| Ingediend | 10 oktober 2025 |
|---|---|
| Beantwoord | 18 november 2025 (na 39 dagen) |
| Indiener | Barbara Kathmann (PvdA) |
| Beantwoord door | Judith Tielen (VVD), van Marum |
| Onderwerpen | organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z18884.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-420.html |
In de Kamerbrief van 1 september 20251 kondigde ik aan dat Bevolkingsonderzoek Nederland (BVO NL) een brief zou sturen naar alle betrokkenen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker en van wie de gegevens naar het laboratorium Clinical Diagnostics zijn gestuurd. De brieven zijn halverwege september verstuurd. Het klantcontactcentrum van BVO NL was opgeschaald en uitgebreid met een speciale informatielijn met specialisten op het gebied van crisistelefonie. Dit zodat alle vragen die naar aanleiding van de brieven zijn gesteld snel beantwoord konden worden. Er is op dit moment met de reguliere bezetting voldoende capaciteit om de vragen aan te kunnen en op tijd te beantwoorden.
De toezegging om uw Kamer blijvend op de hoogte te houden van de laatste ontwikkelingen staat nog steeds.
Hieronder geef ik per maatregel uit de brief van 1 september 2025 een toelichting op de stand van zaken.
Z-CERT heeft op verzoek van de Minister van VWS alle laboratoria benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s rond zwangerschap en geboorte. Het doel is om die ook toe te voegen aan de scanningsdienst van Z-CERT. Hierover is uw Kamer geïnformeerd op 30 september 2025.3 Inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan de scanningsdienst. Met deze dienst van Z-CERT wordt continu gemonitord op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.
BVO NL heeft zelf ook een quickscan uit laten voeren naar acute risico’s bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. Hieruit kwam naar voren dat deze laboratoria voldoende veilig zijn.
De oorzaak van de hack vormt onderwerp van nader onderzoek. Op dit moment is nog niet concreet te duiden wanneer de uitkomsten daarvan bekend zullen worden.
Afronding van dit onderzoek wordt eind dit jaar verwacht.
De AP en de IGJ voeren hun toezichthoudende taak onafhankelijk uit. Zij bepalen daarbij hun eigen werkwijze en planning voor de onderzoeken. Op dit moment beschik ik niet over nadere informatie over deze onderzoeken.
Het is niet aan mij hier nader op in te gaan, hiervoor verwijs ik naar het Openbaar Ministerie.
Zoals gezegd, monitort Z-CERT momenteel de twee laboratoria die werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. Z-CERT heeft op verzoek van de Minister van VWS daarnaast alle laboratoria benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s rond zwangerschap en geboorte. Dit met als doel om die ook toe te voegen aan de scanningsdienst van Z-CERT. Inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan de scanningsdienst. De resultaten worden aan de laboratoria teruggekoppeld.
Dit betreft doorlopende inzet. De Minister van VWS geeft hier bijvoorbeeld invulling aan door zorgbestuurders per brief op te roepen om prioriteit te geven aan het nemen van de nodige maatregelen, te beginnen met het voldoen aan de norm, de NEN 7510.
In september zijn alle betrokkenen die hebben deelgenomen aan het bevolkingsonderzoek baarmoederhalskanker en van wie gegevens met het laboratorium zijn gedeeld, geïnformeerd. In de brieven heeft BVO NL ook aangegeven welke persoonsgegevens BVO NL met het laboratorium heeft gedeeld. Er is op dit moment niet te zeggen welke gegevens bij de hack zijn bemachtigd.
De deelname aan het bevolkingsonderzoek baarmoederhalskanker wordt nauwlettend in de gaten gehouden. Normaal gesproken is er een dip in de deelname in de zomervakantie en gaat de deelname daarna weer omhoog. In de eerste weken na de zomer bleef de instroom van ingestuurde testen bij de labs achter, maar dit lijkt de afgelopen periode weer wat bijgetrokken. Om te kunnen constateren of dit ook daadwerkelijk de deelname heeft beïnvloed, moet over een langere periode gekeken worden. Ter illustratie: het is bijvoorbeeld mogelijk dat vrouwen de zelfafnameset iets langer laten liggen vanwege de datahack, maar op een later moment toch nog deelnemen. Zodra we hier meer over kunnen zeggen en als sprake is van een significante verandering in de deelname, zal ik uw Kamer daarover informeren.
Dat kan ik niet aangeven, omdat in geval van phishing, fraude of andere online criminaliteit het de vraag is of daarbij gebruik is gemaakt van persoonsgegevens die betrokken zijn geweest bij de datahack, of dat de gebruikte persoonsgegevens op andere wijze in handen zijn gekomen van criminelen.
Het klantcontactcentrum van BVO NL is tijdens kantooruren altijd bereikbaar. Hier kunnen mensen terecht voor vragen in relatie tot de bevolkingsonderzoeken, waaronder uiteraard ook met vragen over de datahack. Het klantcontactcentrum van BVO NL was opgeschaald, zodat de grote hoeveelheid vragen die kwam naar aanleiding van de datahack snel beantwoord werd. Die opschaling is inmiddels weer afgebouwd, maar het klantcontactcentrum blijft beschikbaar voor alle vragen en is op dit moment in staat om alle vragen op tijd te beantwoorden.
Naar aanleiding van de eerste brieven die BVO NL had verzonden in de week van 18 augustus, zijn veel reacties gekomen. Er was kritiek op de inhoud van de brief en BVO NL kreeg vele suggesties ter verbetering, onder andere van de Nationale ombudsman. Deze suggesties zijn door BVO NL meegenomen bij het opstellen van de tweede ronde brieven die naar ruim 941.000 mensen zijn verzonden. Ik heb destijds de brief van de Ombudsman direct doorgestuurd naar BVO NL met het verzoek deze mee te nemen in de formulering van die tweede ronde brieven. Ook andere signalen en suggesties zijn meegenomen bij het opstellen van de tweede ronde brieven.
Ik ben bekend met deze initiatieven. De primaire informatievoorziening verloopt via BVO NL. Deelnemers van het bevolkingsonderzoek baarmoederhalskanker die zijn getroffen door de datahack, zijn hierover geïnformeerd door BVO NL. Naast de persoonlijke brieven, zijn er de breed gedeelde nieuwsberichten geweest op onder andere 11 augustus en 29 augustus jl. om mensen te informeren over de datahack.
De oorzaak van de hack vormt onderwerp van nader onderzoek. Op dit moment is nog niet concreet te duiden wanneer de uitkomsten daarvan bekend zullen worden. Uiteraard zal op basis van de uitkomsten worden bezien welke lessen daaruit kunnen worden getrokken.
Nee, de IGJ voert hier niet vooraf checks op uit. Er is geen verplichting om samenwerkingen zoals hier omschreven (vooraf) bij de IGJ te melden.
De norm voor informatiebeveiliging (NEN 7510) stelt dat organisaties zelf de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig moeten monitoren, beoordelen en evalueren. De IGJ houdt achteraf toezicht op het voldoen aan de eisen voor informatiebeveiliging.
Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatiebeveiliging. Zij bepalen welke maatregelen genomen moeten worden om de risico’s op het gebied van informatiebeveiliging te beheersen. Als stelselverantwoordelijke neemt de Minister van VWS de regie om het zorgveld hierbij te ondersteunen. Dit doet hij door zich in het huidige beleid te richten op het stimuleren van bewustwording, passende hulp te bieden, toezicht te versterken en te ondersteunen bij incidenten.
Het Openbaar Ministerie heeft bekend gemaakt strafrechtelijk onderzoek te doen naar het datalek. Het is niet aan mij om hier nader op in te gaan, hiervoor verwijs ik naar het Openbaar Ministerie.
Wat betreft Z-CERT, ben ik hier in de beantwoording van de Kamervragen van het lid Kathmann van 9 september 2025 op ingegaan.5 In het algemeen kan ik over de monitoring van Z-CERT alleen aangeven dat de resultaten van de monitoring aan de laboratoria worden teruggekoppeld zodat zij waar nodig maatregelen kunnen treffen.
Mijn collega-bewindspersonen zijn op de hoogte gesteld van en bijgepraat over de datahack, onder andere op vrijdag 8 augustus, vrijdag 15 augustus en vrijdag 29 augustus 2025. Cybersecurity en digitale weerbaarheid zijn permanent onderwerp van aandacht binnen de hele overheid.
Zoals in de beantwoording hiervoor is aangegeven, verwacht ik van sommige onderzoeken de uitkomsten in het najaar. Van andere onderzoeken kan ik op dit moment nog niet concreet duiden wanneer de uitkomsten daarvan bekend worden. Uiteraard zal ik uw Kamer nader informeren zodra dat mogelijk is.
Dat zal ik doen.
De vragen van het lid Kathmann (PvdA-GL) over het afhandelen van de hack op Clinical Diagnostics en de gevolgen voor gedupeerden (2025Z18884) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.