![[Afbeelding: Sergey Nivens/Shutterstock.com]](https://www.computable.nl/wp-content/uploads/2025/08/Hack-169-shutterstock_625003571-e1755092750780-970x545.jpg)
Het Eurofins–lab, waar persoonsgegevens van honderdduizenden Nederlanders werden gestolen, was niet geaccrediteerd voor NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties. Computable start een miniserie over inhoud, toepassing en handhaving van deze norm.
De storm rond de gegevensdiefstal bij het lab Clinical Diagnostics LCPL, een dochter van het beursgenoteerde Franse Eurofins, gaat voorlopig niet liggen. Zelfs adresgegeven, bsn, en medische onderzoeksresultaten van politici blijken op straat te liggen. Met zulke persoonlijke data kunnen hackers grootschalige phishing-campagnes opzetten: Nederlanders moeten daarom de komende jaren elk bericht van zorgaanbieders wantrouwen en dubbel controleren.
Hoe de hackers zijn binnengedrongen, waarom het zo lang duurde voor ze gestopt werden, hoe het kan dat ze zo snel zoveel gegevens konden stelen en waarom die gegevens niet versleuteld waren: het zijn allemaal terechte vragen waar iedereen zich druk om maakt.
NEN 7510
Veel van die zaken zijn bij wet geregeld. Speciaal voor de zorg is er NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties. Het lab geeft zelf heel duidelijk aan dat het niet geaccrediteerd is voor die norm, ofschoon het wel zegt te werken aan de implementatie ervan.
NEN 7510 beschrijft ‘de eisen en maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen om op adequate wijze met persoonlijke gezondheidsinformatie om te gaan.’
Vanwege het belang van die gegevens is die norm niet vrijblijvend: zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar aan NEN 7510 te voldoen.
Laks met databeveiliging?
De vraag die zich dan ook aandient is of en hoe de hack teruggeleid kan worden naar NEN 7510. Wat houden die normen en regels in? Kun je zonder accreditatie voldoen aan de wettelijke normen? Is er extern toezicht? Mag en vooral wil je persoonsgegevens delen met een instantie die zelf aangeeft niet geaccrediteerd te zijn? Waarom zijn zoveel meer gegevens gedeeld dan op het eerste gezicht noodzakelijk zijn?
Vanaf volgende week praat Computable over de inhoud, toepassing en handhaving van NEN 7510, met:
- Z-Cert, de officiële organisatie voor het voorkomen en/of tijdig oplossen van cyberincidenten in de zorg.
- NEN, de officiële organisatie die de normen opstelt.
- Het Bevolkingsonderzoek, een van de slachtoffers, die de gegevens van honderdduizenden personen deelde met het lab.
- De Inspectie Gezondheidszorg en Jeugd, de toezichthouder op navolging van de wettelijke normen.
Cybersec Netherlands
De recente ontwikkeling op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.
heerlijk toch: ” Zelfs adresgegeven, bsn, en medische onderzoeksresultaten van politici blijken op straat te liggen.”
Zou wat zijn als de hackers daar een uitzondering voor gemaakt hadden 😉
“Met zulke persoonlijke data kunnen hackers grootschalige phishing-campagnes opzetten: Nederlanders moeten daarom de komende jaren elk bericht van zorgaanbieders wantrouwen en dubbel controleren.”
Dank voor de tip.
Ik kijk uit naar het hoorspel, of een podcast, trilogie, een miniserie, een drama, over “deze storm die voorlopig niet gaat liggen”
Eurofins–lab the musical ?