Datalek bij Clinical Diagnostics – Wake-up call voor Nederlandse zorg

Een ernstige cyberaanval bij het laboratorium Clinical Diagnostics (Eurofins) heeft geleid tot één van de grootste datalekken in de Nederlandse zorg: gevoelige medische gegevens van ten minste 485.000 vrouwen zijn buitgemaakt, van uitstrijkjes tijdens het bevolkingsonderzoek naar baarmoederhalskanker tot andere huisartsenonderzoeken. Inmiddels blijkt het lek veel groter dan aanvankelijk bekend: mogelijk zijn tot wel 941.000 vrouwen getroffen, inclusief gegevens van huid-, urine- en andere onderzoeken.

Deze gebeurtenis is een wake-up call voor de Nederlandse zorg: juridische kaders zoals de AVG (GDPR) en NEN7510 zijn onvoldoende als organisatiebrede beveiliging ontbreekt. Bij ALTA-ICT zien we dit niet als een incident, maar als symptoom van een breder probleem.

In deze blog analyseren we:

Wat er is gebeurd en waarom het zo ernstig is
Hoe de aanval precies verliep
Recente ontwikkelingen rondom het lek
Welke stappen Nederlandse zorginstellingen direct moeten zetten
Hoe ALTA-ICT organisaties ondersteunt, inclusief meetbare ROI en AVG-compliance

IT-Migratie – Van Uitstel Naar Succes

Wat is er gebeurd?

In juli 2025 werd het Rijswijkse laboratorium Clinical Diagnostics slachtoffer van een ransomware-aanval door hackersgroep Nova. Direct daarna werd een deel van de data – ongeveer 100 MB – op het dark web gepubliceerd als bewijs van de hack. Deze set betroffen gegevens van circa 53.516 mensen, inclusief namen, bsn’s en medische uitslagen.

Als reactie op betaling van hoogstwaarschijnlijk miljoenen euro’s aan losgeld zou de groep hebben gedreigd verdere publicatie te stoppen. Alleen blijkt de dreiging niet te zijn verdwenen: Nova stelde dat de kliniek “afspraken heeft geschonden” en heeft opnieuw een ultimatum gesteld via een aftelklok voor aanvullende eisen.

Recentelijk beloven de hackers dat de data verwijderd is én dat er geen verdere publicatie volgt. De Autoriteit Persoonsgegevens en Inspectie Gezondheidszorg en Jeugd onderzoeken nu de gang van zaken bij Clinical Diagnostics.

Het incident toont de harde realiteit: zelfs met AVG/NEN-compliance is een zorginstelling nog steeds kwetsbaar door onvoldoende implementaties, traag incidentmanagement en gebrek aan crisiscommunicatie.

Waarom is deze aanval zo zorgelijk?

Privacyrisico’s & identiteitsfraude
Gevoelige medische gegevens gecombineerd met BSN’s en adressen vormen een potentieel goudmijn voor identiteitsfraude, chantage en phishing.
Vertrouwensbreuk en reputatieschade
Een dergelijk lek schaadt het vertrouwen in bevolkingsonderzoeken en zorginstanties – met blijvende impact op deelname en medewerking.
Compliance en aansprakelijkheid
Vertraagde melding (pas na een maand) schendt de AVG-norm voor melding binnen 72 uur. Dit kan leiden tot boetes, claims en maatschappelijke verontwaardiging.
Losgeld-fenomeen normaliseren
Ondanks waarschuwingen van toezichthouders betalen organisaties losgeld – wat ransomware steeds winstgevender maakt.
Structurele lacunes in cybersecurity
Van wachtwoordbeleid tot monitoring, incidentresponse en dataminimalisatie: inadequate maatregelen liggen aan de basis van dit soort incidenten.

Actuele status en stappen nu

Grootte van het lek is groter dan verwacht: tot 941.000 deelnemers mogelijk getroffen.
Onderzoek en communicatie: Brieven worden verstuurd naar alle betrokkenen, ook vrouwen die eerder al geïnformeerd waren.
Toezicht en sancties: IGJ en AP onderzoeken Clinical Diagnostics; mogelijk volgt bestuurlijke of juridische actie.
Wat nu? Zorginstellingen moeten direct:
- Dataminimalisatie toepassen
- Real-time monitoring + 24/7 SOC inzetten
- Preventieve audits conform NEN7510 + privacy-by-design implementeren
- Crisiscommunicatie en incident response voorbereiden
- Awareness-programma’s voor zorgpersoneel implementeren

Hoe ALTA-ICT organisaties helpt (met meetbare ROI)

Bij ALTA-ICT B.V. bieden we:

Risicoanalyse & preventieve audits volgens NEN7510 & ISO27001
24/7 detectie & respons op verdachte datastromen
Privacy-by-Design implementatie conform AVG, NEN7510 en zorgspecifieke richtlijnen
Awareness-programma’s voor medewerkers – ondersteund met meetbare KPI’s
Proactieve aanpak: niet wachten tot het fout gaat, maar aantoonbaar in control zijn

Meetbare ROI voorbeelden:

Preventieve audit + patching → 80% minder kans op kwetsbaarheden
Awareness training → 60% reductie phishing-incidenten
SOC-monitoring → Detectietijd van dagen naar <30 minuten
Privacy-by-Design proces → Juridische gemoedsrust bij inspecties

FAQ

Wat moet ik doen als mijn gegevens gelekt zijn?
Blijf alert op phishing. Controleer communicatie zelf en bel nooit direct terug op een verdachte oproep.

Mag een zorginstelling losgeld betalen?
Toezichthouders adviseren niet te betalen. Privacy en reputatie staan op het spel, en betaling garandeert geen verwijdering van data.

Hoeveel data is er gestolen?
Nova claimt 300 GB gestolen data. Slechts 100 MB is gepubliceerd, maar mogelijk zijn tot 941.000 dossiers betrokken.

Onderzoekt de overheid dit?
Ja: IGJ en AP doen onderzoek naar Clinical Diagnostics’ informatiebeveiliging en meldingspraktijken.

Conclusie

Het datalek bij Clinical Diagnostics is een harde wake-up call: zelfs met bestaande wetgeving als AVG en NEN7510 is de zorgsector kwetsbaar door fouten in daadwerkelijke implementatie. Organisaties in Nederland moeten nu actie ondernemen – niet reactief, maar proactief, met aantoonbare technische en organisatorische controle.

ALTA-ICT staat klaar om te helpen: van preventieve audits tot respons, van privacy-by-design tot gedragsverandering—altijd met een focus op meetbare ROI.

Neem contact op voor een vrijblijvende risico-audit of consultatie. Samen zorgen we dat jouw organisatie geen volgende “wake-up call” wordt.