Wij hebben de informatie in deze nieuwsbrief en op onze website met grote zorg samengesteld. Daarbij delen wij uitsluitend algemene informatie over het datalek en de juridische context. Aan deze informatie kunnen geen rechten worden ontleend.

In deze nieuwsbrief

• Woord vooraf
• Wat is er tot nu toe bekend?
• Juridische ontwikkelingen en vervolgstappen
• Onderzoek door AP en IGJ
• Praktische tips voor bescherming van gegevens
• Veelgestelde vragen

Woord vooraf

Beste betrokkenen,

Het datalek bij Bevolkingsonderzoek Nederland en laboratorium Clinical Diagnostics (NMDL) heeft begrijpelijk veel vragen losgemaakt. Wij ontvangen dagelijks veel berichten van mensen die onder andere willen weten wat er precies is gebeurd, welke gegevens zijn betrokken en wat dit betekent voor hun privacy.

Wij merken dat er grote behoefte is aan duidelijke, feitelijke informatie over wat er speelt en welke juridische gevolgen dit kan hebben. Met deze nieuwsbrief willen wij daarin voorzien. Wij geven u een overzicht van de stand van zaken: wat er tot nu toe bekend is, welke onderzoeken lopen, en welke vervolgstappen mogelijk zijn.

Daarnaast behandelen wij in deze nieuwsbrief de vragen die het meest aan ons worden gesteld. Wij proberen individuele vragen zo goed mogelijk te beantwoorden en betrokkenen te woord te staan, maar door de vele reacties kan het soms wat langer duren dan u van ons gewend bent. Door de meest voorkomende vragen in onze nieuwsbrief op te nemen, kunnen wij u toch snel en laagdrempelig informeren.

Wij volgen alle ontwikkelingen in deze kwestie op de voet. Wij zijn van plan om iedere donderdag een nieuwsbrief te verspreiden met een korte update van de laatste ontwikkelingen. Daarbij is het goed om aan te geven dat ons kantoor op dit moment geen individuele betrokkenen bijstaat voor eventuele claims in verband met het datalek. Met deze nieuwsbrief hopen wij u verder te helpen met betrouwbare en toegankelijke informatie.

Met vriendelijke groet,

Louwers IP&Tech Advocaten

Wat is er tot nu toe bekend?

• Begin juli 2025 is een hack ontdekt bij Clinical Diagnostics NMDL in Rijswijk, het laboratorium dat analyses uitvoert voor Bevolkingsonderzoek Nederland.

• Hackers van de hackersgroep Nova hebben toegang gekregen tot hun ICT-systemen en daarbij persoonsgegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker buitgemaakt.

• Volgens de brief van Bevolkingsonderzoek Nederland gaat het om naam, adres en woonplaats, geboortedatum, Burgerservicenummer (BSN), testuitslag(en) en namen van zorgverleners. Van een kleiner deel van de betrokkenen zouden ook e-mailadres en telefoonnummer zijn buitgemaakt.

• Clinical Diagnostics heeft aangegeven dat bij de hack geen bankgegevens, wachtwoorden of identiteitsdocumenten zijn buitgemaakt.

• Volgens RTL Nieuws zijn van 53.516 personen gegevens op het dark web opgedoken. Volgens de organisatie achter de hack is in totaal zo’n 300 GB aan data buitgemaakt.

• Hackersgroep Nova claimt de gestolen gegevens niet verder te zullen publiceren en zegt dat data is verwijderd.

• Bevolkingsonderzoek Nederland heeft aangegeven dat de uitslagen van de bevolkingsonderzoeken geldig blijven en niet opnieuw hoeven te worden gedaan.

• Er lopen momenteel meerdere officiële onderzoeken:
  • De Autoriteit Persoonsgegevens (AP) onderzoekt of de privacywetgeving (AVG) is overtreden.
  • De Inspectie Gezondheidszorg en Jeugd (IGJ) bekijkt of er voldoende is gedaan om de beveiliging te waarborgen.
  • Het Openbaar Ministerie (OM) doet strafrechtelijk onderzoek naar de hackers.

Juridische ontwikkelingen en vervolgstappen

Wij ontvangen veel vragen van betrokkenen over schadevergoeding en de mogelijkheid van een gezamenlijke (collectieve) claim. Dat is begrijpelijk, want er zijn gevoelige persoonsgegevens gelekt en de impact is groot. Toch zijn wij van mening dat het op dit moment nog te vroeg is om (formeel) een (massa)claim op te zetten en/of een dergelijke claim in te dienen. We leggen hieronder uit waarom dat juridisch gezien lastig ligt.

Onderzoek door AP en IGJ

Allereerst onderzoeken de Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) op dit moment wat er precies is gebeurd bij het datalek. Hun bevindingen zijn belangrijk om een eventuele claim te onderbouwen. Pas als wordt vastgesteld dat ofwel Bevolkingsonderzoek Nederland, ófwel Clinical Diagnostics de toepasselijke privacyregels van de Algemene Verordening Gegevensbescherming (AVG) heeft overtreden, is er mogelijk een juridische basis voor schadevergoeding. Een datalek op zichzelf is namelijk niet automatisch een overtreding van de AVG.

De AP en IGJ hebben bovendien meer en bredere onderzoeksmogelijkheden dan advocatenkantoren en andere belangenbehartigers. Zij hebben meer middelen en mogelijkheden om diepgaand uit te zoeken wat er precies is misgegaan – iets wat voor of namens een individu lastig is. Wij volgen deze officiële onderzoeken daarom op de voet om vervolgens op basis van de onderzoeksresultaten onze expert juridische analyse te kunnen maken.

Daarnaast horen wij zorgen dat het datalek mogelijk te laat is gemeld en dat het laboratorium meer gegevens heeft bewaard dan nodig was voor de bevolkingsonderzoeken. Deze punten nemen wij te zijnder tijd mee in onze analyse. De onderzoeken die op dit moment lopen zullen hier zeer waarschijnlijk ook naar kijken.

Collectieve claim: mogelijkheden en hindernissen

Een collectieve actie – ook wel een massaclaim genoemd – kan een krachtig middel zijn. Hierbij treedt een stichting of vereniging namens een grote groep gedupeerden op tegen een partij die verantwoordelijk wordt gehouden voor bepaalde schadeveroorzakende feiten. Het voordeel van een collectieve actie is dat de zaak in één keer voor alle mensen die zich hebben aangesloten, gezamenlijk kan worden behandeld. Tegelijkertijd zijn de voorwaarden voor zo’n collectieve actie streng.

Uit rechtspraak blijkt dat een vergoeding voor immateriële schade – dat is emotionele schade zoals stress, angst of een gevoel van onveiligheid – lastig is om te verhalen in een dergelijke procedure. De rechter stelt hoge eisen: er moet bijvoorbeeld duidelijk bewijs zijn van daadwerkelijk geleden nadeel of psychisch leed door – in dit geval – het datalek. Lees meer hierover in onze blogreeks over immateriële schadevergoeding bij datalekken.

Goed om te weten is dat gedupeerden tot vijf jaar na het datalek de tijd hebben om een schadeclaim in te dienen. Er is dus ruimte om eerst alle relevante feiten boven water te krijgen en vervolgens de haalbaarheid van een collectieve actie te beoordelen en een gerechtelijke procedure zorgvuldig op te tuigen.

Praktische tips voor bescherming van gegevens

Een datalek kan risico’s met zich meebrengen, zoals phishing (nepmails of -telefoontjes) of identiteitsfraude. Wij zijn geen specialist op dit gebied, maar verwijzen u graag naar instanties die hierin wél gespecialiseerd zijn. Zij bieden actuele waarschuwingen, heldere checklists en concrete handelingsadviezen.

• Fraudehelpdesk – actuele waarschuwingen, meldpunt voor verdachte situaties, tips bij identiteitsfraude: fraudehelpdesk.nl

• Consumentenbond – overzichtelijke uitleg over datalekken en online veiligheid: consumentenbond.nl/veilig-internetten

• Rijksoverheid – stappenplan bij mogelijke identiteitsfraude: Ik ben slachtoffer van identiteitsfraude. Wat kan ik doen? | Rijksoverheid.nl

Veelgestelde vragen

Hoe weet ik of ik betrokken ben bij het datalek?

Als u een brief van Bevolkingsonderzoek Nederland heeft ontvangen, betekent dit dat uw gegevens door het datalek zijn geraakt. Wilt u weten welke gegevens deze organisaties van u bewaren, dan kunt u een inzageverzoek indienen op grond van de AVG. Dat kan zowel bij Bevolkingsonderzoek Nederland als bij het laboratorium Clinical Diagnostics. Met zo’n verzoek krijgt u inzicht in welke persoonsgegevens zij überhaupt van u verwerken en hoe deze worden gebruikt. Het geeft echter geen zekerheid over welke gegevens precies door de hack zijn buitgemaakt. Om een dergelijk verzoek eenvoudig en kosteloos op te stellen, heeft Bits of Freedom een online tool ontwikkeld: My Data Done Right. Daarmee kunt eenvoudig en kosteloos een inzageverzoek indienen.

Welke gegevens zijn buitgemaakt?

Volgens Bevolkingsonderzoek Nederland gaat het om naam, adres, woonplaats, geboortedatum, Burger Service Nummer (BSN), testuitslagen en de namen van zorgverleners. Bij een kleiner deel van betrokkenen zijn ook telefoonnummers en e-mailadressen buitgemaakt.

Zijn mijn gegevens op het dark web beland?

Er zijn gegevens van 53.516 personen gepubliceerd op het dark web. Het is niet bekend van wie precies. Wilt u dit navragen? Dan kunt u contact opnemen met:

• Bevolkingsonderzoek Nederland: vragenBMHK@bevolkingsonderzoeknederland.nl
• Clinical Diagnostics: www.clinicaldiagnostics.nl

Loop ik extra risico omdat mijn BSN is gelekt?

Het BSN is een gevoelig persoonsgegeven en kan bij misbruik leiden tot identiteitsfraude. Wij hebben in de media nog geen berichten gezien dat is gebeurd naar aanleiding van dit datalek, maar het is altijd verstandig om hierop alert te blijven. U kunt kijken op fraudehelpdesk.nl of consumentenbond.nl voor tips.

Heb ik recht op schadevergoeding?

Dat is op dit moment nog niet te zeggen. Eerst moet duidelijk zijn of de AVG is overtreden en of de betrokken organisaties daarvoor aansprakelijk zijn. De Autoriteit Persoonsgegevens en de IGJ doen daar op dit moment nog onderzoek naar. Vergoeding voor immateriële schade, zoals stress of angst, is juridisch moeilijk af te dwingen. Wij houden u via deze nieuwsbrief op de hoogte.

Ben ik verplicht om mijn werkgever te informeren?

Nee, in principe niet. Het datalek raakt u als burger, niet als werknemer. Alleen als er voor uw werk concrete risico’s ontstaan (bijvoorbeeld door bekend geworden adresgegevens), kunt u overwegen dit te bespreken.

Ik heb een eigen bedrijf, loop ik extra risico?

Dat kan. Wanneer u ondernemer bent, kunnen gelekte persoonsgegevens zoals uw BSN, adres of contactgegevens ook in een zakelijke context worden misbruikt. Denk bijvoorbeeld aan:

• het indienen van valse krediet- of leningaanvragen op uw naam,
• het versturen van nepfacturen die lijken van uw bedrijf afkomstig, of
• het openen van contracten of abonnementen zonder uw toestemming.

Extra waakzaamheid is daarom verstandig. Controleer regelmatig uw zakelijke administratie en let op onverwachte rekeningen of aanvragen. Bij twijfel kunt u advies inwinnen of melding doen bij de Fraudehelpdesk of de Consumentenbond.

Wilt u deze nieuwsbrief niet meer ontvangen?

Stuur dan een e-mail met als onderwerp “Afmelden nieuwsbrief” naar datalek@louwersadvocaten.nl.

Wij verwerken uw afmelding zo snel mogelijk.