Inspectie vernietigend over beveiliging Clinical Diagnostics na datahack
In dit artikel:
Het medisch diagnostisch laboratorium Clinical Diagnostics in Rijswijk (onderdeel van het Franse Eurofins) voldeed tijdens de grootschalige hack begin juli 2025 niet aan de verplichte Nederlandse informatiebeveiligingsnorm NEN 7510, concludeert de Inspectie Gezondheidszorg en Jeugd (IGJ). Bij de aanval werden medische en persoonsgegevens van ongeveer 941.000 mensen ingezien of gestolen, met veel onrust onder deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker.
De IGJ ontdekte dat bij de getroffen bedrijfsonderdelen (LCPL en NMDL) geen onafhankelijke audit van de informatiebeveiliging had plaatsgevonden en dat risico‑analyses op gegevensverwerking niet periodiek werden uitgevoerd. Daardoor ontbrak inzicht in welke maatregelen nodig waren om cyberrisico’s te beheersen. Eurofins verkeerde in de veronderstelling dat de hele omgeving werd gemonitord door het security operations center (SOC), maar legacy‑systemen vielen door een menselijke fout buiten de scope van die monitoring. Afwijkende logpatronen werden daardoor niet opgemerkt. Het gecompromitteerde account bleek weliswaar een lang wachtwoord te hebben, maar geen multi‑factorauthenticatie actief — iets wat eerder wél was toegepast.
Tijdens het onderzoek gaf Clinical Diagnostics aanvankelijk aan deels aan NEN 7510 te voldoen; later bleek dat dit alleen voor een bedrijfsonderdeel gold dat niet was getroffen. Pas na anderhalve maand erkende het bedrijf dat er al meer dan drie jaar geen audit op die norm had plaatsgevonden. De IGJ stelt dat gezien de omvang en gevoeligheid van de verwerkte gegevens het bedrijf meer zorgplicht had en dat wettelijke normen juist bestaan om dit soort schades te beperken.
De inspectie roept alle zorgaanbieders en hun leveranciers op aantoonbaar te werken volgens NEN 7510 — met een certificaat of onafhankelijke beoordeling — en zal hier strenger op toezien, omdat ketens door één hack veel organisaties kunnen raken. De IGJ kan zelf geen boetes opleggen; de Autoriteit Persoonsgegevens onderzoekt de zaak nog. Clinical Diagnostics heeft inmiddels losgeld betaald en de financiële en reputatieschade kan nog verder oplopen.