Baarmoederhalskankergegevens ook na hack niet veilig
In dit artikel:
Clinical Diagnostics, onderdeel van Eurofins en uitvoerder van het landelijke bevolkingsonderzoek baarmoederhalskanker, voldeed een halfjaar na de omvangrijke hack in 2025 nog niet aan de geldende informatiebeveiligingsnormen in de zorg, stelt de Inspectie Gezondheidszorg en Jeugd (IGJ) in een vandaag verschenen rapport. Bij de inbraak werden de persoonsgegevens van bijna een miljoen deelneemsters buitgemaakt — onder meer namen, adressen, burgerservicenummers en medische voorgeschiedenis — waarna de hackers losgeld eisten van Eurofins.
De toegang werd verkregen via een medewerkersaccount op een verouderd systeem waarin de data nog stonden, terwijl Eurofins al langere tijd bezig was met een migratie naar Microsoft Azure. Volgens betrokkenen waren migratievoorstellen al in 2024 gedaan, maar een volledige overzetting naar een centrale omgeving was lang niet afgerond toen de hack plaatsvond. De IGJ meldt bovendien dat de laboratoria de drie jaar voorafgaand aan de aanval niet hadden gecontroleerd of zij aan de industriestandaarden voor zorginformatiebeveiliging voldeden; Clinical Diagnostics houdt nog op haar website vol dat de labs wél aan die normen voldoen.
Als gevolg van de hack schortte Bevolkingsonderzoek Nederland de samenwerking met Clinical Diagnostics op, waardoor verwerkingscapaciteit daalde en in februari ongeveer de helft minder uitnodigingen voor het bevolkingsonderzoek werden verstuurd. Bevolkingsonderzoek Nederland zal nagaan of voldoende beveiligingsmaatregelen zijn genomen; één van de getroffen labs liet recent een beoordeling voor NEN 7510-certificering uitvoeren (resultaten nog niet openbaar). De Autoriteit Persoonsgegevens en het Openbaar Ministerie doen afzonderlijke onderzoeken naar de datalek en mogelijke strafrechtelijke en privacygevolgen.