Bevolkingsonderzoek Nederland: 'Persoonsgegevens gedeeld volgens wetten en richtlijnen'

maandag, 1 september 2025 (07:03) - Computable

In dit artikel:

Bij een hack op een Eurofins-laboratorium zijn persoonsgegevens van een zeer grote groep Nederlanders gelekt nadat Bevolkingsonderzoek Nederland (BVO NL) die gegevens naar het laboratorium stuurde. BVO NL deelde data van 941.000 deelnemers met het Eurofins-lab Clinical Diagnostics NMDL; voor minstens 715.000 van hen is vastgesteld dat name, adres, woonplaats, geslacht, geboortedatum, bsn, type onderzoek (zelftest of uitstrijkje), testuitslagen en de naam van de huisarts zijn ontvreemd.

Elma van der Vlis, woordvoerder van BVO NL, legt uit dat organisaties die persoonsgegevens verwerken aan de AVG moeten voldoen en dat BVO NL controleert of verwerkers aan die eisen voldoen. Voor de bevolkingsonderzoeken worden diensten zoals laboratoriumonderzoek Europees aanbesteed; in het contract met het laboratorium zijn beveiligings- en privacyeisen (onder meer ISO- en NEN-normen) vastgelegd en is een verwerkersovereenkomst afgesloten met afspraken over de bescherming van persoonsgegevens. Desondanks erkent BVO NL dat ook zorgvuldig geselecteerde partijen slachtoffer kunnen worden van digitale criminelen.

BVO NL benadrukt dat het gebruik van het bsn in de zorg wettelijk verplicht is om gegevens aan de juiste patiënt te koppelen en dat laboratoria als zorgaanbieders onder meerdere wetten en richtlijnen vallen (waaronder de Wet op de geneeskundige behandelingsovereenkomst, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Wet elektronische gegevensuitwisseling in de zorg). De richtlijn voor uitwisseling van laboratoriumgegevens beperkt zich naar zeggen tot zorginhoudelijke communicatie; BVO NL stelt dat zij alleen de gegevens deelt die noodzakelijk zijn om deelnemers de juiste uitslagen te sturen en dat per bevolkingsonderzoek wordt gekeken hoe gegevensuitwisseling geminimaliseerd kan worden.

Er loopt onderzoek naar de precieze oorzaak van de hack; in afwachting daarvan is de samenwerking met het betrokken laboratorium tijdelijk opgeschort. De zaak toont de kwetsbaarheid van ketens in de zorg: zelfs bij aanbesteding, contractuele eisen en controles kunnen omvangrijke datalekken optreden, met gevoelige informatie zoals bsn en medische uitslagen die risico’s voor getroffen personen met zich meebrengen.