Brief regering : Stand van zaken datahack bij laboratorium bevolkingsonderzoek baarmoederhalskanker
32 761 Verwerking en bescherming persoonsgegevens
32 793
Preventief gezondheidsbeleid
Nr. 334
BRIEF VAN DE STAATSSECRETARIS VAN VOLKSGEZONDHEID, WELZIJN EN SPORT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 5 februari 2026
Afgelopen zomer heeft een hack plaatsgevonden bij het laboratorium Clinical Diagnostics
(CD) dat betrokken is bij het bevolkingsonderzoek baarmoederhalskanker. Hierbij zijn
persoonsgegevens van honderdduizenden deelnemers aan het bevolkingsonderzoek gestolen.
Een ingrijpende gebeurtenis voor de getroffenen, wat ik ten zeerste betreur. Veel
van hen hadden vragen naar aanleiding van de hack. Bevolkingsonderzoek Nederland (BVO NL)
heeft in de eerste maanden na de hack het klantcontactcentrum1 opgeschaald om deze vragen te kunnen beantwoorden. In de eerste periode van augustus
tot oktober zijn er zo’n 11.000 telefoontjes en 5.000 mails binnengekomen en behandeld.
Momenteel komen er nog enkele tientallen telefoontjes en mails per week binnen. Getroffenen
kunnen voor informatie te allen tijde terecht bij het klantcontactcentrum van BVO NL.
Ik heb toegezegd uw Kamer blijvend te informeren over de situatie rond de hack, mede
namens de Minister van Volksgezondheid, Welzijn en Sport. Allereerst geef ik in deze
brief een korte terugblik op wat er is gebeurd en ga ik in op de gevolgen van de datahack
bij CD voor de deelname aan het bevolkingsonderzoek baarmoederhalskanker en het vertrouwen
in de bevolkingsonderzoeken. Daarnaast ga ik in op de capaciteitsproblemen die Bevolkingsonderzoek
Nederland (BVO NL) heeft moeten constateren en de besluitvorming daaromtrent.
In deze brief neem ik uw Kamer ook mee in waar we nu staan wat betreft de informatiebeveiliging
en de beschikbare resultaten van een van de audits. Ik verwacht dat uw Kamer in de
loop van het voorjaar een volgende brief met de dan actuele stand van zaken zal ontvangen.
Terugblik
Op 6 augustus 2025 is BVO NL geïnformeerd over de hack bij het laboratorium CD. Als
gevolg van de hack zijn persoonsgegevens gestolen die betrekking hebben op deelnemers
aan het bevolkingsonderzoek baarmoederhalskanker en op mensen bij wie onderzoek is
uitgevoerd in het getroffen laboratorium in opdracht van andere zorgverleners. In
eerste instantie was het beeld dat van 485.000 deelnemers aan het bevolkingsonderzoek
persoonsgegevens waren gestolen; in augustus bleken er nog 230.000 meer deelnemers
getroffen. Uit voorzorg heeft BVO NL toen alle deelnemers aan het bevolkingsonderzoek
sinds 2017 van wie gegevens met het getroffen laboratorium zijn gedeeld, (opnieuw)
per brief geïnformeerd over de hack en de mogelijke gevolgen. Dit betrof ca. 941.000
deelnemers, die halverwege september een brief hebben ontvangen. Het is belangrijk
te benadrukken dat deelnemers aan het bevolkingsonderzoek van wie gegevens met de
andere twee laboratoria zijn gedeeld, niet zijn getroffen door de hack. Uw Kamer is
met de brieven van 11 augustus 20252, 29 augustus 20253 en 2 september 20254 geïnformeerd over de hack bij CD.
In reactie op de hack bij CD zijn direct verschillende maatregelen getroffen. BVO NL
heeft de samenwerking met CD opgeschort, de twee overgebleven laboratoria nemen de
werkzaamheden van CD over op basis van de afgesproken achterwachtregeling. Z-CERT
heeft op verzoek van de Minister van Volksgezondheid, Welzijn en Sport alle laboratoria
benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s
rond zwangerschap en geboorte. Inmiddels zijn alle benaderde laboratoria toegevoegd
aan de scanningsdienst van Z-CERT of is een vergelijkbaar instrument ingezet. Met
deze dienst van Z-CERT wordt continu gemonitord op bekende kwetsbaarheden. De resultaten
worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen
treffen. De Minister heeft daarnaast op 4 december 2025 zorgbestuurders per brief
opgeroepen prioriteit te geven aan het nemen van de nodige technische en organisatorische
maatregelen op het gebied van informatiebeveiliging, te beginnen met het voldoen aan
de wettelijk voorgeschreven informatiebeveiligingsnorm NEN7510. Verder heeft BVO NL
onderzoek laten doen naar de informatiebeveiliging bij CD en trekt BVO NL lessen uit
de datahack voor de eigen organisatie. Tot slot is ook onafhankelijk onderzoek gestart
bij CD door de Inspectie Gezondheidszorg en Jeugd (IGJ), de Autoriteit Persoonsgegevens
(AP) en het Openbaar Ministerie (OM). Wanneer die resultaten volgen, is nog niet bekend.
Gevolgen datahack voor bevolkingsonderzoek baarmoederhalskanker
Er wordt nauwlettend gemonitord wat de gevolgen van de hack zijn voor de deelname
aan het bevolkingsonderzoek baarmoederhalskanker. BVO NL en het RIVM monitoren continu
het aantal tests dat wordt ingestuurd bij de laboratoria, als indicatie voor deelname.
Tot augustus 2025 was een 5% hogere instroom van testen te zien ten opzichte van 2024.
Dit was onder meer verklaarbaar door intensieve bewustzijnscampagnes en veel positieve
media-aandacht. In de maanden vanaf bekendmaking van de hack was de instroom van ingestuurde
testen 11% lager dan in diezelfde maanden van 2024. In het najaar trok deze daling
enigszins bij. Het effect over het hele jaar 2025 ten opzichte van het jaar 2024 is
daarmee een 1,8% lagere instroom van testen, wat grofweg gelijk staat aan 8.000 testen.
Het is niet goed mogelijk om op basis van deze gegevens duidelijke conclusies te trekken
over de daadwerkelijke deelname aan het bevolkingsonderzoek. Dit heeft onder andere
te maken met de fluctuatie van deelname gedurende een kalenderjaar. Het is goed mogelijk
dat vrouwen de uitnodiging voor het bevolkingsonderzoek als gevolg van de hack wat
langer hebben laten liggen, maar uiteindelijk alsnog gaan deelnemen. Sowieso zit er
soms veel tijd tussen uitnodiging en deelname, daarom wordt de deelname aan het bevolkingsonderzoek
altijd op verschillende meetmomenten vastgesteld en jarenlang gevolgd. In de monitor
over 2025, die in het najaar van 2026 verschijnt, zal meer duidelijk worden over de
deelname.
Aanvullend heeft BVO NL in het najaar van 2025 een meting laten uitvoeren om de invloed
van de hack op de deelname-intentie aan het bevolkingsonderzoek en het vertrouwen
in BVO NL te meten. Dit werd gedaan onder meer dan 1.000 mensen uit de doelgroepen
van alle drie de bevolkingsonderzoeken naar kanker. Van de respondenten heeft 13%
aangegeven niet (meer) deel te willen nemen aan het bevolkingsonderzoek vanwege de
hack. Tegelijkertijd geeft het merendeel van hen aan dat het vertrouwen (misschien)
weer te herstellen is met (1) betere en strengere informatiebeveiliging, (2) transparantie
en heldere communicatie over wat er fout ging en wat er nu anders gaat en (3) gegevens
te anonimiseren en minder lang te bewaren. Onder de respondenten is het vertrouwen
in BVO NL nog steeds hoog. 86% van de ondervraagden zegt veel vertrouwen te hebben
in BVO NL. De doelgroep ziet BVO NL als betrouwbaar, nuttig en belangrijk voor gezondheid
en preventie. Zorgen rond de datahack spelen nauwelijks een rol.
Capaciteitsproblemen
BVO NL heeft de samenwerking met CD opgeschort op het moment dat de hack bekend werd.
De twee andere laboratoria die betrokken zijn bij het bevolkingsonderzoek baarmoederhalskanker
hebben het werk van CD overgenomen. Dit gebeurt op basis van de afgesproken achterwachtregeling.
Deze achterwachtregeling is kwetsbaar: het is voor de overgebleven twee laboratoria
steeds moeilijker om de analyses bijtijds uit te voeren. Dit is echter wel van belang
om te voorkomen dat deelnemers aan het bevolkingsonderzoek onverantwoord lang moeten
wachten op hun uitslag. In het kerstreces is door BVO NL samen met de laboratoria
geconstateerd dat er sprake is van een structureel te grote achterstand die met de
huidige maximale inzet van de analisten in de twee laboratoria niet kan worden ingelopen.
Het bleek noodzakelijk om ruimte te creëren bij de laboratoria door het aantal ingestuurde
testen te beperken. Daarom heeft BVO NL het moeilijke besluit moeten nemen om de uitnodigingen
voor het bevolkingsonderzoek baarmoederhalskanker te vertragen.
Op dit moment worden er 50% minder uitnodigingen voor het bevolkingsonderzoek baarmoederhalskanker
verstuurd. BVO NL monitort continu of het aantal uitnodigingen weer verhoogd kan worden.
Het gaat alleen om vertraging van de primaire uitnodigingen voor het bevolkingsonderzoek.
De uitnodigingen voor een controle-uitstrijkje voor vrouwen met een eerdere HPV-positieve
uitslag lopen zonder vertraging door.
Als gevolg van de vertraging in uitnodigingen loopt het uitnodigingsinterval op. Dat
is de tijd tussen twee uitnodigingen voor het bevolkingsonderzoek. Normaal is dit
interval vijf of tien jaar, afhankelijk van de leeftijd van de deelnemer, uitslag
en eerdere deelname. Op dit moment is het uitnodigingsinterval één maand langer, dat
wil zeggen vijf of tien jaar plus één maand. Dit zal verder oplopen naarmate deze
vertraging aanhoudt. Met iedere maand dat deze situatie aanhoudt, zal het interval
ook ongeveer met één maand toenemen. Dus over nog een maand is de vertraging in het
interval 1–2 maanden en over twee maanden is de vertraging 2–3 maanden, enzovoorts.
De verwachting is dat de vertraging voorlopig zal aanhouden, omdat er niet op korte
termijn een oplossing beschikbaar is. Pas wanneer meer capaciteit beschikbaar is,
bijvoorbeeld doordat de samenwerking met CD kan worden hervat, wordt het aantal uitnodigingen
weer opgeschroefd. Tegelijkertijd zien het RIVM en BVO NL dat dit waarschijnlijk alleen
niet voldoende zal zijn om de opgelopen achterstanden in te halen. Zij signaleren
dat het daarvoor ook noodzakelijk zal zijn de huidige digitale ondersteuning van de
laboranten in de labs toekomstbestendig te houden met behulp van digitale cytologie.
Digitale cytologie is een systeem voor digitale beoordeling van afwijkende cellen
dat de analisten ondersteunt, waardoor het werk sneller kan worden uitgevoerd.
Het vertragen van de uitnodigingen is geen gemakkelijk besluit geweest voor BVO NL.
Ik ben de twee laboratoria zeer erkentelijk voor de grote inspanningen om het werk
van CD over te nemen, maar ook ik vind het uitermate vervelend voor alle vrouwen uit
de doelgroep die nu iets langer op hun uitnodiging moeten wachten. Gegeven de uitzonderlijke
situatie waarvan sprake is, is er helaas geen andere mogelijkheid. Op basis van ervaringen
uit de COVID-periode, waarin het bevolkingsonderzoek baarmoederhalskanker 3,5 maand
stil heeft gelegen, weten we dat er niet direct (langetermijn)effecten op de gezondheidswinst
zullen zijn.5 De verwachting is dat een tijdelijke nieuwe vertraging tot 3,5 maand niet tot gezondheidsverlies
leidt op populatieniveau. De eventuele gevolgen van een langere vertraging worden
onderzocht. Ik verwacht de resultaten van dit onderzoek in het eerste kwartaal 2026.
Verbetertraject informatiebeveiliging CD
BVO NL heeft PricewaterhouseCoopers (PwC) gevraagd onafhankelijk onderzoek uit te
voeren naar de informatiebeveiliging binnen CD. Het doel van dit onderzoek is inzicht
te verkrijgen in de huidige stand van de informatiebeveiliging van CD, om daarmee
de veiligheid van de verwerking van (bijzondere) persoonsgegevens in relatie tot de
dienstverlening aan BVO NL te kunnen beoordelen. Het onderzoek bestond uit een analyse
van het operationele proces, de IT-systemen, datastromen en onderliggende IT-infrastructuur
van CD. Uit het onderzoeksrapport van PwC volgt dat op al die punten tekortkomingen
bestaan. CD is nu op basis van het rapport aan de slag om de informatiebeveiliging
op orde te brengen.
Over de precieze onderzoeksbevindingen kan ik helaas niet meer specifieke informatie
verstrekken, om reden dat dit tot openbaarmaking van gevoelige en vertrouwelijk verstrekte
bedrijfsgegevens zou leiden. Het openbaar maken van gedetailleerde informatie over
risico’s of gebreken in de informatiebeveiliging kan leiden tot risico’s op onrechtmatig
gebruik van die gegevens door onbevoegden, met alle nadelige gevolgen voor betrokkenen
van dien. Behoudens enkele inleidende en algemene passages zou het rapport om voornoemde
redenen grotendeels onleesbaar moeten worden gemaakt. De openbaarmaking ervan geeft
dus niet meer relevante informatie dan in deze brief verstrekt.
BVO NL is voornemens om met CD te werken aan hervatting van de samenwerking. Er is
immers groot belang bij de continuïteit van het bevolkingsonderzoek baarmoederhalskanker.
Omdat nu de primaire uitnodigingen voor het bevolkingsonderzoek vertraagd worden,
staat deze continuïteit onder druk. Van BVO NL en het RIVM begrijp ik dat het vinden
van een ander laboratorium dat op korte termijn het werk van CD kan en wil overnemen,
niet haalbaar is. BVO NL heeft hiertoe een globale verkenning uitgevoerd. De benodigde
expertise op het gebied van cervixcytologie is schaars en voor het bevolkingsonderzoek
zijn hoge kwaliteit en veel ervaring vereist. Op het gebied van cervixcytologie heeft
CD inhoudelijk altijd goed werk geleverd en CD bezit veel expertise die nodig is om
het bevolkingsonderzoek met de huidige kwaliteit uit te voeren. BVO NL heeft mij laten
weten dat de gesprekken tussen BVO NL en CD en de plannen die CD heeft opgesteld op
basis van het onderzoek door PwC, BVO NL voldoende vertrouwen geven om CD de kans
te geven de informatiebeveiliging op orde te brengen. Ondanks dat ik ben geschrokken
van de door PwC geconstateerde tekortkomingen, snap ik dat BVO NL alles afwegende
nu met CD werkt aan hervatting van de samenwerking.
Uiteraard geldt dat BVO NL de samenwerking met CD alleen dan kan hervatten wanneer
de veiligheid van alle data van alle deelnemers onafhankelijk is vastgesteld. Tot
die tijd zullen voor het bevolkingsonderzoek geen testen door dit lab worden geanalyseerd.
De komende zes maanden werkt CD aan de in het PwC-rapport genoemde tekortkomingen.
Het is aan BVO NL om te beoordelen of CD de tekortkomingen heeft verholpen. Daarbij
zal BVO NL PwC opnieuw een onafhankelijke beoordeling laten uitvoeren om de veiligheid
van de data te kunnen vaststellen. Alleen als het CD lukt binnen de overeengekomen
termijnen de informatiebeveiliging aantoonbaar op orde te hebben, is BVO NL voornemens
de samenwerking te hervatten. BVO NL behoudt het recht om de samenwerking met CD alsnog
definitief stop te zetten als er geen vertrouwen meer is dat de informatiebeveiliging
op orde wordt gebracht. CD heeft aan BVO NL laten weten bereid te zijn alles op alles
te zetten om de gesignaleerde tekortkomingen te verhelpen.
De komende periode zal ik vanuit mijn stelselverantwoordelijkheid de ontwikkelingen
nauwgezet blijven volgen. Ik zal uw Kamer informeren over de voortgang.
Eerste reflectie BVO NL op datahack
BVO NL heeft naar aanleiding van de datahack ook de eigen processen kritisch onder
de loep genomen, waarbij is gekeken naar datastromen, opslag, bewaartermijnen van
(gevoelige) gegevens en de borging van informatiebeveiliging en privacy. De datastromen
van en naar de laboratoria en de afspraken daarover ten tijde van de aanbesteding
zijn in opdracht van BVO NL door een externe partij gereconstrueerd, met onder andere
een focus op de rol van BVO NL. BVO NL heeft het RIVM hier een eerste reflectie op
gegeven.
Voor BVO NL is de geldende wet- en regelgeving het uitgangspunt bij de contractering
van de laboratoria. Dit gaat zowel om de wettelijke eisen die gelden voor de omgang
met persoonsgegevens, als de wettelijke bewaartermijn die volgt uit de Wet op de Geneeskundige
Behandelingsovereenkomst (Wgbo). Op basis van de reconstructie heeft BVO NL geconcludeerd
dat de gestelde eisen aan de laboratoria in het kader van de aanbesteding conform
de wet- en regelgeving waren. Op basis van de recent afgeronde aanbesteding voor het
bevolkingsonderzoek darmkanker is sprake van voortschrijdend inzicht over de mogelijkheden
rond verdere dataminimalisatie. BVO NL zal deze meenemen in een volgende aanbesteding
in het bevolkingsonderzoek baarmoederhalskanker. Dit gaat dan bijvoorbeeld om vereenvoudiging
van de architectuur en contracten, wat mogelijkheden biedt voor verdere dataminimalisatie.
Daarnaast heeft BVO NL de compliance-eisen (zoals de NEN7510) en contractafspraken
bij de 12 kritische leveranciers van het bevolkingsonderzoek baarmoederhalskanker
diepgaand getoetst, en worden deze nu structureel gemonitord. Het risico op een omvangrijke
hack bij contractpartijen was eerder geen onderdeel van het risicomanagementsysteem.
BVO NL heeft dat nu wel als expliciet onderdeel opgenomen.
Ik ben positief over het delen van deze eerste reflectie door BVO NL en over de manier
waarop BVO NL de eigen organisatie en de inrichting van de bevolkingsonderzoeken beschouwt.
Ik heb begrepen dat BVO NL hier de komende periode onverminderd mee verder gaat. BVO NL
kijkt daarnaast breder of het noodzakelijk is om aanvullend onderzoek te doen naar
de datahack, of dat de huidige onderzoeksresultaten voldoende inzicht gegeven hebben.
Tot slot
Ik kan niet vaak genoeg herhalen hoe erg ik het vind dat de datahack heeft plaatsgevonden.
Vooral voor alle getroffenen, maar ook voor alle andere vrouwen uit de doelgroep die
nu te maken krijgen met de vertraging van uitnodigingen. Samen met de betrokken organisaties
werk ik er vanuit mijn stelselverantwoordelijkheid aan om de situatie zo snel als
mogelijk weer op orde te krijgen. Ik zal uw Kamer hier goed in mee blijven nemen.
De Staatssecretaris van Volksgezondheid, Welzijn en Sport,
J.Z.C.M. Tielen
Ondertekenaars
J.Z.C.M. Tielen, staatssecretaris van Volksgezondheid, Welzijn en Sport