Schriftelijke vragen : Het artikel ‘Datahack bij laboratorium veel groter, deel gegevens op dark web’

Vraag 1

Kunt u bevestigen dat het datalek bij laboratorium Clinical Diagnostics veel groter
blijkt dan eerder gemeld, en dat naast gegevens van 485 duizend vrouwen ook data van
onderzoeken naar huid, urine, penis, anus en wondvocht zijn buitgemaakt?1

Vraag 2

Hoe beoordeelt u het feit dat gegevens, inclusief burgerservicenummer, medische uitslagen
en adviezen, deels op het dark web zijn verschenen en dat criminelen claimen 300 gigabyte
aan data te hebben gestolen?

Vraag 3

Wat vindt u van het feit dat het datalek al op 6 juli 2025 bekend was bij het laboratorium,
maar pas op 6 augustus 2025 is gemeld aan Bevolkingsonderzoek Nederland?

Vraag 4

Kunt u bevestigen dat ook gegevens van patiënten van huisartsen en ziekenhuizen zoals
het Leids Universitair Medisch Centrum, Amphia ziekenhuis en Alrijne ziekenhuis zijn
gelekt? Wat betekent dit voor de verantwoordelijkheid van deze instellingen?

Vraag 5

Welke concrete maatregelen zijn inmiddels genomen om de schade voor betrokken burgers
te beperken en herhaling te voorkomen?

Vraag 6

Hoe kan het dat Bevolkingsonderzoek Nederland en andere zorginstellingen geen gebruik
maken van bijvoorbeeld Privacy by Design technieken, waardoor herleidbare persoonsgegevens
niet uitgewisseld hoeven te worden tussen een extern laboratorium en de zorginstelling?

Vraag 7

Welke verbeteringen gaat u doorvoeren in het toezicht op digitale veiligheid bij laboratoria
en andere zorginstellingen? Welke verbeteringen ziet u voor de lange termijn?

Vraag 8

Hoe beoordeelt u de keuze om gezondheidsdata te laten beheren door private laboratoria?
Kunt u toezeggen om te onderzoeken of centrale overheidsregie op digitale gezondheidsdata
uitvoerbaar en wenselijk is?

Vraag 9

Bent u bekend met systemen waarbij data bij de bron wordt onthouden en pas bij verwijzing
kunnen worden ingezien, met volledige logging van inzage? Hoe beoordeelt u de veiligheid
van dit decentrale model ten opzichte van een centraal systeem zoals in Estland?

Vraag 10

Is er inmiddels aangifte gedaan van deze hack? Zo ja, door wie en op welk moment?
Is dit voor of na de melding op 6 augustus jl. aan Bevolkingsonderzoek Nederland?
En mocht dit voor de melding op 6 augustus zijn geweest, hoe beoordeelt u de communicatie
van organisaties bij datalekken, welke verbeteringen ziet u?

Vraag 11

Welke rol speelt de Inspectie Gezondheidszorg en Jeugd in het toezicht op digitale
veiligheid bij laboratoria? Wordt deze rol versterkt?

Vraag 12

Wat kan de overheid nog doen als gegevens eenmaal op het dark web zijn verschenen,
en hoe wordt de schade voor de betrokken burgers beperkt?

Vraag 13

Kunt u uitsluiten dat andere laboratoria of zorginstellingen eveneens slachtoffer
zijn van deze of vergelijkbare hacks?

Vraag 14

Bent u bereid om een landelijke audit op databeveiliging bij zorginstellingen te laten
uitvoeren, en daarbij ook de rol van de Autoriteit Persoonsgegevens, de Inspectie
Gezondheidszorg en Jeugd en het Nationaal Cyber Security Centrum te betrekken?

Vraag 15

Deelt u de mening dat het vertrouwen in bevolkingsonderzoeken ernstig wordt geschaad
door dit datalek?

Vraag 16

Welke maatregelen neemt u om het vertrouwen in bevolkingsonderzoeken te herstellen
en deelname te stimuleren?

Vraag 17

Hoe wordt de communicatie richting burgers afgestemd op de ernst van het datalek,
en hoe worden deelnemers aan het bevolkingsonderzoek proactief geïnformeerd?

Vraag 18

Bent u bereid om met Gemeentelijke Gezondheidsdiensten, huisartsen en Bevolkingsonderzoek
Nederland een herstelplan op te stellen voor het vertrouwen in preventieve zorg na
dit incident?

Vraag 19

Kunt u als Minister en Staatssecretaris, gezien de ernst van de situatie, toezeggen
om voor 1 september 2025 uitgebreid antwoord te geven op bovenstaande vragen, inclusief
een visie op de toekomst van digitale gezondheidsdata en cyberveiligheid in de preventieve
zorg?