Reactie op verzoek commissie er de uitkomsten van het gesprek met de Inspectie Gezondheidszorg en Jeugd (IGJ) over databeveiliging, alsmede over de checks die bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker

Verwerking en bescherming persoonsgegevens

Brief regering

Nummer: 2025D42594, datum: 2025-09-30, bijgewerkt: 2025-10-03 13:56, versie: 2 (versie 1)

Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.

Gerelateerde personen:

Eerste ondertekenaar: J.A. Bruijn, minister van Volksgezondheid, Welzijn en Sport

Bijlagen:

Beslisnota bij Reactie op verzoek commissie er de uitkomsten van het gesprek met de Inspectie Gezondheidszorg en Jeugd (IGJ) over databeveiliging, alsmede over de checks die bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker

Onderdeel van kamerstukdossier 32761 -333 Verwerking en bescherming persoonsgegevens.

Onderdeel van zaak 2025Z18227:

Indiener: J.A. Bruijn, minister van Volksgezondheid, Welzijn en Sport
Voortouwcommissie: vaste commissie voor Volksgezondheid, Welzijn en Sport

Onderdeel van activiteiten:

2025-10-02 13:30: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
2025-11-19 10:15: Procedurevergadering VWS (Procedurevergadering), vaste commissie voor Volksgezondheid, Welzijn en Sport

Preview document (🔗 origineel)

32 761 Verwerking en bescherming persoonsgegevens

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 333 Brief van de minister van Volksgezondheid, Welzijn en Sport

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 september 2025

Tijdens het commissiedebat Publieke Gezondheid op 10 september jl. heb ik uw Kamer toegezegd om u per brief te informeren over de uitkomsten van mijn gesprek met de Inspectie Gezondheidszorg en Jeugd (IGJ) over databeveiliging, alsmede over de checks die bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. De vaste commissie voor Volksgezondheid, Welzijn en Sport heeft op 24 september jl. mij verzocht om deze brief voor het tweeminutendebat Publieke Gezondheid te ontvangen dat gepland staat op 1 oktober a.s. Met deze brief kom ik, mede namens de staatssecretaris Jeugd, Preventie en Sport, tegemoet aan uw verzoek.

Het ministerie van VWS stemt regelmatig af met de IGJ over dataveiligheid, waaronder over trends, capaciteit en nieuwe ontwikkelingen. In mijn gesprek met de Inspecteur Generaal dat 30 september 2025 plaats vond, is specifiek de dataveiligheid bij laboratoria besproken. De IGJ doet momenteel onderzoek naar de hack die plaatsvond bij het laboratorium Clinical Diagnostics. De IGJ doet haar onderzoek bij Clinical Diagnostics in nauwe afstemming met de Autoriteit Persoonsgegevens die dit ook in onderzoek heeft. Uiteraard wacht ik met grote interesse op de uitkomsten van dat onderzoek, ook om kennis te nemen van de lessen van deze hack voor de hele zorg. Wanneer de resultaten van dit onderzoek komen is nog niet bekend.

De IGJ werkt risico gestuurd. De afgelopen jaren is het toezicht op digitale veiligheid geprioriteerd. De IGJ heeft tot de recente hack geen signalen ontvangen die zorg gaven over de informatiebeveiliging in laboratoria. Er is niet eerder een zo ernstig incident opgetreden.

De hack en het datalek bij Clinical Diagnostics zijn voor de IGJ een extra aanleiding om laboratoria in het vizier te krijgen en mee te nemen in hun werkplan. De IGJ is onafhankelijk, ik kan en wil niet in hun bevoegdheid treden.

Bevolkingsonderzoek Nederland (BVO NL) laat, zoals eerder aan uw Kamer gemeld, zelf ook onafhankelijk onderzoek uitvoeren naar de oorzaak en omvang van de hack. De uitkomsten van dit onderzoek zijn mogelijk ook relevant voor andere laboratoria. Ik vind het belangrijk de uitkomsten af te wachten alvorens maatregelen te treffen.

Ondertussen zit ik niet stil. Het expertisecentrum cybersecurity in de zorg (Z-CERT) heeft op mijn verzoek naar aanleiding van de hack alle laboratoria waarmee BVO NL samenwerkt benaderd om bij hen alle systemen die benaderbaar zijn via het internet continu technisch te monitoren. Deze monitoring is nu actief, ook bij de twee overgebleven laboratoria in het bevolkingsonderzoek baarmoederhalskanker die de werkzaamheden van het gehackte laboratorium hebben overgenomen.

De verwachting is dat voor 1 oktober a.s. alle laboratoria die met BVO NL samenwerken opgenomen zijn in de monitoring. Z-CERT is hierbij afhankelijk van de bereidheid van de laboratoria om gegevens aan te leveren.

BVO NL heeft zelf ook een quick scan uit laten voeren naar acute risico’s bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker. Hieruit kwam naar voren dat deze laboratoria voldoende veilig zijn. In algemene zin kan ik zeggen dat BVO NL eisen stelt aan de laboratoria op het gebied van databeveiliging. Van BVO NL heb ik vernomen dat in de contracten onder andere is opgenomen dat de beveiliging dient te voldoen aan de beveiligingseisen op grond van de Algemene Verordening Gegevensbescherming (AVG) en dat er technische en organisatorische maatregelen dienen te worden genomen tegen onrechtmatige verwerking van persoonsgegevens, zoals ontvreemding.

Tot slot wordt uw Kamer, zoals toegezegd tijdens het commissiedebat Digitale ontwikkelingen in de zorg op 10 april 2025, komende weken geïnformeerd middels een bredere brief over cybersecurity en digitale weerbaarheid in de zorg.

De minister van Volksgezondheid, Welzijn en Sport,

J.A. Bruijn