Schriftelijke vragen : Het datalek van medische en persoonlijke gegevens bij het laboratorium van Clinical Diagnostics in Rijswijk.

Vraag 1

Hoe bestaat het dat het anno 2025, in tijden dat we maximaal weerbaar moeten zijn,
mogelijk is om bij een zorgpartij van een half miljoen Nederlanders uiterst gevoelige
medische gegevens en persoonsgegevens te stelen?

Vraag 2

Wanneer werd het datalek bekend bij de Stichting Bevolkingsonderzoek Nederland en
bij het Ministerie van Volksgezondheid, Welzijn en Sport? Kunt u een tijdlijn maken
met de belangrijkste gebeurtenissen en wanneer zij ontdekt zijn? Kunt u daarop zeggen
wanneer de diefstal plaatsvond, wanneer mensen en de Autoriteit Persoonsgegevens geïnformeerd
zijn, wanneer het ministerie/de bewindspersonen geïnformeerd zijn en alle andere relevante
gebeurtenissen?

Vraag 3

Waarom wordt het lekken van persoonlijke en medische gegevens van een half miljoen
Nederlanders pas meer dan vier weken later openbaar gemaakt? Klopt het dat er al eerder
een lek bij dit laboratorium was gesignaleerd maar daar niet naar werd gehandeld,
er geen consequenties waren?

Vraag 4

Bent u het ermee eens dat dit het vertrouwen van Nederlanders in het bevolkingsonderzoek,
waar al steeds minder in wordt deelgenomen, ernstig ondermijnt?

Vraag 5

Hoe kan het dat er met één hack zoveel gegevens van zoveel mensen in één keer buit
kunnen worden gemaakt? Waarom worden medische uitslagen in combinatie met burgerservicenummers
en adresgegevens opgeslagen? Wordt er in deze laboratoria gewerkt met het gespreid
en versleuteld opslaan van een minimaal benodigde hoeveelheid gegevens? Welke concrete
inspanningen worden er geleverd om te voldoen aan het beginsel van dataminimalisatie
conform artikel 5 AVG?

Vraag 6

Valt dit lab, één van de grootste van Nederland, onder toezicht van de Inspectie Gezondheidszorg
en Jeugd (IGJ)? Zo ja, wanneer heeft de Inspectie voor het laatst dit laboratorium
bezocht en wat waren toen de bevindingen?

Vraag 7

Wat zijn de minimumvereisten voor dataveiligheid van Stichting bevolkingsonderzoek?
Aan welke standaarden moeten laboratoria voldoen om grootschalig labonderzoek te mogen
verrichten?

Vraag 8

Hoe was het gesteld met de datahuishouding en -veiligheid bij dit lab? Beschikte het
laboratorium over de NEN 7510 certificering voor databeveiliging? Klopt het dat alle
zorgpartijen die met bijzondere persoonsgegevens werken verplicht zijn om aan de NEN7510
richtlijn te voldoen? Voldeed dit lab hieraan? Gaan medische laboratoria onder de
NIS-2 wetgeving vallen?

Vraag 9

Worden er vandaag nog steeds samples gestuurd vanuit het bevolkingsonderzoek of andere
medische diagnostiek naar laboratoria waar deze data niet veilig zijn en worden verwerkt
door systemen die niet aan de richtlijnen voldoen?

Vraag 10

Bij hoeveel Eurofins laboratoria speelt dit? Bij hoeveel andere medische laboratoria?

Vraag 11

Welke andere zorgpartijen beschikken over de medische en persoonsgegevens van honderdduizenden
Nederlanders zonder dat de dataveiligheid op orde is?

Vraag 12

Op welke termijn kunt u dit in kaart brengen?

Vraag 13

Wat bent u van plan om te doen als blijkt dat deze onveilige situatie bij andere zorgpartijen
speelt?

Vraag 14

Wat verwacht u van de effecten van dit massale datalek voor de veiligheid van Nederlanders
en hoe beoordeelt u de risico’s op onder andere identiteitsfraude, chantage of zorgmijden
als gevolg hiervan? Hoe worden mensen met gevoelige adresgegevens, zoals penitentiaire
inrichtingen, blijf-van-mijn-lijf-huizen en psychiatrische klinieken geholpen?

Vraag 15

Kunt u deze vragen los van elkaar, zo snel mogelijk en zeker binnen drie weken beantwoorden?