Recent kwam in het nieuws dat er een groot datalek bij Bevolkingsonderzoek Nederland heeft plaatsgevonden, via een laboratorium dat in opdracht van hen monsters analyseerde. De berichtgeving richtte zich vooral op het laboratorium zelf. Toch is de centrale vraag breder: hoe gaan we in Nederland om met gevoelige persoonsgegevens in de zorgketen, en welke lessen kunnen we hieruit trekken — zeker met de komst van de NIS2-richtlijn?
Bevolkingsonderzoek Nederland en de zorgketen
Bevolkingsonderzoek Nederland is verantwoordelijk voor de organisatie en coördinatie van verschillende bevolkingsonderzoeken, waaronder dat naar baarmoederhalskanker. Op basis van vooraf vastgestelde cohorten krijgen vrouwen een uitnodiging om deel te nemen.
Deelnemers ontvangen van Bevolkingsonderzoek Nederland een uitnodigingsbrief met daarin een streepjeskode. Je kunt er als vrouw voor kiezen om het monster zelf af te nemen of dit door de huisarts te laten doen. Het monster wordt samen met de uitnodigingsbrief in een enveloppe naar het laboratorium gestuurd. De streepjescode bevat de persoonlijke gegevens van de vrouw en welke test moet worden uitgevoerd. Zo komt het laboratorium niet alleen in bezit van het monster, maar ook van de persoonlijke gegevens van de deelneemster.
Brief aan deelnemers: welke informatie wordt gedeeld?
In de begeleidende brief staat dat de monsters voor het bevolkingsonderzoek baarmoederhalskanker, persoonsgegevens bevatten, zoals naam en geboortedatum, gekoppeld aan de aangevraagde test. Dat is volgens Bevolkingsonderzoek Nederland noodzakelijk om de analyse te kunnen uitvoeren.
Voor deelnemers roept dit vragen op: waar gaan mijn gegevens heen? Hoe veilig zijn ze? En is het echt nodig dat een laboratorium al die informatie ontvangt?
Zijn mijn gegevens echt nodig voor analyse?
Een belangrijke vraag is of een laboratorium al die gegevens werkelijk nodig heeft om zijn werk goed te doen. In essentie heeft een lab maar twee dingen nodig:
- Het te onderzoeken monster.
- Een unieke code die voorkomt dat monsters worden verwisseld.
De identiteit van de deelneemster is voor de uitvoering van de test niet relevant. Sterker nog, anonieme verwerking versterkt de onafhankelijkheid en objectiviteit van de test. Het doorgeven van meer persoonsgegevens dan strikt noodzakelijk verhoogt het risico op misbruik en datalekken.
Onderzoek naar minimale gegevensverstrekking
Een van de belangrijkste lessen die wij kunnen trekken is dat organisaties in de zorgketen alleen díe informatie moeten delen die strikt noodzakelijk is. Een unieke code die Bevolkingsonderzoek Nederland zelf koppelt aan persoonsgegevens zou in principe voldoende moeten zijn.
Door nu onnodige persoonsgegevens mee te sturen, worden de gegevens van honderdduizenden vrouwen in meerdere systemen opgeslagen. Elke extra opslagplek vergroot de kans dat er een hack of datalek plaatsvindt.
Clinical Diagnostics; Klinische diagnostiek en privacy
In de wereld van klinische diagnostiek wordt veel waarde gehecht aan kwaliteit en betrouwbaarheid van analyses. Toch mag dat nooit ten koste gaan van de privacy van deelnemers.
De vraag die hier op tafel ligt: hoe verhoudt de behoefte aan medische nauwkeurigheid zich tot de plicht om gegevensbescherming te waarborgen? Het antwoord ligt in privacy by design: processen moeten zó worden ingericht dat alleen de strikt noodzakelijke gegevens beschikbaar zijn.
Op dit moment is het zo dat Bevolkingsonderzoek Nederland het laboratorium vraagt om de uitslagen van de test naar de huisarts of rechtstreeks naar de vrouw te communiceren. Dat is een keuze. Je zou dit ook zelf als bevolkingsonderzoek Nederland kunnen doen. Het lab geeft alleen de uitslag door aan Bevolkingsonderzoek Nederland die gekoppeld is aan een uniek nummer en Bevolkingsonderzoek Nederland doet de rest.
Informatiebeveiliging in de zorg: NEN 7510 en ISO 27001
Bevolkingsonderzoek Nederland is NEN 7510-gecertificeerd, wat betekent dat intern de beschikbaarheid, integriteit en vertrouwelijkheid van informatie goed is geregeld. Toch garandeert certificering niet dat er buiten de organisatie geen risico’s bestaan.
Een risicoanalyse hoort ook te kijken naar de informatie die met ketenpartners wordt gedeeld. In dit geval betrof het een laboratorium zonder NEN 7510 of ISO 27001 certificering, terwijl het wel jarenlang persoonsgegevens verwerkte. Hoewel Bevolkingsonderzoek Nederland zelf een toets uitvoerde, biedt alleen onafhankelijke certificering door een geaccrediteerde instantie de garantie dat gegevens écht veilig worden verwerkt.
Profiel Bevolkingsonderzoek Nederland en ketenverantwoordelijkheid
Het profiel van Bevolkingsonderzoek Nederland is dat van een professionele organisatie die grootschalige bevolkingsonderzoeken zorgvuldig coördineert. Maar het incident laat zien dat ketenverantwoordelijkheid nog belangrijker wordt.
Als een partner in de keten niet goed presteert, kan dit de hele organisatie kwetsbaar maken, ondanks dat interne processen goed geregeld zijn..
Invloed van gegevensuitwisseling op deelnemers
Voor deelnemers aan het bevolkingsonderzoek gaat het om iets persoonlijks: hun medische gegevens. Zij vertrouwen erop dat hun informatie veilig wordt behandeld.
Elke keer dat gegevens door de keten reizen, neemt de kans toe dat er iets misgaat. Het datalek heeft duidelijk gemaakt dat het vertrouwen van deelnemers op het spel staat wanneer er te ruimhartig met gegevens wordt omgesprongen.
Kans op datalekken verkleinen
De eenvoudigste manier om de kans op datalekken te verkleinen is door gegevens alleen te delen wanneer dat strikt noodzakelijk is. Het principe van dataminimalisatie zou standaard moeten gelden in alle processen rondom bevolkingsonderzoeken en laboratoria.
Uitslag van het onderzoek: wat is echt nodig?
Het laboratorium moet een uitslag koppelen aan een monster. Maar om dat goed te doen, is het niet nodig om te weten welke persoon daarachter zit. De koppeling met persoonsgegevens kan veilig en gecontroleerd plaatsvinden bij Bevolkingsonderzoek Nederland zelf.
Door dit beter te scheiden, kan het laboratorium zich richten op de medische analyse, terwijl Bevolkingsonderzoek Nederland de privacy en koppeling bewaakt.
Risico’s van ketensamenwerking
Het incident maakt duidelijk dat er grote risico’s zijn verbonden aan samenwerking in ketens waar gevoelige gegevens circuleren. Elk extra systeem en elke extra partij vergroot het aanvalsvlak voor cybercriminelen.
Daarom moeten organisaties zich niet alleen richten op hun eigen beveiliging, maar ook op die van hun partners.
Van vragen naar antwoorden
Het datalek roept logische vragen op: hoe kon dit gebeuren? Welke verantwoordelijkheid ligt waar? En hoe voorkomen we herhaling?
Het antwoord ligt deels in het aanscherpen van processen en deels in wetgeving die de lat hoger legt voor de hele keten.
NIS2: verantwoordelijkheid voor de hele keten
Dit sluit naadloos aan bij de komst van de NIS2-richtlijn, die naar verwachting in het tweede kwartaal van 2026 in Nederland van kracht wordt. NIS2 verplicht organisaties niet alleen hun eigen informatiebeveiliging op orde te hebben, maar ook actief toezicht te houden op hun toeleveranciers en ketenpartners.
Het gaat dus niet langer alleen om interne processen, maar om de hele zorgketen. Het incident bij dit laboratorium laat zien hoe noodzakelijk die bredere blik is — en hoe waardevol het is dat de Europese regelgeving dit nu expliciet verplicht stelt.
Conclusie
Het datalek bij Bevolkingsonderzoek Nederland benadrukt dat informatiebeveiliging niet stopt bij de muren van de eigen organisatie. Het hele netwerk van partners en leveranciers moet veilig zijn ingericht.
De belangrijkste lessen zijn duidelijk:
- Beperk de uitwisseling van persoonsgegevens tot het minimum.
- Werk uitsluitend met aantoonbaar gecertificeerde partners (NEN 7510 of ISO 27001).
- Bereid je voor op de strengere eisen van de NIS2-richtlijn.
Wil je ook NIS2 gaan invoeren? Kijk dan hier hoe wij jou daar bij kunnen helpen.
