Hackers hebben bij het externe laboratorium Clinical Diagnostics NMDL in Rijswijk persoonsgegevens van meer dan 485.000 vrouwen buitgemaakt die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker. Naast namen en adressen zijn mogelijk ook BSN-nummers, testuitslagen, huisartsenverwijzingen en zorgverzekeringsgegevens ontvreemd.
Update (12-08, 06u30): Gisteravond kwam naar buiten dat het datalek toch nog veel groter is dan eerder gemeld. Uit onderzoek van RTL Nieuws bleek dat er niet alleen data gestolen is van het bevolkingsonderzoek baarmoederhalskanker, maar ook van huid-, urine- en penisonderzoek. De data is volgens het onderzoek van RTL afkomstig van patiënten van het Leids Universitair Medisch Centrum, Amphia ziekenhuis en Alrijne ziekenhuis. Een deel van de data, ongeveer 100 megabyte, van ruim 53.000 patiënten, is op het darkweb gepubliceerd. Dat betreft onder andere uitslagen van onderzoeken naar urine, huid, vagina, penis, anus en wondvocht. De criminelen stellen zelf dat ze in totaal 300 gigabyte aan gestolen data in bezit hebben.
Bevolkingsonderzoek Nederland, dat de screenings uitvoert in opdracht van het RIVM, is geschrokken en biedt in een persbericht haar excuses aan betrokken deelnemers. Er is direct een onafhankelijk onderzoek gestart, samen met het ministerie van VWS, om oorzaak en preventie te duiden. Meerdere deelnemers ontvangen binnenkort een persoonlijke brief met uitleg en advies, waaronder waarschuwing voor phishing of identiteitsfraude.
Continuïteit van zorg gewaarborgd
Ondanks het datalek blijven eerdere testresultaten betrouwbaar: deelnemers hoeven geen screenings opnieuw te laten uitvoeren. De samenwerking met Clinical Diagnostics NMDL is voorlopig opgeschort, en monsters worden nu doorgestuurd naar andere laboratoria. Testen voor borst- en darmkanker zijn volgens Bevolkingsonderzoek Nederland niet getroffen.
Daarnaast is het incident inmiddels ook gemeld bij de Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens (AP). Demissionair minister Jansen kondigde een diepgaand onderzoek aan om de reikwijdte en oorzaak van de hack te achterhalen. Staatssecretaris Tielen benadrukt dat betrokkenen recht hebben op duidelijkheid en verwijst naar aanvullende communicatiemogelijkheden via Bevolkingsonderzoek Nederland, zo meldt het Reformatorisch Dagblad.
Digitale weerbaarheid in de zorg
Deze aanval maakt duidelijk dat de digitale infrastructuur van zorgketens een kwetsbaar raakvlak vormt tussen patiëntveiligheid en privacy. Het onderstreept het belang van strenge beveiligingsmaatregelen, transparantie bij incidenten en robuuste crisisrespons. Voor zorgprofessionals en beleidsmakers is dit moment een signaleringspunt: het versterkt de urgentie van versterkte digitale weerbaarheid in bevolkingsonderzoeken en e-health-initiatieven.
EU-actieplan tegen cyberdreigingen
De Europese Commissie lanceerde in januari 2025 een sectorbreed actieplan om ziekenhuizen en zorgaanbieders in de EU beter te beschermen tegen groeiende cyberdreigingen. De zorgsector werd in 2023 met 309 ernstige incidenten het vaakst getroffen van alle kritieke sectoren, waarvan meer dan de helft door ransomware.
Het EU-actieplan heeft vier strategische pijlers:
- Preventie: versterken van paraatheid met risicobeheer, training en financiële ondersteuning via vouchers voor kleinere zorginstellingen.
- Detectie: opzetten van een EU-brede dienst voor vroegtijdige waarschuwing, beschikbaar uiterlijk in 2026.
- Reactie & herstel: inzet van de EU Cybersecurity Reserve, nationale respons-oefeningen en draaiboeken, inclusief registratie van losgeldbetalingen.
- Afschrikking: inzet van de Cyber Diplomacy Toolbox om kwaadwillende actoren af te schrikken
AI maakt het cybercriminelen makkelijker
De komst van (generatieve) AI is ook van invloed op de veiligheid van zorgdata. Zo berichtten wij in 2023 al over het feit dat gen-AI cybercriminelen in staat stelt geautomatiseerde en gepersonaliseerde aanvallen uit te voeren. Vooral de zorgsector is kwetsbaar voor deze nieuwe dreigingen: het is al de meest gehackte sector in Nederland door de grote waarde van medische persoonsgegevens.
AI biedt hackers de mogelijkheid miljoenen overtuigende phishing-e-mails in verschillende talen te genereren, realistische valse video’s en deepfakes te maken, én zelfs menselijke stemmen na te bootsen voor telefonische misleidingsgesprekken. Daardoor zijn AI-gestuurde aanvallen lastig te weren.
