Brief regering : Hack bij laboratorium bevolkingsonderzoek baarmoederhalskanker
32 761 Verwerking en bescherming persoonsgegevens
32 793 Preventief gezondheidsbeleid
Nr. 330 BRIEF VAN DE STAATSSECRETARIS VAN VOLKSGEZONDHEID, WELZIJN EN SPORT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 1 september 2025
Op 11 augustus 2025 is uw Kamer door de Minister van Volksgezondheid, Welzijn en Sport,
mede namens mij, geïnformeerd over de hack die heeft plaatsgevonden bij een laboratorium
dat betrokken is bij het bevolkingsonderzoek baarmoederhalskanker.1Als gevolg van de hack zijn gegevens gestolen van vele deelnemers aan het bevolkingsonderzoek
baarmoederhalskanker, alsook van andere mensen van wie onderzoek is uitgevoerd in
het laboratorium Clinical Diagnostics. Afgelopen vrijdag 29 augustus heb ik uw Kamer
geïnformeerd2 dat gebleken is dat er nog aanzienlijk meer deelnemers aan het bevolkingsonderzoek
baarmoederhalskanker zijn getroffen door de hack, namelijk ca. 230.000 mensen. Het
is helaas niet uit te sluiten dat het hierbij blijft.
Met deze brief informeer ik uw Kamer, mede namens de Minister van Volksgezondheid,
Welzijn en Sport, nader over dit nieuws en de laatste stand van zaken met betrekking
tot de hack. Parallel aan deze brief verzend ik vandaag ook mijn antwoorden op de
Kamervragen die zijn gesteld door het lid Joseph (BBB)3 en de leden Hertzberger en Six Dijkstra (beiden NSC)4. De Kamervragen die zijn gesteld door het lid Kathmann (GL-PvdA) worden zo snel mogelijk
beantwoord.
Algemeen
Voor ik verder inga op de ontwikkelingen rond de hack, wil ik nogmaals benadrukken
dat ik het verschrikkelijk vind dat de hack groter is dan we op basis van de informatie
die is verstrekt, verwachtten. Hoewel het een door Bevolkingsonderzoek Nederland (BVO
NL) gecontracteerd laboratorium betreft, kan ik me voorstellen dat deze hack het vertrouwen
de bevolkingsonderzoeken heeft geschaad. Mensen die worden uitgenodigd om mee te doen
aan een bevolkingsonderzoek, moeten de zekerheid hebben dat hun gegevens goed worden
beschermd. Dit geldt overigens voor alle patiënten in de zorg.
Deelname aan een bevolkingsonderzoek is al spannend genoeg, terwijl het voor ieders
gezondheid van belang is. Het vroeg opsporen van baarmoederhalskanker, borstkanker
en darmkanker zorgt ervoor dat de behandeling minder belastend is, een betere uitkomst
heeft en minder sterfte tot gevolg heeft.
De afgelopen weken heb ik gezien dat deze hack een grote impact heeft op alle deelnemers
aan bevolkingsonderzoeken. Met name voor de deelnemers die een brief ontvangen waarin
staat dat hun gegevens bij de hack betrokken zijn en dat hun persoonlijke gegevens
mogelijk in verkeerde handen zijn gekomen. Dat er nog steeds zoveel onzeker en onduidelijk
is, betreur ik. Ik dring er bij de betrokken organisaties op aan dat ze alles uit
de kast blijven halen om zekerheid te krijgen over wat er is gestolen en hoe dat heeft
kunnen gebeuren, en dat er geleerd wordt van deze situatie om te voorkomen dat zich
dit in de toekomst nogmaals voordoet.
Ik begrijp heel goed dat deelnemers zich zorgen maken en dus veel vragen hebben. Bij
vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum5 van BVO NL. Op de website van BVO NL staat het nummer van de infolijn, afhankelijk
van iemands woonplaats. Verder zijn er antwoorden te vinden op veel gestelde vragen.6 Deze worden steeds aangevuld en geactualiseerd.
Omvang van hack
In de Kamerbrief van 11 augustus informeerde ik uw Kamer dat als gevolg van de hack
bij het laboratorium gegevens zijn gestolen van ruim 485.000 deelnemers aan het bevolkingsonderzoek.
Inmiddels is dus duidelijk geworden dat de hack nog eens ca. 230.000 deelnemers aan
het bevolkingsonderzoek heeft getroffen. Ik ben geschrokken van dit nieuws.
In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat
dat zij betrokken zijn bij de hack, per brief geïnformeerd.
BVO NL heeft op 29 augustus een nieuwsbericht gepubliceerd met het nieuws dat nog
eens ca. 230.000 deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack.
Ik heb uw Kamer hierover eveneens op 29 augustus geïnformeerd. Ook deze deelnemers
worden de komende weken hierover door BVO NL per brief geïnformeerd. Volgens BVO NL
kan het laboratorium niet bevestigen dat dit nu de volledige omvang is van het datalek.
Om die reden heeft BVO NL besloten alle betrokkenen die sinds 2017 hebben deelgenomen
aan het bevolkingsonderzoek en van wie gegevens naar het betreffende laboratorium
zijn gestuurd, nader te informeren. Het gaat in totaal om een groep van ruim 941.000
deelnemers. De betreffende brief wordt naar verwachting half september verstuurd.
Voor de volledigheid benadruk ik dat het hier gaat om deelnemers aan het bevolkingsonderzoek
baarmoederhalskanker van wie de gegevens naar het betreffende laboratorium zijn gestuurd.
De gegevens die BVO NL met het laboratorium deelt zijn: naam, adres en woonplaats,
geslacht, soort onderzoek (zelftest of uitstrijkje), geboortedatum, BSN-nummer, testuitslag(en)
en de naam van de huisarts. E-mailadressen en telefoonnummers zijn niet door BVO NL
gedeeld met het laboratorium. Helaas is echter niet uit te sluiten dat ook deze gegevens
onderdeel zijn van de hack. In sommige gevallen worden deze gegevens door andere zorgorganisaties
verstrekt. Welke gegevens van de getroffenen precies bemachtigd zijn met de hack,
is op individueel niveau nu nog niet te zeggen. BVO NL is momenteel druk bezig om
in kaart te brengen welke gegevens er per deelnemer met het laboratorium zijn gedeeld
en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week
van 18 augustus al een brief ontvangen hebben. Deelnemers aan het bevolkingsonderzoek
van wie de gegevens naar de andere laboratoria zijn gestuurd, zijn niet getroffen
door de hack.
Advies voor getroffenen
Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens
onderdeel zijn geweest van de hack bij het laboratorium, is en blijft om extra alert
te zijn op vreemd gebruik van de persoonlijke gegevens. Het gaat dan met name om nepmail,
neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude).
Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties
herkend kunnen worden en hoe hiervan melding gedaan kan worden.7 Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het
klantcontactcentrum van BVO NL.
Maatregelen
Eerder is uw Kamer geïnformeerd over de maatregelen die worden getroffen om de gevolgen
van de hack zoveel mogelijk te beperken. Aanvullend hierop worden de volgende maatregelen
getroffen:
• De samenwerking met het betreffende laboratorium is door BVO NL tot nader order opgeschort.
Twee laboratoria die betrokken zijn bij het bevolkingsonderzoek baarmoederhalskanker
hebben het werk van het getroffen laboratorium overgenomen. Bij deze laboratoria worden
door Z-Cert vanaf heden permanente kwetsbaarhedenchecks uitgevoerd op de systemen
van deze laboratoria die zijn ontsloten aan het internet.
• BVO NL heeft in afstemming met het RIVM heen onderzoek ingesteld naar de exacte omvang
en de oorzaak van deze hack.
• Er is onderzoek gestart naar wat BVO NL kan verbeteren aan onder meer dataminimalisatie,
aanbestedingseisen en bewaartermijnen.
• BVO NL heeft melding gedaan bij de Autoriteit Persoonsgegevens (AP) en de Inspectie
Gezondheidszorg en Jeugd (IGJ). De AP en de IGJ zijn inmiddels beide een onderzoek
gestart.
• Het Openbaar Ministerie en de politie hebben bekend gemaakt strafrechtelijk onderzoek
te doen naar het datalek.
• Het RIVM heeft contact gelegd met het Nationaal Cyber Security Centrum (NCSC) met
het verzoek om assistentie. Het NCSC heeft de coördinatie van dit cyberincident inmiddels
overgedragen aan Z-Cert.
• Tot slot brengt het Ministerie van VWS databeveiliging permanent onder de aandacht
in (bestuurlijke) gesprekken met partners uit het veld. Dataveiligheid is van ons
allemaal en voor ons allemaal van groot belang. Het zou zo vanzelfsprekend moeten
zijn als een brandverzekering. Dat vraagt op alle niveaus om alertheid, urgentie en
inspanning: van de bestuurskamer tot de werkvloer. In technieken in gedrag. Ik zet
mij in dat bewustzijn te vergroten, zeker in deze tijd van oplopende en voortdurende
cyberdreigingen. Samen bouwen we daarmee aan het vertrouwen in databeschikbaarheid.
De verwachting is dat de lopende onderzoeken later dit najaar nadere informatie opleveren.
Op basis van die uitkomsten zal inzichtelijk worden of en op welke wijze verdere maatregelen
ter bescherming van dataveiligheid nodig zijn. Zodra daarover nadere informatie beschikbaar
is, delen we deze met uw Kamer.
Tot slot
BVO NL en het RIVM werken hard aan het onderzoek, de informatievoorziening en het
door laten lopen van de bevolkingsonderzoeken. Het is begrijpelijk dat er nog steeds
veel vragen leven, in de maatschappij en dus ook in uw Kamer. De eerlijkheid gebiedt
mij te zeggen dat veel vragen nog niet precies beantwoord kunnen worden, omdat nog
niet alle informatie beschikbaar is. Dit soort situaties laat zien dat we nooit weten
of we alles weten. De onderzoeken die nu lopen gaan ons naar verwachting belangrijke
informatie geven om de meeste vragen te kunnen beantwoorden. Ik zal uw Kamer doorlopend
informeren over de stand van zaken rond deze hack.
De Staatssecretaris van Volksgezondheid, Welzijn en Sport, J.Z.C.M. Tielen
Ondertekenaars
-
Eerste ondertekenaar
J.Z.C.M. Tielen, staatssecretaris van Volksgezondheid, Welzijn en Sport