Databeveiliging in de zorg: NEN 7510 en de lab-hack

[Afbeelding: Sergey Nivens/Shutterstock.com]
22 augustus 2025 - 07:003 minuten leestijdActueelSecurity & Awareness
Bouko de Groot
Bouko de Groot
bouko@computable.nl

Het Eurofins-lab, waar persoonsgegevens van honderdduizenden Nederlanders werden gestolen, was niet geaccrediteerd voor NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties. Computable start een miniserie over inhoud, toepassing en handhaving van deze norm.

De storm rond de gegevensdiefstal bij het lab Clinical Diagnostics LCPL, een dochter van het beursgenoteerde Franse Eurofins, gaat voorlopig niet liggen. Zelfs adresgegeven, bsn, en medische onderzoeksresultaten van politici blijken op straat te liggen. Met zulke persoonlijke data kunnen hackers grootschalige phishing-campagnes opzetten: Nederlanders moeten daarom de komende jaren elk bericht van zorgaanbieders wantrouwen en dubbel controleren.

Hoe de hackers zijn binnengedrongen, waarom het zo lang duurde voor ze gestopt werden, hoe het kan dat ze zo snel zoveel gegevens konden stelen en waarom die gegevens niet versleuteld waren: het zijn allemaal terechte vragen waar iedereen zich druk om maakt.

NEN 7510

Veel van die zaken zijn bij wet geregeld. Speciaal voor de zorg is er NEN 7510, de norm voor informatiebeveiliging bij zorgorganisaties. Het lab geeft zelf heel duidelijk aan dat het niet geaccrediteerd is voor die norm, ofschoon het wel zegt te werken aan de implementatie ervan. 

NEN 7510 beschrijft ‘de eisen en maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen om op adequate wijze met persoonlijke gezondheidsinformatie om te gaan.’

Vanwege het belang van die gegevens is die norm niet vrijblijvend: zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar aan NEN 7510 te voldoen.

Laks met databeveiliging?

De vraag die zich dan ook aandient is of en hoe de hack teruggeleid kan worden naar NEN 7510. Wat houden die normen en regels in? Kun je zonder accreditatie voldoen aan de wettelijke normen? Is er extern toezicht? Mag en vooral wil je persoonsgegevens delen met een instantie die zelf aangeeft niet geaccrediteerd te zijn? Waarom zijn zoveel meer gegevens gedeeld dan op het eerste gezicht noodzakelijk zijn?

Vanaf volgende week praat Computable over de inhoud, toepassing en handhaving van NEN 7510, met:

  • Z-Cert, de officiële organisatie voor het voorkomen en/of tijdig oplossen van cyberincidenten in de zorg.
  • NEN, de officiële organisatie die de normen opstelt.
  • Het Bevolkingsonderzoek, een van de slachtoffers, die de gegevens van honderdduizenden personen deelde met het lab.
  • De Inspectie Gezondheidszorg en Jeugd, de toezichthouder op navolging van de wettelijke normen.

Cybersec Netherlands

De recente ontwikkeling op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.

    Whitepapers

    Computable.nl

    Agentic AI in actie

    De stappen van automatiseren naar écht autonoom werken. Welke toepassingen zijn succesvol?

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Computable.nl

    Beveiliging van AI in de praktijk

    AI is hot, maar de praktijk binnen grote organisaties blijkt weerbarstig. Stop met brandjes blussen; zo schaal en beveilig je met succes.

    2 reacties op “Databeveiliging in de zorg: NEN 7510 en de lab-hack”

    1. heerlijk toch: ” Zelfs adresgegeven, bsn, en medische onderzoeksresultaten van politici blijken op straat te liggen.”
      Zou wat zijn als de hackers daar een uitzondering voor gemaakt hadden 😉

      “Met zulke persoonlijke data kunnen hackers grootschalige phishing-campagnes opzetten: Nederlanders moeten daarom de komende jaren elk bericht van zorgaanbieders wantrouwen en dubbel controleren.”
      Dank voor de tip.
      Ik kijk uit naar het hoorspel, of een podcast, trilogie, een miniserie, een drama, over “deze storm die voorlopig niet gaat liggen”
      Eurofins–lab the musical ?

    2. Franse slag bij informatiebeveiliging. Niet NEN 7510 geaccrediteerd? Wat was er nog meer mis bij deze multinational? In ieder geval de communicatie. Clinical Diagnostics wist dat de gegevens van de cliënten misbruikt konden worden, maar cliënten en de opdrachtgever Bevolkingsonderzoek Nederland mochten dat eerst niet weten, net als andere opdrachtgevers.

      Pas toen de hack na 5 weken bekend werd, heeft Clinical Diagnostics het voorval op een eigen webpagina gemeld. Toch schrijven ze “Wij hechten groot belang aan transparante communicatie en informeren u daarom over dit incident.”

      Opmerkelijk is dat Bevolkingsonderzoek Nederland bij zo’n omvangrijke opdracht, niet gecontroleerd heeft of Clinical Diagnostics o.a. NEN 7510 geaccrediteerd was. Ook zij zitten dus fout.

      Ook opmerkelijk is dat Inspectie Gezondheidszorg en Jeugd pas net besloten heeft om ook onderzoek te gaan doen. De raderen daar draaien heel erg langzaam.
      https://www.igj.nl/actueel/nieuws/2025/08/22/igj-start-onderzoek-naar-laboratorium-clinical-diagnostics-rijswijk

    Geef een reactie

    Meer lezen

    Footer