Schriftelijke vragen : De hack op een lab van Bevolkingsonderzoek Nederland

Vraag 1

Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief
over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?

Vraag 2

Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt
zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt
of al zijn gelekt?

Vraag 3

Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk
is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd
met de juiste of een neutrale aanhef worden aangeschreven?

Vraag 4

Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt
hun gestolen data vermoedelijk gebruikt?

Vraag 5

Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek
Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo
niet, bent u bereid hier middelen voor vrij te maken?

Vraag 6

Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik
van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?

Vraag 7

Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder
worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens
om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?

Vraag 8

Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren?
Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?

Vraag 9

Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan?
Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?

Vraag 10

Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op
te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport?
Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid
van betrokken organisaties?

Vraag 11

Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken
en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?

Vraag 12

Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek
Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze
onderzoeken verschaffen?

Vraag 13

Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken
worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties
feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?

Vraag 14

Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor
een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid
in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?

Vraag 15

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?