Preview document (🔗 origineel)

---

32 761 Verwerking en bescherming persoonsgegevens

32 793 Preventief gezondheidsbeleid

Nr. 330 Brief van de staatssecretaris van Volksgezondheid, Welzijn en Sport

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 september 2025

Op 11 augustus 2025 is uw Kamer door de minister van Volksgezondheid, Welzijn en Sport, mede namens mij, geïnformeerd over de hack die heeft plaatsgevonden bij een laboratorium dat betrokken is bij het bevolkingsonderzoek baarmoederhalskanker.¹ Als gevolg van de hack zijn gegevens gestolen van vele deelnemers aan het bevolkingsonderzoek baarmoederhalskanker, alsook van andere mensen van wie onderzoek is uitgevoerd in het laboratorium Clinical Diagnostics. Afgelopen vrijdag 29 augustus heb ik uw Kamer geïnformeerd² dat gebleken is dat er nog aanzienlijk meer deelnemers aan het bevolkingsonderzoek baarmoederhalskanker zijn getroffen door de hack, namelijk ca. 230.000 mensen. Het is helaas niet uit te sluiten dat het hierbij blijft.

Met deze brief informeer ik uw Kamer, mede namens de minister van Volksgezondheid, Welzijn en Sport, nader over dit nieuws en de laatste stand van zaken met betrekking tot de hack. Parallel aan deze brief verzend ik vandaag ook mijn antwoorden op de Kamervragen die zijn gesteld door het lid Joseph (BBB)³ en de leden Hertzberger en Six Dijkstra (beiden NSC)⁴. De Kamervragen die zijn gesteld door het lid Kathmann (GL-PvdA) worden zo snel mogelijk beantwoord.

Algemeen

Voor ik verder inga op de ontwikkelingen rond de hack, wil ik nogmaals benadrukken dat ik het verschrikkelijk vind dat de hack groter is dan we op basis van de informatie die is verstrekt, verwachtten. Hoewel het een door Bevolkingsonderzoek Nederland (BVO NL) gecontracteerd laboratorium betreft, kan ik me voorstellen dat deze hack het vertrouwen de bevolkingsonderzoeken heeft geschaad. Mensen die worden uitgenodigd om mee te doen aan een bevolkingsonderzoek, moeten de zekerheid hebben dat hun gegevens goed worden beschermd. Dit geldt overigens voor alle patiënten in de zorg.

Deelname aan een bevolkingsonderzoek is al spannend genoeg, terwijl het voor ieders gezondheid van belang is. Het vroeg opsporen van baarmoederhalskanker, borstkanker en darmkanker zorgt ervoor dat de behandeling minder belastend is, een betere uitkomst heeft en minder sterfte tot gevolg heeft.

De afgelopen weken heb ik gezien dat deze hack een grote impact heeft op alle deelnemers aan bevolkingsonderzoeken. Met name voor de deelnemers die een brief ontvangen waarin staat dat hun gegevens bij de hack betrokken zijn en dat hun persoonlijke gegevens mogelijk in verkeerde handen zijn gekomen. Dat er nog steeds zoveel onzeker en onduidelijk is, betreur ik. Ik dring er bij de betrokken organisaties op aan dat ze alles uit de kast blijven halen om zekerheid te krijgen over wat er is gestolen en hoe dat heeft kunnen gebeuren, en dat er geleerd wordt van deze situatie om te voorkomen dat zich dit in de toekomst nogmaals voordoet.

Ik begrijp heel goed dat deelnemers zich zorgen maken en dus veel vragen hebben. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum⁵ van BVO NL. Op de website van BVO NL staat het nummer van de infolijn, afhankelijk van iemands woonplaats. Verder zijn er antwoorden te vinden op veel gestelde vragen.⁶ Deze worden steeds aangevuld en geactualiseerd.

Omvang van hack

In de Kamerbrief van 11 augustus informeerde ik uw Kamer dat als gevolg van de hack bij het laboratorium gegevens zijn gestolen van ruim 485.000 deelnemers aan het bevolkingsonderzoek. Inmiddels is dus duidelijk geworden dat de hack nog eens ca. 230.000 deelnemers aan het bevolkingsonderzoek heeft getroffen. Ik ben geschrokken van dit nieuws.

In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.

BVO NL heeft op 29 augustus een nieuwsbericht gepubliceerd met het nieuws dat nog eens ca. 230.000 deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack. Ik heb uw Kamer hierover eveneens op 29 augustus geïnformeerd. Ook deze deelnemers worden de komende weken hierover door BVO NL per brief geïnformeerd. Volgens BVO NL kan het laboratorium niet bevestigen dat dit nu de volledige omvang is van het datalek.

Om die reden heeft BVO NL besloten alle betrokkenen die sinds 2017 hebben deelgenomen aan het bevolkingsonderzoek en van wie gegevens naar het betreffende laboratorium zijn gestuurd, nader te informeren. Het gaat in totaal om een groep van ruim 941.000 deelnemers. De betreffende brief wordt naar verwachting half september verstuurd.

Voor de volledigheid benadruk ik dat het hier gaat om deelnemers aan het bevolkingsonderzoek baarmoederhalskanker van wie de gegevens naar het betreffende laboratorium zijn gestuurd. De gegevens die BVO NL met het laboratorium deelt zijn: naam, adres en woonplaats, geslacht, soort onderzoek (zelftest of uitstrijkje), geboortedatum, BSN-nummer, testuitslag(en) en de naam van de huisarts. E-mailadressen en telefoonnummers zijn niet door BVO NL gedeeld met het laboratorium. Helaas is echter niet uit te sluiten dat ook deze gegevens onderdeel zijn van de hack. In sommige gevallen worden deze gegevens door andere zorgorganisaties verstrekt. Welke gegevens van de getroffenen precies bemachtigd zijn met de hack, is op individueel niveau nu nog niet te zeggen. BVO NL is momenteel druk bezig om in kaart te brengen welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief ontvangen hebben. Deelnemers aan het bevolkingsonderzoek van wie de gegevens naar de andere laboratoria zijn gestuurd, zijn niet getroffen door de hack.

Advies voor getroffenen

Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is en blijft om extra alert te zijn op vreemd gebruik van de persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden.⁷ Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.

Maatregelen

Eerder is uw Kamer geïnformeerd over de maatregelen die worden getroffen om de gevolgen van de hack zoveel mogelijk te beperken. Aanvullend hierop worden de volgende maatregelen getroffen:

• De samenwerking met het betreffende laboratorium is door BVO NL tot nader order opgeschort. Twee laboratoria die betrokken zijn bij het bevolkingsonderzoek baarmoederhalskanker hebben het werk van het getroffen laboratorium overgenomen. Bij deze laboratoria worden door Z-Cert vanaf heden permanente kwetsbaarhedenchecks uitgevoerd op de systemen van deze laboratoria die zijn ontsloten aan het internet.  

• BVO NL heeft in afstemming met het RIVM heen onderzoek ingesteld naar de exacte omvang en de oorzaak van deze hack.

• Er is onderzoek gestart naar wat BVO NL kan verbeteren aan onder meer dataminimalisatie, aanbestedingseisen en bewaartermijnen.

• BVO NL heeft melding gedaan bij de Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ). De AP en de IGJ zijn inmiddels beide een onderzoek gestart.

• Het Openbaar Ministerie en de politie hebben bekend gemaakt strafrechtelijk onderzoek te doen naar het datalek.

• Het RIVM heeft contact gelegd met het Nationaal Cyber Security Centrum (NCSC) met het verzoek om assistentie. Het NCSC heeft de coördinatie van dit cyberincident inmiddels overgedragen aan Z-Cert.

• Tot slot brengt het ministerie van VWS databeveiliging permanent onder de aandacht in (bestuurlijke) gesprekken met partners uit het veld. Dataveiligheid is van ons allemaal en voor ons allemaal van groot belang. Het zou zo vanzelfsprekend moeten zijn als een brandverzekering. Dat vraagt op alle niveaus om alertheid, urgentie en inspanning: van de bestuurskamer tot de werkvloer. In technieken in gedrag. Ik zet mij in dat bewustzijn te vergroten, zeker in deze tijd van oplopende en voortdurende cyberdreigingen. Samen bouwen we daarmee aan het vertrouwen in databeschikbaarheid.

De verwachting is dat de lopende onderzoeken later dit najaar nadere informatie opleveren. Op basis van die uitkomsten zal inzichtelijk worden of en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra daarover nadere informatie beschikbaar is, delen we deze met uw Kamer.

Tot slot

BVO NL en het RIVM werken hard aan het onderzoek, de informatievoorziening en het door laten lopen van de bevolkingsonderzoeken. Het is begrijpelijk dat er nog steeds veel vragen leven, in de maatschappij en dus ook in uw Kamer. De eerlijkheid gebiedt mij te zeggen dat veel vragen nog niet precies beantwoord kunnen worden, omdat nog niet alle informatie beschikbaar is. Dit soort situaties laat zien dat we nooit weten of we alles weten. De onderzoeken die nu lopen gaan ons naar verwachting belangrijke informatie geven om de meeste vragen te kunnen beantwoorden. Ik zal uw Kamer doorlopend informeren over de stand van zaken rond deze hack.

De staatssecretaris van Volksgezondheid, Welzijn en Sport,

J.Z.C.M. Tielen

---

1. Kamerstukken 32 761 en 32 793, nr. 327.↩︎

2. Kamerstukken 32 761 en 32 793, nr. 329↩︎

3. 2025Z15096↩︎

4. 2025Z15128↩︎

5. https://www.bevolkingsonderzoeknederland.nl/contact/,↩︎

6. https://www.bevolkingsonderzoeknederland.nl/baarmoederhalskanker/veelgestelde-vragen-datalek/↩︎

7. https://www.rijksoverheid.nl/onderwerpen/cybercrime-en-cybersecurity/vraag-en-antwoord/ik-ben-slachtoffer-van-de-hack-bij-het-bevolkingsonderzoek-baarmoederhalskanker.-wat-kan-ik-doen↩︎