeft nageleefd. Hoewel de AP formeel bevestigde een onderzoek te zijn gestart, bleef het opmerkelijk stil op haar eigen website: anders dan bij eerdere grote zorgdatalekken verscheen er geen afzonderlijk bericht of publiekswaarschuwing. Dat versterkte de indruk dat de communicatie vooral bij Bevolkingsonderzoek Nederland en het ministerie van VWS werd neergelegd.
De hackersgroep Nova gebruikte de buitgemaakte data om losgeld te eisen. Na betaling door het lab werden de eerder gelekte bestanden tijdelijk verwijderd. Toch ontstond onzekerheid toen de groep enkele weken later dreigde alsnog meer gegevens openbaar te maken. Uiteindelijk verklaarde Nova dat alle data waren verwijderd om “patiënten gerust te stellen”, al valt dat moeilijk te verifiëren.
Intussen ontvingen ruim 405.000 betrokken vrouwen een brief waarin werd uitgelegd wat er was gebeurd en waarin zij werden gewaarschuwd alert te zijn op phishing en identiteitsfraude. Voor circa 80.000 anderen is nog niet vastgesteld of hun gegevens daadwerkelijk deel uitmaken van de buitgemaakte bestanden, omdat de koppeling met de dataset niet volledig lukt. Bevolkingsonderzoek Nederland heeft daarvoor extra informatie opgevraagd bij het gehackte laboratorium. Critici bestempelden de brieven als “een standaard pr-briefje” omdat concrete informatie ontbrak. In een open brief op LinkedIn klaagde Eva Dienske dat ze geen antwoorden kreeg op wezenlijke vragen, zoals waarom haar BSN überhaupt met een extern laboratorium gedeeld moest worden en of pseudonimisering niet mogelijk was.
Politiek en bestuurlijk leidde het incident tot directe reacties. Minister Jansen van Volksgezondheid schreef dat zij het “ten zeerste betreurt” en kondigde maatregelen aan om herhaling te voorkomen. Bevolkingsonderzoek Nederland stopte de samenwerking met het laboratorium en schakelde andere labs in. Tegelijkertijd lopen er onderzoeken door AP en IGJ en wordt gekeken naar mogelijke juridische stappen of schadeclaims namens slachtoffers.
De kern van het (zoveelste) datalek laat zien dat het niet alleen een technisch of juridisch vraagstuk is, maar ook een vertrouwenskwestie. Burgers die deelnemen aan bevolkingsonderzoek doen dat in de veronderstelling dat hun gegevens veilig zijn. Dat vertrouwen is nu beschadigd. Het rapport, de media en publieke reacties, zoals de open brief van Eva Dienske, tonen dat de communicatie sterk gericht was op regels en procedures, terwijl deelnemers vooral behoefte hadden aan duidelijkheid, regie en erkenning van hun zorgen.
Conclusies en aanbevelingen
Het datalek maakt duidelijk dat de zorgketen kwetsbaar is, zeker waar publieke taken afhankelijk zijn van private laboratoria. Wettelijke kaders zoals de Algemene verordening gegevensbescherming (AVG) en de Wet op het bevolkingsonderzoek boden onvoldoende bescherming doordat naleving en toezicht tekortschoten. Het incident laat zien dat snelle melding en transparante communicatie cruciaal zijn om risico’s te beperken en vertrouwen te behouden. Ook roept het de vraag op of minder data gedeeld kunnen worden, bijvoorbeeld door gebruik van pseudonimisering.
Een belangrijke aanbeveling is om bevolkingsonderzoeken structureel te herontwerpen rond het principe privacy by design. Dat betekent dat gegevensminimalisatie, decentrale opslag en versleuteling de norm moeten zijn. Daarnaast zou de rol van de burger sterker verankerd moeten worden: niet alleen als deelnemer, maar ook als mede-eigenaar van zijn of haar data. Voor overheid en uitvoerende organisaties ligt hier een kans om van dit incident te leren en de publieke infrastructuur zo te moderniseren dat zowel veiligheid als vertrouwen worden versterkt.
Bronnen:
- Bevolkingsonderzoek Nederland. (2025, 11 augustus). Datalek met ruim 485.000 deelnemers bevolkingsonderzoek baarmoederhalskanker na hack bij extern laboratorium.
- Bevolkingsonderzoek Nederland. (2025, 19 augustus). Ruim 405.000 deelnemers bevolkingsonderzoek baarmoederhalskanker ontvangen brief na datalek.
- Bevolkingsonderzoek Nederland. (2025). Veelgestelde vragen over het datalek (bevolkingsonderzoek baarmoederhalskanker).
- BobHGL [@BobHGL]. (2025, 20 augustus). Tweet Bob van Keulen (ANP trusted photographer) [Tweet]. X (voorheen Twitter).
- Clinical Diagnostics Nederland. (2025, 18 augustus). Belangrijk bericht over gegevens van patiënten en zorgverleners.
- Cybercrimeinfo.nl. (2025, 3 juli). AP: Datadiefstal door cybercriminelen verdubbeld, wat nu?
- Dienske, E. (2025, augustus). Open brief aan Bevolkingsonderzoek Nederland [LinkedIn post].
- Nieuwsuur. (2025, 12 augustus). Bevolkingsonderzoek Nederland: Schokkend dat datalek pas na maand bekend werd.
- NOS. (2025, 11 augustus). Gegevens honderdduizenden vrouwen gehackt bij bevolkingsonderzoek baarmoederhalskanker.
- NU. (2025, 21 augustus). Kritiek op summiere brief na medische hack: “Standaard pr-briefje”.
- RTL Nieuws. (2025, 14 augustus). Mijn data gelekt, wat moet ik nu doen?
- Tweakers. (2025, 21 augustus). Bevolkingsonderzoek Nederland informeert slachtoffers datalek medische gegevens.
- Tweakers. (2025, 22 augustus). Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen.
- VWS. (2025, 11 augustus). Kamerbrief over datalek bevolkingsonderzoek baarmoederhalskanker.
3 reacties
Zie ook mijn LinkedIn-bericht:
https://www.linkedin.com/posts/mderksen_datalek-bevolkingsonderzoek-activity-7364955834323316736-dqTh/
Bijna 3.000 vrouwen die slachtoffer zijn geworden van het datalek bij laboratorium Clinical Diagnostics hebben zich inmiddels gemeld bij een advocatenkantoor voor een eventuele massaclaim.
https://nos.nl/artikel/2580024-bijna-3000-vrouwen-melden-zich-voor-massaclaim-na-lek-bij-bevolkingsonderzoek
De datadiefstal bij een laboratorium in Rijswijk is groter dan gedacht. Eerder bleek dat hackers de gegevens hadden gestolen van 485.000 mensen die meededen aan een bevolkingsonderzoek naar baarmoederhalskanker. Daar zijn nog eens bijna 230.000 deelnemers bij gekomen:
https://www.nu.nl/tech/6367189/lek-bevolkingsonderzoek-groter-dan-gedacht-mogelijk-alle-deelnemers-de-dupe.html
Dat meldt Bevolkingsonderzoek Nederland vrijdag. Het aantal bevestigde gedupeerden stijgt daarmee tot 715.000:
https://www.bevolkingsonderzoeknederland.nl/nieuws/datalek-veel-groter-dan-eerder-vermeld/