1.
Kamerstuk 32 761-327.
2.
Dit betreft ook bepalingen over NEN 7510/ USI 27001, auditrechten, boetebepalingen
en incident-SLA’s.
3.
Dit betreft o.a. het toezien dat er penetratietesten worden uitgevoerd en het verplichten
van gestandaardiseerd onderzoek volgens de Methodiek voor Informatiebeveiligingsonderzoek
met Auditwaard (MIAUW).
Vraag 1
Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?
Vraag 2
Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt of al zijn gelekt?
Vraag 3
Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd met de juiste of een neutrale aanhef worden aangeschreven?
Vraag 4
Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt hun gestolen data vermoedelijk gebruikt?
Vraag 5
Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo niet, bent u bereid hier middelen voor vrij te maken?
Vraag 6
Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?
Vraag 7
Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?
Vraag 8
Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren? Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?
Vraag 9
Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan? Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?
Vraag 10
Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport? Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid van betrokken organisaties?
Vraag 11
Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?
Vraag 12
Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze onderzoeken verschaffen?
Vraag 13
Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?
Vraag 14
Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?
Vraag 15
Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?
Kamervraag document nummer: kv-tk-2025Z15454
Volledige titel: De hack op een lab van Bevolkingsonderzoek Nederland