![[Afbeelding: Sergey Nivens/Shutterstock.com]](https://www.computable.nl/wp-content/uploads/2025/08/Hack-169-shutterstock_625003571-e1755092750780-970x545.jpg)
Het Eurofins-lab, waar persoonsgegevens van honderdduizenden Nederlanders werden gestolen, was niet geaccrediteerd voor NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties. Computable publiceert een serie over inhoud, toepassing en handhaving van deze norm. Deel 1, een overzicht.
De storm rond de gegevensdiefstal bij het lab Clinical Diagnostics LCPL, een dochter van het beursgenoteerde Franse Eurofins, gaat voorlopig niet liggen. Zelfs adresgegeven, bsn, en medische onderzoeksresultaten van politici blijken op straat te liggen. Met zulke persoonlijke data kunnen hackers grootschalige phishing-campagnes opzetten: Nederlanders moeten daarom de komende jaren elk bericht van zorgaanbieders wantrouwen en dubbel controleren.
Hoe de hackers zijn binnengedrongen, waarom het zo lang duurde voor ze gestopt werden, hoe het kan dat ze zo snel zoveel gegevens konden stelen en waarom die gegevens niet versleuteld waren: het zijn allemaal terechte vragen waar iedereen zich druk om maakt.
NEN 7510
Veel van die zaken zijn bij wet geregeld. Speciaal voor de zorg is er NEN7510, de norm voor informatiebeveiliging bij zorgorganisaties. Het lab geeft zelf heel duidelijk aan dat het niet geaccrediteerd is voor die norm, ofschoon het wel zegt te werken aan de implementatie ervan.
NEN 7510 beschrijft ‘de eisen en maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen om op adequate wijze met persoonlijke gezondheidsinformatie om te gaan.’
Vanwege het belang van die gegevens is die norm niet vrijblijvend: zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar aan NEN7510 te voldoen.
Laks met databeveiliging?
De vraag die zich dan ook aandient is of en hoe de hack teruggeleid kan worden naar NEN 7510 (en NEN 7512). Wat houden die normen en regels in? Kun je zonder accreditatie voldoen aan de wettelijke normen? Is er extern toezicht? Mag en vooral wil je persoonsgegevens delen met een instantie die zelf aangeeft niet geaccrediteerd te zijn? Waarom zijn zoveel meer gegevens gedeeld dan op het eerste gezicht noodzakelijk zijn?
De Computable-serie over de inhoud, toepassing en handhaving van informatiebeveiliging in de zorg, met reacties van:
2. Z-Cert: Informatiebeveiliging in de zorg: welke regels gelden?
3. NEN: Informatiebeveiliging in de zorg: wat houdt de NEN 7510 in?
4. Bevolkingsonderzoek: Bevolkingsonderzoek Nederland: ‘Persoonsgegevens gedeeld volgens wetten en richtlijnen’.
5. IGJ: Hoe houdt de overheid toezicht op informatiebeveiliging in de zorg?
6. Clinicial Diagnostics / Eurofins: Ransomware in de zorg, hoe gaat Eurofins om met Nederlandse data?
7. Advocatuur: De labhack en de schade: wet versus digitale praktijk
8. Cybersecurity: Compliance is belangrijk maar reactief, informatiebeveiliging in de zorg kan en moet beter
heerlijk toch: ” Zelfs adresgegeven, bsn, en medische onderzoeksresultaten van politici blijken op straat te liggen.”
Zou wat zijn als de hackers daar een uitzondering voor gemaakt hadden 😉
“Met zulke persoonlijke data kunnen hackers grootschalige phishing-campagnes opzetten: Nederlanders moeten daarom de komende jaren elk bericht van zorgaanbieders wantrouwen en dubbel controleren.”
Dank voor de tip.
Ik kijk uit naar het hoorspel, of een podcast, trilogie, een miniserie, een drama, over “deze storm die voorlopig niet gaat liggen”
Eurofins–lab the musical ?
Franse slag bij informatiebeveiliging. Niet NEN 7510 geaccrediteerd? Wat was er nog meer mis bij deze multinational? In ieder geval de communicatie. Clinical Diagnostics wist dat de gegevens van de cliënten misbruikt konden worden, maar cliënten en de opdrachtgever Bevolkingsonderzoek Nederland mochten dat eerst niet weten, net als andere opdrachtgevers.
Pas toen de hack na 5 weken bekend werd, heeft Clinical Diagnostics het voorval op een eigen webpagina gemeld. Toch schrijven ze “Wij hechten groot belang aan transparante communicatie en informeren u daarom over dit incident.”
Opmerkelijk is dat Bevolkingsonderzoek Nederland bij zo’n omvangrijke opdracht, niet gecontroleerd heeft of Clinical Diagnostics o.a. NEN 7510 geaccrediteerd was. Ook zij zitten dus fout.
Ook opmerkelijk is dat Inspectie Gezondheidszorg en Jeugd pas net besloten heeft om ook onderzoek te gaan doen. De raderen daar draaien heel erg langzaam.
https://www.igj.nl/actueel/nieuws/2025/08/22/igj-start-onderzoek-naar-laboratorium-clinical-diagnostics-rijswijk
Net zoals bij de Smaakpolitie kan de geaccrediteerde keuken toch een voedselvergiftiging veroorzaken terwijl de niet-geaccrediteerde eettent jaren veilig draait. Accreditatie is dan ook hetzelfde theater als Computable-awards omdat veiligheid een vak is wat elke dag opnieuw moet worden waargemaakt. Digitale hygiëne wordt niet door een norm bepaald maar een werkwijze welke door een IGJ gedicteerd wordt. Wat betreft hout zoeken om de hond te slaan wijs ik op datamaximalisatie voor end-to-end transparantie in de keten met de onlosmakelijke koppeling van BSN in de zorg. Want het verplichte gebruik van een BSN maakt van dataminimalisatie een fabeltje. Het hele zorgstelsel hangt aan één identificatieplaatje wat een molensteen om de nek van de patiënt wordt wanneer dit gelekt wordt.
democratie en you what vote, what you get, garandeert slechts volksvertegenwoordiging.
Een zwalkende middelmaat dus en geen topper.
Of al twintig jaar schadevrij rijden zonder rijbewijs. Duzz ?
Rechtstaat heeft nu eenmaal iets te maken met wetten en handhaving.
Een datalake vol met BSN verankerde drijvende data-drollen.
Hygiene door datanormalisatie is niet ieder zn ding en zelfs indien wel, dan kost het nog een hoop werk. Wie gaat dat doen en wie gaat dat controleren. En waarmee, met certificeringen ?-)
Voorlopig nog maar de braafheidsgarantie van certified compliancy.