Datalek bevolkingsonderzoek in de schijnwerpers

03 – 09 – 2025 Naar aanleiding van het NOS bericht van 11 augustus 2025 ontstond ophef over het datalek van de persoonsgegevens van bijna een miljoen vrouwen die mee hadden gedaan aan het bevolkingsonderzoek baarmoederhalskanker van Bevolkingsonderzoek Nederland. Bekend werd dat het laboratorium Clinical Diagnostics slachtoffer is geworden van een hack. Het datalek betreft zeer gevoelige informatie, waaronder medische testuitslagen en burgerservicenummers. Een deel van de gegevens is inmiddels op het dark web teruggevonden. Uit het NOS bericht van 27 augustus werd bovendien duidelijk dat naast het onderzoek van de Autoriteit Persoonsgegevens ook het Openbaar Ministerie en de politie een strafrechtelijk onderzoek zijn gestart naar het datalek.

Datalekken kunnen leiden tot gerichte phising-aanvallen, identiteitsfraude of afpersing. Naast de directe gevolgen voor de betrokken personen, zorgt een incident van deze omvang ook voor onzekerheid en vragen over de bescherming van persoonsgegevens in de zorg. Het incident van Bevolkingsonderzoek Nederland laat zien hoe belangrijk het is om goed voorbereid te zijn op een datalek. Transparante communicatie, snelle actie en duidelijke processen maken het verschil in het beperken van schade. Zowel voor de privacy van uw klanten, patiënten, werknemers of andere betrokkenen als voor uw organisatie(s) zelf. 

Wat kunt uw organisatie doen bij een datalek?
Een datalek kan elke organisatie overkomen. Snel en zorgvuldig handelen helpt om de impact te beperken en te voldoen aan wettelijke verplichtingen. In het kort een aantal aandachtspunten:

• Beperk de schade: stop het datalek en neem maatregelen, zoals accounts blokkeren, bestanden verwijderen of apparaten wissen. Bij complexe incidenten, zoals een ransomware-aanval, kan aanvullend forensisch onderzoek nodig zijn om de aard en omvang van het lek te bepalen.
• Creëer overzicht: breng in kaart wat er is gebeurd: wanneer is het datalek ontstaan en wanneer is het ontdekt, welke persoonsgegevens, hoeveel personen, wat zijn de risico’s.
• Meld en informeer: indien nodig moet het datalek binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Ook is het mogelijk dat uw klanten, patiënten of andere betrokkenen geïnformeerd moeten worden, zodat zij zelf maatregelen kunnen nemen.
• Registreer: leg alle datalekken vast in een intern datalekregister. Dit helpt om te leren van incidenten en maakt inzichtelijk dat je als organisatie zorgvuldig handelt.

Blijf op de hoogte van juridische ontwikkelingen

De rechtspraak rond datalekken en informatiebeveiliging ontwikkelt zich snel. Een recente uitspraak biedt belangrijke lessen voor organisaties die persoonsgegevens verwerken. Zo werd in een recente uitspraak van het Gerechtshof Arnhem-Leeuwarden geoordeeld dat een organisatie aansprakelijk kan zijn voor schade na een hack, ondanks dat de IT-beveiliging was uitbesteed aan een ISO 27001-gecertificeerde leverancier. Dit betekent dat een ISO-certificering geen vrijbrief biedt. Verwerkingsverantwoordelijke organisaties moeten concreet kunnen aantonen welke beveiligingsmaatregelen zijn genomen. Dit vraagt om due diligence bij leveranciers en duidelijke contractuele afspraken.

Hoe Considerati uw organisatie kan ondersteunen
Hoewel datalekken nooit helemaal te voorkomen zijn, kunt u zich als organisatie wel degelijk goed voorbereiden. Ons team kan uw organisaties helpen met:

• Preventie: onze gespecialiseerde privacyjuristen helpen u inzicht te krijgen waar de (gevoelige) persoonsgegevens zich bevinden (data mapping), doen risicoanalyses en ondersteunen bij het maken van solide (contractuele) afspraken met leveranciers.
• Analyse, repressie & herstel: Considerati ondersteunt u bij de analyse van incidenten en indien nodig bij meldingen aan en contact met de Autoriteit Persoonsgegevens en betrokkenen. Ook helpt Considerati met het opstellen van een incident response plan en bieden wij trainingen over hoe datalekken te herkennen en ‘datalek oefeningen’ om uw medewerkers goed voor te bereiden.
• Communicatie: een transparante en tijdige communicatie over een datalek kan een positieve invloed hebben op het vertrouwen van betrokkenen en helpt reputatieschade te beperken. Considerati geeft advies en ondersteuning bij crisiscommunicatie richting klanten, partners en media om reputatieschade te beperken.

Wij geloven dat goede voorbereiding en duidelijke processen essentieel zijn om de gevolgen van datalekken te verkleinen.