Datalek bij bevolkingsonderzoek baarmoederhalskanker: 405.000 mensen geïnformeerd
Vandaag (19 augustus 2025) heeft Bevolkingsonderzoek Nederland ruim 405.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker geïnformeerd dat hun gegevens zijn betrokken bij een grootschalig datalek bij laboratorium Clinical Diagnostics NMDL.
Clinical Diagnostics publiceerde eerder zelf al een verklaring over het incident:
Daarnaast melden meerdere media dat er door het getroffen laboratorium losgeld is betaald om verdere verspreiding van data te voorkomen. Ondanks die betaling zouden criminelen alsnog meer eisen hebben gesteld.
Verder is er discussie ontstaan over de tijdigheid van de melding aan de Autoriteit Persoonsgegevens en de communicatie richting betrokkenen. Het incident speelde al in juni, maar pas nu — ruim twee maanden later — ontvangen deelnemers de brieven en komt de zaak breed in de publiciteit. Dat roept vragen op over de naleving van de meldplicht datalekken (binnen 72 uur) en over de transparantie van zowel het lab als de betrokken organisaties.
Al met al een bijzondere case waarvan ik verwacht dat een flink aantal Tweakers (of hun partner) vandaag of morgen een brief op de mat van zal vinden. De informatie is nog vaag, de uitleg van zowel Bevolkingsonderzoek als Clinical Diagnostics NMDL is erg summier en er wordt nergens over exacte datums gesproken waardoor er aardig wat speculatie zal ontstaan of men wel tijdig (binnen 72 uur) melding heeft gemaakt bij de Autoriteit Persoonsgegevens. De impact is groot omdat ook BSN's zijn gestolen en hoewel er geen medische data (PHI/HIPAA) gestolen lijkt te zijn, verwacht je toch dat juist dit soort bedrijven de beveiliging goed op orde heeft, hoewel dat potentieel natuurlijk altijd 1 misconfiguratie weg is.
Ik hoop dat dit topic een beetje een verzamelplek wordt van relevante informatie over deze case en de verdere afloop ervan, inclusief eventuele rechtszaken tegen Clinical Diagnostics NMDL en of haar moederbedrijf Eurofins. Ik volg het in ieder geval met zowel zakelijke als persoonlijke interesse.
Edit 27/08/25
Inmiddels zijn er twee massaclaim initiatieven gestart:
https://datalekbevolkingsonderzoek.nl/ door van Diepen van der Kroef
https://claimbevolkingsonderzoek.nl/ door Stichting Collectieve Consumentenbelangen (VCC) juridisch bijgestaan door DHKV Advocaten
Vandaag (19 augustus 2025) heeft Bevolkingsonderzoek Nederland ruim 405.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker geïnformeerd dat hun gegevens zijn betrokken bij een grootschalig datalek bij laboratorium Clinical Diagnostics NMDL.
Bron: https://www.bevolkingsond...tvangen-brief-na-datalek/Ruim 405.000 deelnemers aan het bevolkingsonderzoek baarmoederhalskanker ontvangen vandaag of woensdag een brief waarin staat dat hun gegevens zijn betrokken bij het datalek bij laboratorium Clinical Diagnostics NMDL.
Bevolkingsonderzoek Nederland heeft op vrijdag 8 augustus een bestand met gegevens van ruim 485.000 gedupeerden ontvangen van hacker(s). Van ruim 405.000 gedupeerden kunnen de gegevens worden gekoppeld aan deelnemers van Bevolkingsonderzoek Nederland. De gegevens van ca. 80.000 gedupeerden worden nog onderzocht op een match.
Clinical Diagnostics publiceerde eerder zelf al een verklaring over het incident:
Bron: https://clinicaldiagnosti...tienten-en-zorgverleners/ https://clinicaldiagnosti...kingsonderzoek-nederland/Onlangs is het netwerk van Clinical Diagnostics Nederland getroffen door een cyberaanval. Voor Bevolkingsonderzoek Nederland gaat het hierbij om Clinical Diagnostics NMDL.
Een hacker heeft daardoor onrechtmatig toegang verkregen tot een deel van de IT-omgeving van Clinical Diagnostics NMDL. Het incident werd snel opgemerkt. Ons IT-beveiligingsteam heeft onmiddellijk technische maatregelen genomen om hun toegang te blokkeren en systemen veilig te stellen. Er is direct een onderzoek gestart om de oorzaak en de impact van het incident in kaart te brengen. Helaas blijkt dat de hacker toegang heeft gekregen tot persoonsgegevens die op dit deel van de IT-omgeving opgeslagen waren. Hierbij zijn ook bepaalde persoonsgegevens gekopieerd. Wij hebben het incident direct gemeld bij de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC).
Daarnaast melden meerdere media dat er door het getroffen laboratorium losgeld is betaald om verdere verspreiding van data te voorkomen. Ondanks die betaling zouden criminelen alsnog meer eisen hebben gesteld.
Bron: https://www.rtl.nl/nieuws...ware-losgeld-betaald-dataHet laboratorium Clinical Diagnostics in Rijswijk heeft losgeld betaald aan de criminelen die het bedrijf hebben gehackt en data hebben buitgemaakt. Dat bevestigen ingewijden aan RTL Nieuws. (…) Ondanks dat er is betaald, is de dreiging nog niet voorbij: de criminelen eisen meer.
Bron: https://nos.nl/artikel/25...reiding-data-te-voorkomenHet laboratorium dat in juni werd gehackt en waarbij gegevens van honderdduizenden Nederlanders op straat kwamen te liggen, heeft losgeld betaald om verdere verspreiding te voorkomen. Dat bevestigen betrokkenen aan de NOS. Toch eisen de criminelen nu opnieuw meer geld.
Bron: https://clinicaldiagnosti...tienten-en-zorgverleners/Maandag 18-08-2025 18:00 uur – Eerder hebben wij aangegeven dat wij geen indicaties hebben dat de aanvaller zal overgaan tot het lekken van de gekopieerde gegevens. Wij zijn bekend met het feit dat de aanvaller wederom dreigt met het lekken van gekopieerde gegevens. Deze nieuwe ontwikkeling heeft uiteraard onze aandacht. Zoals ook al eerder aangegeven, kunnen wij ten aanzien van bepaalde details geen nadere informatie geven.
Verder is er discussie ontstaan over de tijdigheid van de melding aan de Autoriteit Persoonsgegevens en de communicatie richting betrokkenen. Het incident speelde al in juni, maar pas nu — ruim twee maanden later — ontvangen deelnemers de brieven en komt de zaak breed in de publiciteit. Dat roept vragen op over de naleving van de meldplicht datalekken (binnen 72 uur) en over de transparantie van zowel het lab als de betrokken organisaties.
Bron: https://www.security.nl/p...%2Bslachtoffers%2BdatalekBevolkingsonderzoek Nederland laat verder weten dat Clinical Diagnostics schokkend laat melding maakte van het datalek en pas op 8 augustus een bestand met gegevens van gedupeerden overhandigde. Volgens de AVG moeten datalekken binnen 72 uur worden gemeld.
Al met al een bijzondere case waarvan ik verwacht dat een flink aantal Tweakers (of hun partner) vandaag of morgen een brief op de mat van zal vinden. De informatie is nog vaag, de uitleg van zowel Bevolkingsonderzoek als Clinical Diagnostics NMDL is erg summier en er wordt nergens over exacte datums gesproken waardoor er aardig wat speculatie zal ontstaan of men wel tijdig (binnen 72 uur) melding heeft gemaakt bij de Autoriteit Persoonsgegevens. De impact is groot omdat ook BSN's zijn gestolen en hoewel er geen medische data (PHI/HIPAA) gestolen lijkt te zijn, verwacht je toch dat juist dit soort bedrijven de beveiliging goed op orde heeft, hoewel dat potentieel natuurlijk altijd 1 misconfiguratie weg is.
Ik hoop dat dit topic een beetje een verzamelplek wordt van relevante informatie over deze case en de verdere afloop ervan, inclusief eventuele rechtszaken tegen Clinical Diagnostics NMDL en of haar moederbedrijf Eurofins. Ik volg het in ieder geval met zowel zakelijke als persoonlijke interesse.
Edit 27/08/25
Inmiddels zijn er twee massaclaim initiatieven gestart:
https://datalekbevolkingsonderzoek.nl/ door van Diepen van der Kroef
https://claimbevolkingsonderzoek.nl/ door Stichting Collectieve Consumentenbelangen (VCC) juridisch bijgestaan door DHKV Advocaten