| Ingediend | 27 augustus 2025 |
|---|---|
| Beantwoord | 9 september 2025 (na 13 dagen) |
| Indiener | Barbara Kathmann (PvdA) |
| Beantwoord door | van Marum , Tieman , Judith Tielen (Volkspartij voor Vrijheid en Democratie) |
| Onderwerpen | economie ict recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z15454.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20242025-3049.html |
Ik betreur het dat zoveel mensen in Nederland getroffen zijn door deze hack. Extra erg is het dat niet bekend is of alles nu bekend is. Zo hebben we, zoals ik in mijn brief van 1 september 2025 aan uw Kamer heb laten weten, wij tot onze spijt moeten constateren dat er nog meer deelnemers dan in eerste instantie gedacht, door de hack getroffen zijn.2 Dit gaat om circa 230.000 mensen extra en het is niet uit te sluiten dat het hierbij blijft. In reactie op dit nieuws heeft Bevolkingsonderzoek Nederland (BVO NL) besloten om alle deelnemers van wie gegevens met het betreffende laboratorium zijn gedeeld, te informeren. Dat gaat om 941.000 deelnemers die naar verwachting half september worden geïnformeerd. Onder hen zitten ook de 485.000 mensen van wie al eerder bekend was dat zij waren getroffen door deze hack, en waarvan de meesten in de week van 18 augustus hierover een brief van BVO NL hebben ontvangen. Deze groep ontvangt dus opnieuw een brief. De tweede brief bevat informatie over welke gegevens door BVO NL zijn gedeeld met het laboratorium, hoe misbruik herkend en voorkomen kan worden en waarom BVO NL bepaalde gegevens gebruikt.
In de brief aan uw Kamer van 11 augustus 2025 zijn verschillende maatregelen aangekondigd met als doel de impact van de hack te beperken.3 In de brief van 1 september 2025 zijn de aanvullend getroffen maatregelen beschreven. Het belangrijkste is dat er zo snel mogelijk duidelijkheid komt uit de verschillende onderzoeken naar hoe deze hack heeft kunnen plaatsvinden en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra relevante uitkomsten van de onderzoeken bekend zijn, zal ik uw Kamer daarover informeren.
Welke gegevens van de getroffenen van de hack precies bemachtigd zijn, is op individueel niveau nu nog niet te zeggen. Indien hier meer duidelijkheid over komt, wordt bekeken hoe deelnemers hier zo goed mogelijk over geïnformeerd kunnen worden. BVO NL weet inmiddels wel op persoonsniveau welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief
ontvangen hebben. Deze brieven worden naar verwachting halverwege september verstuurd. Ik heb uw Kamer in mijn brief van 1 september 2025 ook geïnformeerd over welke gegevens door BVO NL met het laboratorium zijn gedeeld.
Er wordt door BVO NL extra aandacht besteed aan de begrijpelijkheid van de brieven die medio september worden verzonden. De signalen en feedback hierover op de brieven die in de week van 18 augustus zijn verzonden, worden meegenomen in deze nieuwe ronde brieven. BVO NL betrekt hierin ook het RIVM. Het RIVM werkt al langer aan het vergroten van de toegankelijkheid van de bevolkingsonderzoeken naar kanker en kan die expertise dus goed inbrengen. Ik heb ook een brief ontvangen van de Nationale ombudsman over informatievoorziening rond de hack. Ik heb deze brief gedeeld met BVO NL, zodat zij met de suggesties en opmerkingen van de ombudsman aan de slag kunnen voor deze nieuwe ronde brieven. Ook ga ik op basis van de brief van de ombudsman in gesprek met de betrokken partijen om samen te bepalen welke aanvullende acties mogelijk zijn.
De brieven van BVO NL worden alleen in het Nederlands opgesteld, omdat BVO NL niet weet wie welke taal spreekt. BVO NL zal de brieven wel in het Nederlands en Engels op hun website plaatsen. Wat betreft de aanhef in de reeds verzonden brieven, geldt dat BVO NL zich realiseert dat de woordkeuze («mevrouw») niet de ervaring en identiteit vertegenwoordigt van iedereen in de doelgroep van het bevolkingsonderzoek. Om die reden wordt voor de nieuwe ronde brieven verkend welke technische mogelijkheden er zijn om de aanhef meer op maat te kiezen. Mocht dit niet mogelijk zijn, zal BVO NL hier op een alternatieve manier aandacht aan besteden in de brief.
De grootste risico’s van de hack bij het laboratorium voor burgers zijn phishing en identiteitsfraude.
Door phishing in e-mails, per sms of telefoon kunnen criminelen proberen burgers te verleiden tot het delen van wachtwoorden of geven van informatie. Een andere mogelijkheid is dat door op een link te klikken malware wordt geïnstalleerd op de computer, telefoon of het netwerk. Dit kan leiden tot schade aan IT-systemen, tot spionage of tot nieuwe datadiefstal.
Wanneer criminelen beschikken over persoonsgegevens kunnen ze zich voordoen als iemand anders en identiteitsfraude plegen.
Er komen begrijpelijkerwijs veel vragen binnen bij het klantcontactcentrum van BVO NL. Het betreft circa 80 tot 400 telefoontjes per dag, en circa 2.000 ontvangen e-mails in de periode tot en met 1 september 2025. De hoeveelheid vragen op een dag is afhankelijk van de actualiteiten, zoals berichtgeving in de media. De capaciteit bij het klantcontactcentrum is opgeschaald. Er is op dit moment voldoende capaciteit om de vragen aan te kunnen. Het klantcontactcentrum is uitgebreid met een speciale informatielijn (0800-1617) met specialisten op het gebied van crisistelefonie.
Mijn prioriteit is om BVO NL in staat te stellen om de gevolgen van de hack zo goed als mogelijk te beperken voor alle betrokkenen. Op dit moment is er geen zicht op of dit financiële gevolgen heeft voor VWS en/of de uitvoeringsorganisaties.
Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is om extra alert te zijn op vreemd gebruik van persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.
Ik heb geen zekerheid over wat criminelen met de gegevens doen die zij hebben buitgemaakt. Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn. Z-CERT heeft aangegeven dat er tijdelijk een deelverzameling is gepubliceerd op het dark web. Deze deelverzameling kan in de periode dat deze online stond, door anderen ingezien of gekopieerd zijn. De gehele dataset die in handen zou zijn gekomen van de hackergroep kan op een later moment ook alsnog door hen misbruikt worden.
Politie en OM doen onderzoek naar de hack bij het laboratorium. Ik hoop dat de daders gevonden worden en de gestolen dataset gewist wordt.
Z-CERT monitort of de data (opnieuw) op het darkweb verschijnt en onderneemt in dat geval actie.
Op grond van de AVG is het sluiten van een verwerkersovereenkomst verplicht als een verwerking namens en in opdracht van een verwerkingsverantwoordelijke wordt verricht door een verwerker. Een verwerkersovereenkomst moet in ieder geval afspraken bevatten over de onderwerpen die de AVG voorschrijft. Die onderwerpen betreffen onder meer de aard, het doel en de duur van de verwerking. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze verplichtingen uit de AVG. Indien in dit concrete geval een verplichting bestond om een verwerkingsovereenkomst te sluiten, is het aan de AP om te beoordelen of de inhoud daarvan aan de eisen van de AVG voldoet. De AP is reeds een onderzoek gestart.
De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In het algemeen geldt dat op het gebied van de informatiebeveiliging in de zorg er sectorspecifieke wet- en regelgeving is (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. Zorgorganisaties zijn verantwoordelijk voor de implementatie van technische maatregelen en de controle daarop.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ heeft inmiddels aangekondigd onderzoek te doen bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-CERT, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Voornoemde meldplicht aan de IGJ en Z-CERT bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.
Ja. Het Ministerie van VWS hanteert bij de inkoop en uitbesteding van ICT-diensten het rijksbrede normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op internationale standaarden, zoals ISO/IEC 27001 en ISO/IEC 27002 en bevat specifieke aanvullende overheidsmaatregelen.
Voor leveranciers die persoonsgegevens verwerken geldt aanvullend de norm NEN 7510. Deze norm is wettelijk verankerd in de zorgsector en kan door VWS contractueel worden verlangd van leveranciers die dergelijke gegevens verwerken.
Daarnaast wordt bij contracteren, waar passend, gevraagd om assurance-rapportages, bijvoorbeeld de ISAE 3000 of SOC-rapporten, waarmee leveranciers aantoonbaar maken dat zij de gestelde beveiligingsmaatregelen in de praktijk hebben ingericht en effectief laten functioneren.
In lijn met de aankomende Cyberbeveiligingswet (implementatie van NIS2) en de BIO 2.0 wordt leveranciersmanagement verder versterkt, onder meer door het stellen van expliciete eisen aan ketenbeveiliging, incidentmeldingen en onafhankelijke toetsing. Hiermee wordt geborgd dat VWS zijn verantwoordelijkheid neemt voor de beveiliging van uitbestede processen en de bescherming van gegevens in de zorg- en Rijkscontext.
Het is van groot belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens, aan de wettelijke vereisten wordt voldaan. Het gaat in ieder geval om de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest). Dat geldt dus ook voor bevolkingsonderzoeken en laboratoria.
BVO NL laat verschillende onderzoeken uitvoeren met als doel om:
Zoals ook aangegeven in het antwoord op vraag 1 is het belangrijk dat er zo snel mogelijk duidelijkheid komt op basis van de verschillende onderzoeken. Op dit moment is er nog geen precieze planning te geven. Op het moment dat dat wel het geval is, zal uw Kamer daarover geïnformeerd worden. Ook de AP en de IGJ kunnen nog niet aangeven wanneer hun onderzoeken gereed zijn, omdat niet te voorzien is wat ze tegenkomen en waar nader onderzoek naar nodig is.
Digitale veiligheid vormt een essentieel aandachtspunt vormt voor de gehele maatschappij. In (bestuurlijke) gesprekken met partners uit het veld wordt dataveiligheid door het Ministerie van VWS actief onder de aandacht gebracht. In het zorgveld zijn een aantal manieren om te leren van incidenten:
Ik heb op dit moment geen signalen dat andere organisaties ook kwetsbaar zijn voor een hack zoals bij dit laboratorium heeft plaatsgevonden. Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatieveiligheid en het voorkomen van datalekken. Dat neemt niet weg dat ik me ook inzet voor het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-CERT gespecialiseerde ondersteuning aan zorgaanbieders. Z-CERT monitort continu de systemen die benaderbaar zijn via het internet van de bij hen aangesloten zorgaanbieders en informeert deze zorgaanbieders over mogelijke risico’s in hun cyberbeveiliging. Daarnaast adviseert Z-CERT zorg- en zorgketenorganisaties over maatregelen die de cyberweerbaarheid verhogen en stelt adviezen hiervoor op hun website beschikbaar. Zo zijn onder meer de tien belangrijkste maatregelen tegen ransomwaredreiging op hun website geplaatst.
De vragen zijn zo snel als mogelijk beantwoord.