Wij hebben de informatie in deze nieuwsbrief en op onze website met grote zorg samengesteld. Daarbij delen wij uitsluitend algemene informatie over het datalek en de juridische context. Aan deze informatie kunnen geen rechten worden ontleend.

In deze nieuwsbrief

• Woord vooraf
• Nieuwe ontwikkelingen
• Wat was er tot nu toe bekend?
• Juridische ontwikkelingen en vervolgstappen
• Praktische tips voor bescherming van gegevens
• Veelgestelde vragen
• Wilt u deze nieuwsbrief niet meer ontvangen?

Woord vooraf

Beste betrokkenen,

Sinds onze vorige nieuwsbrief zijn nieuwe feiten bekend geworden over de hack bij laboratorium Clinical Diagnostics (NMDL), dit is de organisatie die analyses uitvoert voor Bevolkingsonderzoek Nederland. Het totale aantal bevestigde gedupeerden is verder opgelopen en verschillende toezichthouders en het Openbaar Ministerie hebben onderzoeken ingesteld. In deze editie zetten we de belangrijkste ontwikkelingen kort en feitelijk op een rij en beantwoorden we veelgestelde vragen.

Daarbij is het goed om aan te geven dat ons kantoor op dit moment geen individuele betrokkenen bijstaat voor eventuele claims in verband met het datalek. Het is niet uitgesloten dat dit op enig moment gebeurt, maar voor nu bestaat daar nog onvoldoende aanleiding toe. Met deze nieuwsbrief hopen wij u verder te helpen met betrouwbare en toegankelijke informatie.

Met vriendelijke groet,

Louwers IP&Tech Advocaten

Nieuwe ontwikkelingen

• Inmiddels is duidelijk dat het datalek zeker 850.000 personen treft. Voor nog eens ongeveer 91.000 personen is op dit moment niet vastgesteld of hun gegevens daadwerkelijk zijn buitgemaakt.

• Bevolkingsonderzoek Nederland heeft besloten om alle personen te informeren van wie ooit gegevens zijn gedeeld met het laboratorium. Ook mensen die eerder nog geen brief ontvingen, kunnen in de komende weken alsnog bericht verwachten.

• De Nationale ombudsman heeft in een brief aan het ministerie van Volksgezondheid, Welzijn en Sport zorgen geuit over de manier waarop gedupeerden van het datalek zijn ingelicht. Hij heeft de minister opgeroepen om hierin verantwoordelijkheid te nemen.

Wat was er tot nu toe bekend?

• Begin juli 2025 is een hack ontdekt bij Clinical Diagnostics NMDL in Rijswijk, het laboratorium dat analyses uitvoert voor Bevolkingsonderzoek Nederland.

• Hackers van de hackersgroep Nova hebben toegang gekregen tot hun ICT-systemen en daarbij persoonsgegevens van ruim 485.000 deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker buitgemaakt.

• Volgens de brief van Bevolkingsonderzoek Nederland gaat het om naam, adres en woonplaats, geboortedatum, Burgerservicenummer (BSN), testuitslag(en) en namen van zorgverleners. Van een kleiner deel van de betrokkenen zouden ook e-mailadres en telefoonnummer zijn buitgemaakt.

• Clinical Diagnostics heeft aangegeven dat bij de hack geen bankgegevens, wachtwoorden of identiteitsdocumenten zijn buitgemaakt.

• Volgens RTL Nieuws zijn van 53.516 personen gegevens op het dark web opgedoken. Volgens de organisatie achter de hack is in totaal zo’n 300 GB aan data buitgemaakt.

• Hackersgroep Nova claimt de gestolen gegevens niet verder te zullen publiceren en zegt dat data is verwijderd.

• Bevolkingsonderzoek Nederland heeft aangegeven dat de uitslagen van de bevolkingsonderzoeken geldig blijven en niet opnieuw hoeven te worden gedaan.

• Er lopen momenteel meerdere officiële onderzoeken:
  • De Autoriteit Persoonsgegevens (AP) onderzoekt of de privacywetgeving (AVG) is overtreden.
  • De Inspectie Gezondheidszorg en Jeugd (IGJ) bekijkt of er voldoende is gedaan om de beveiliging te waarborgen.
  • Het Openbaar Ministerie (OM) doet strafrechtelijk onderzoek naar de hackers.

Juridische ontwikkelingen en vervolgstappen

In onze vorige nieuwsbrief gaven wij aan dat het op dit moment nog te vroeg is om (formeel) een (massa)claim op te zetten en/of in te dienen. Dit is nog steeds zo. Echter, er zijn wel aanvullende indicaties die wijzen op mogelijke tekortkomingen aan de zijde van Clinicial Diagnostics. Inmiddels is bekend geworden dat het datalek groter is dan aanvankelijk gedacht. Tegelijkertijd is de exacte omvang nog steeds niet duidelijk: het gaat dus niet alleen om meer betrokkenen dan eerder gemeld, maar ook om blijvende onzekerheid over welke gegevens en hoeveel personen precies geraakt zijn.

Ook de Nationale ombudsman heeft zich inmiddels uitgesproken. In zijn brief schrijft hij:

Dat deze duidelijkheid ontbreekt, is een indicatie dat het laboratorium haar gegevenshuishouding niet volledig op orde had. Een organisatie die persoonsgegevens verwerkt, moet immers precies weten welke gegevens zij bewaart, hoe lang en wie daar toegang toe heeft. Als dat overzicht ontbreekt of versnipperd is, wordt het na een incident lastig om snel en volledig vast te stellen wat er is gebeurd.

Dat de omvang van het datalek nog niet goed zichtbaar is, roept vragen op over de naleving van de verplichtingen uit de AVG. Denk daarbij aan de plicht om passende beveiligingsmaatregelen te nemen, het beginsel van dataminimalisatie en de verplichting om een datalek zonder onredelijke vertraging te melden.

Nog geen eindconclusies

Het is belangrijk te benadrukken dat dit slechts een duiding is van de signalen die nu zichtbaar zijn. Of daadwerkelijk sprake is van overtredingen van de privacywetgeving en welke partijen daarvoor verantwoordelijk kunnen worden gehouden, zal moeten blijken uit de onderzoeken van de Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ). Het is nog niet bekend wanneer deze onderzoeken worden afgerond. Tot die tijd vinden wij het te vroeg om concrete stappen richting (massa)claims te zetten.

Collectieve claim: mogelijkheden en hindernissen

Omdat wij hier nog steeds veel vragen over krijgen, herhalen wij de uitleg uit onze vorige nieuwsbrief. Een collectieve actie – ook wel een massaclaim genoemd – kan een krachtig middel zijn. Daarbij treedt een stichting of vereniging namens een grote groep gedupeerden op tegen de partij die verantwoordelijk wordt gehouden voor het veroorzaken van de schade. Het voordeel is dat de zaak in één keer voor alle aangesloten personen kan worden behandeld.

Tegelijkertijd zijn de voorwaarden streng. Uit de rechtspraak blijkt dat een vergoeding voor immateriële schade – zoals stress, angst of een gevoel van onveiligheid – moeilijk toegekend wordt in een dergelijke procedure. De rechter stelt hoge eisen: er moet bijvoorbeeld duidelijk bewijs zijn van daadwerkelijk geleden nadeel of psychisch leed als gevolg van het datalek.

Goed om te weten is dat gedupeerden tot vijf jaar na het datalek de tijd hebben om een schadeclaim in te dienen. Er is dus ruimte om eerst alle relevante feiten boven water te krijgen en vervolgens de haalbaarheid van een collectieve actie te beoordelen en een gerechtelijke procedure zorgvuldig op te tuigen.

Praktische tips voor bescherming van gegevens

Een datalek kan risico’s met zich meebrengen, zoals phishing (nepmails of -telefoontjes) of identiteitsfraude. Wij zijn geen specialist op dit gebied, maar verwijzen u graag naar instanties die hierin wél gespecialiseerd zijn. Zij bieden actuele waarschuwingen, heldere checklists en concrete handelingsadviezen.

• Fraudehelpdesk – actuele waarschuwingen, meldpunt voor verdachte situaties, tips bij identiteitsfraude: fraudehelpdesk.nl

• Consumentenbond – overzichtelijke uitleg over datalekken en online veiligheid: consumentenbond.nl/veilig-internetten

• Rijksoverheid – stappenplan bij mogelijke identiteitsfraude: Ik ben slachtoffer van identiteitsfraude. Wat kan ik doen? | Rijksoverheid.nl

Veelgestelde vragen

Ik heb geen brief van Bevolkingsonderzoek Nederland ontvangen, maar wel van mijn zorgverlener. Kan ik mij aansluiten bij een massaclaim?

In principe kan iedere gedupeerde zich bij een massaclaim aansluiten, ongeacht of de brief via Bevolkingsonderzoek Nederland of via een andere zorgverlener is ontvangen. Het gaat erom dat uw persoonsgegevens door dit datalek zijn geraakt. Ons kantoor heeft op dit moment géén massaclaim gestart, maar wij volgen de ontwikkelingen en houden u via deze nieuwsbrief op de hoogte.

Hoe weet ik of ik betrokken ben bij het datalek?

Als u een brief van Bevolkingsonderzoek Nederland heeft ontvangen, betekent dit dat uw gegevens door het datalek zijn geraakt. Inmiddels heeft Bevolkingsonderzoek Nederland besloten alle personen te informeren van wie gegevens zijn gedeeld met het laboratorium. Ook als u nog geen brief heeft ontvangen, kunt u die de komende weken verwachten.

Wilt u weten welke gegevens deze organisaties van u bewaren, dan kunt u een inzageverzoek indienen op grond van de AVG. Dat kan zowel bij Bevolkingsonderzoek Nederland als bij het laboratorium Clinical Diagnostics. Met zo’n verzoek krijgt u inzicht in welke persoonsgegevens zij überhaupt van u verwerken en hoe deze worden gebruikt. Het geeft echter geen zekerheid over welke gegevens precies door de hack zijn buitgemaakt. Om een dergelijk verzoek eenvoudig en kosteloos op te stellen, heeft Bits of Freedom een online tool ontwikkeld: My Data Done Right. Daarmee kunt eenvoudig en kosteloos een inzageverzoek indienen.

Welke gegevens zijn buitgemaakt?

Volgens Bevolkingsonderzoek Nederland gaat het om naam, adres, woonplaats, geboortedatum, Burger Service Nummer (BSN), testuitslagen en de namen van zorgverleners. Bij een kleiner deel van betrokkenen zijn ook telefoonnummers en e-mailadressen buitgemaakt. Voor circa 91.000 personen is nog niet vastgesteld of hun gegevens daadwerkelijk zijn buitgemaakt.

Zijn mijn gegevens op het dark web beland?

Er zijn gegevens van 53.516 personen gepubliceerd op het dark web. Het is niet bekend van wie precies. Wilt u dit navragen? Dan kunt u contact opnemen met:

• Bevolkingsonderzoek Nederland: vragenBMHK@bevolkingsonderzoeknederland.nl
• Clinical Diagnostics: www.clinicaldiagnostics.nl

Loop ik extra risico omdat mijn BSN is gelekt?

Het BSN is een gevoelig persoonsgegeven en kan bij misbruik leiden tot identiteitsfraude. Wij hebben in de media nog geen berichten gezien dat is gebeurd naar aanleiding van dit datalek, maar het is altijd verstandig om hierop alert te blijven. U kunt kijken op fraudehelpdesk.nl of consumentenbond.nl voor tips.

Heb ik recht op schadevergoeding?

Dat is op dit moment nog niet te zeggen. Eerst moet duidelijk zijn of de AVG is overtreden en of de betrokken organisaties daarvoor aansprakelijk zijn. De Autoriteit Persoonsgegevens en de IGJ doen daar op dit moment nog onderzoek naar. Vergoeding voor immateriële schade, zoals stress of angst, is juridisch moeilijk af te dwingen. Wij houden u via deze nieuwsbrief op de hoogte.

Ben ik verplicht om mijn werkgever te informeren?

Nee, in principe niet. Het datalek raakt u als burger, niet als werknemer. Alleen als er voor uw werk concrete risico’s ontstaan (bijvoorbeeld door bekend geworden adresgegevens), kunt u overwegen dit te bespreken.

Ik heb een eigen bedrijf, loop ik extra risico?

Dat kan. Wanneer u ondernemer bent, kunnen gelekte persoonsgegevens zoals uw BSN, adres of contactgegevens ook in een zakelijke context worden misbruikt. Denk bijvoorbeeld aan:

• het indienen van valse krediet- of leningaanvragen op uw naam,
• het versturen van nepfacturen die lijken van uw bedrijf afkomstig, of
• het openen van contracten of abonnementen zonder uw toestemming.

Extra waakzaamheid is daarom verstandig. Controleer regelmatig uw zakelijke administratie en let op onverwachte rekeningen of aanvragen. Bij twijfel kunt u advies inwinnen of melding doen bij de Fraudehelpdesk of de Consumentenbond.

Wilt u deze nieuwsbrief niet meer ontvangen?

Stuur dan een e-mail met als onderwerp “Afmelden nieuwsbrief” naar datalek@louwersadvocaten.nl.

Wij verwerken uw afmelding zo snel mogelijk.