Preview document (🔗 origineel)

---

Geachte voorzitter,

Afgelopen zomer heeft een hack plaatsgevonden bij het laboratorium Clinical Diagnostics (CD) dat betrokken is bij het bevolkingsonderzoek baarmoederhalskanker. Hierbij zijn persoonsgegevens van honderdduizenden deelnemers aan het bevolkingsonderzoek gestolen. Een ingrijpende gebeurtenis voor de getroffenen, wat ik ten zeerste betreur. Veel van hen hadden vragen naar aanleiding van de hack. Bevolkingsonderzoek Nederland (BVO NL) heeft in de eerste maanden na de hack het klantcontactcentrum¹ opgeschaald om deze vragen te kunnen beantwoorden. In de eerste periode van augustus tot oktober zijn er zo’n 11.000 telefoontjes en 5000 mails binnengekomen en behandeld. Momenteel komen er nog enkele tientallen telefoontjes en mails per week binnen. Getroffenen kunnen voor informatie te allen tijde terecht bij het klantcontactcentrum van BVO NL.

Ik heb toegezegd uw Kamer blijvend te informeren over de situatie rond de hack, mede namens de minister van Volksgezondheid, Welzijn en Sport. Allereerst geef ik in deze brief een korte terugblik op wat er is gebeurd en ga ik in op de gevolgen van de datahack bij CD voor de deelname aan het bevolkingsonderzoek baarmoederhalskanker en het vertrouwen in de bevolkingsonderzoeken. Daarnaast ga ik in op de capaciteitsproblemen die Bevolkingsonderzoek Nederland (BVO NL) heeft moeten constateren en de besluitvorming daaromtrent.

In deze brief neem ik uw Kamer ook mee in waar we nu staan wat betreft de informatiebeveiliging en de beschikbare resultaten van een van de audits. Ik verwacht dat uw Kamer in de loop van het voorjaar een volgende brief met de dan actuele stand van zaken zal ontvangen.

Terugblik

Op 6 augustus 2025 is BVO NL geïnformeerd over de hack bij het laboratorium CD. Als gevolg van de hack zijn persoonsgegevens gestolen die betrekking hebben op deelnemers aan het bevolkingsonderzoek baarmoederhalskanker en op mensen bij wie onderzoek is uitgevoerd in het getroffen laboratorium in opdracht van andere zorgverleners. In eerste instantie was het beeld dat van 485.000 deelnemers aan het bevolkingsonderzoek persoonsgegevens waren gestolen; in augustus bleken er nog 230.000 meer deelnemers getroffen. Uit voorzorg heeft BVO NL toen alle deelnemers aan het bevolkingsonderzoek sinds 2017 van wie gegevens met het getroffen laboratorium zijn gedeeld, (opnieuw) per brief geïnformeerd over de hack en de mogelijke gevolgen. Dit betrof ca. 941.000 deelnemers, die halverwege september een brief hebben ontvangen. Het is belangrijk te benadrukken dat deelnemers aan het bevolkingsonderzoek van wie gegevens met de andere twee laboratoria zijn gedeeld, niet zijn getroffen door de hack. Uw Kamer is met de brieven van 11 augustus 2025², 29 augustus 2025³ en 2 september 2025⁴ geïnformeerd over de hack bij CD.

In reactie op de hack bij CD zijn direct verschillende maatregelen getroffen. BVO NL heeft de samenwerking met CD opgeschort, de twee overgebleven laboratoria nemen de werkzaamheden van CD over op basis van de afgesproken achterwachtregeling. Z-CERT heeft op verzoek van de minister van Volksgezondheid, Welzijn en Sport alle laboratoria benaderd die zijn betrokken bij de bevolkingsonderzoeken naar kanker en screeningsprogramma’s rond zwangerschap en geboorte. Inmiddels zijn alle benaderde laboratoria toegevoegd aan de scanningsdienst van Z-CERT of is een vergelijkbaar instrument ingezet. Met deze dienst van Z-CERT wordt continu gemonitord op bekende kwetsbaarheden. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen. De minister heeft daarnaast op 4 december 2025 zorgbestuurders per brief opgeroepen prioriteit te geven aan het nemen van de nodige technische en organisatorische maatregelen op het gebied van informatiebeveiliging, te beginnen met het voldoen aan de wettelijk voorgeschreven informatiebeveiligingsnorm NEN7510. Verder heeft BVO NL onderzoek laten doen naar de informatiebeveiliging bij CD en trekt BVO NL lessen uit de datahack voor de eigen organisatie. Tot slot is ook onafhankelijk onderzoek gestart bij CD door de Inspectie Gezondheidszorg en Jeugd (IGJ), de Autoriteit Persoonsgegevens (AP) en het Openbaar Ministerie (OM). Wanneer die resultaten volgen, is nog niet bekend.

Gevolgen datahack voor bevolkingsonderzoek baarmoederhalskanker

Er wordt nauwlettend gemonitord wat de gevolgen van de hack zijn voor de deelname aan het bevolkingsonderzoek baarmoederhalskanker. BVO NL en het RIVM monitoren continu het aantal tests dat wordt ingestuurd bij de laboratoria, als indicatie voor deelname. Tot augustus 2025 was een 5% hogere instroom van testen te zien ten opzichte van 2024. Dit was onder meer verklaarbaar door intensieve bewustzijnscampagnes en veel positieve media-aandacht. In de maanden vanaf bekendmaking van de hack was de instroom van ingestuurde

testen 11% lager dan in diezelfde maanden van 2024. In het najaar trok deze daling enigszins bij. Het effect over het hele jaar 2025 ten opzichte van het jaar 2024 is daarmee een 1,8% lagere instroom van testen, wat grofweg gelijk staat aan 8000 testen.

Het is niet goed mogelijk om op basis van deze gegevens duidelijke conclusies te trekken over de daadwerkelijke deelname aan het bevolkingsonderzoek. Dit heeft onder andere te maken met de fluctuatie van deelname gedurende een kalenderjaar. Het is goed mogelijk dat vrouwen de uitnodiging voor het bevolkingsonderzoek als gevolg van de hack wat langer hebben laten liggen, maar uiteindelijk alsnog gaan deelnemen. Sowieso zit er soms veel tijd tussen uitnodiging en deelname, daarom wordt de deelname aan het bevolkingsonderzoek altijd op verschillende meetmomenten vastgesteld en jarenlang gevolgd. In de monitor over 2025, die in het najaar van 2026 verschijnt, zal meer duidelijk worden over de deelname.

Aanvullend heeft BVO NL in het najaar van 2025 een meting laten uitvoeren om de invloed van de hack op de deelname-intentie aan het bevolkingsonderzoek en het vertrouwen in BVO NL te meten. Dit werd gedaan onder meer dan 1000 mensen uit de doelgroepen van alle drie de bevolkingsonderzoeken naar kanker. Van de respondenten heeft 13% aangegeven niet (meer) deel te willen nemen aan het bevolkingsonderzoek vanwege de hack. Tegelijkertijd geeft het merendeel van hen aan dat het vertrouwen (misschien) weer te herstellen is met (1) betere en strengere informatiebeveiliging, (2) transparantie en heldere communicatie over wat er fout ging en wat er nu anders gaat en (3) gegevens te anonimiseren en minder lang te bewaren. Onder de respondenten is het vertrouwen in BVO NL nog steeds hoog. 86% van de ondervraagden zegt veel vertrouwen te hebben in BVO NL. De doelgroep ziet BVO NL als betrouwbaar, nuttig en belangrijk voor gezondheid en preventie. Zorgen rond de datahack spelen nauwelijks een rol.

Capaciteitsproblemen

BVO NL heeft de samenwerking met CD opgeschort op het moment dat de hack bekend werd. De twee andere laboratoria die betrokken zijn bij het bevolkingsonderzoek baarmoederhalskanker hebben het werk van CD overgenomen. Dit gebeurt op basis van de afgesproken achterwachtregeling. Deze achterwachtregeling is kwetsbaar: het is voor de overgebleven twee laboratoria steeds moeilijker om de analyses bijtijds uit te voeren. Dit is echter wel van belang om te voorkomen dat deelnemers aan het bevolkingsonderzoek onverantwoord lang moeten wachten op hun uitslag. In het kerstreces is door BVO NL samen met de laboratoria geconstateerd dat er sprake is van een structureel te grote achterstand die met de huidige maximale inzet van de analisten in de twee laboratoria niet kan worden ingelopen. Het bleek noodzakelijk om ruimte te creëren bij de laboratoria door het aantal ingestuurde testen te beperken. Daarom heeft BVO NL het moeilijke besluit moeten nemen om de uitnodigingen voor het bevolkingsonderzoek baarmoederhalskanker te vertragen.

Op dit moment worden er 50% minder uitnodigingen voor het bevolkingsonderzoek baarmoederhalskanker verstuurd. BVO NL monitort continu of het aantal uitnodigingen weer verhoogd kan worden. Het gaat alleen om vertraging van de primaire uitnodigingen voor het bevolkingsonderzoek. De uitnodigingen voor een controle-uitstrijkje voor vrouwen met een eerdere HPV-positieve uitslag lopen zonder vertraging door.

Als gevolg van de vertraging in uitnodigingen loopt het uitnodigingsinterval op. Dat is de tijd tussen twee uitnodigingen voor het bevolkingsonderzoek. Normaal is dit interval vijf of tien jaar, afhankelijk van de leeftijd van de deelnemer, uitslag en eerdere deelname. Op dit moment is het uitnodigingsinterval één maand langer, dat wil zeggen vijf of tien jaar plus één maand. Dit zal verder oplopen naarmate deze vertraging aanhoudt. Met iedere maand dat deze situatie aanhoudt, zal het interval ook ongeveer met één maand toenemen. Dus over nog een maand is de vertraging in het interval 1-2 maanden en over twee maanden is de vertraging 2-3 maanden, enzovoorts.

De verwachting is dat de vertraging voorlopig zal aanhouden, omdat er niet op korte termijn een oplossing beschikbaar is. Pas wanneer meer capaciteit beschikbaar is, bijvoorbeeld doordat de samenwerking met CD kan worden hervat, wordt het aantal uitnodigingen weer opgeschroefd. Tegelijkertijd zien het RIVM en BVO NL dat dit waarschijnlijk alleen niet voldoende zal zijn om de opgelopen achterstanden in te halen. Zij signaleren dat het daarvoor ook noodzakelijk zal zijn de huidige digitale ondersteuning van de laboranten in de labs toekomstbestendig te houden met behulp van digitale cytologie. Digitale cytologie is een systeem voor digitale beoordeling van afwijkende cellen dat de analisten ondersteunt, waardoor het werk sneller kan worden uitgevoerd.

Het vertragen van de uitnodigingen is geen gemakkelijk besluit geweest voor BVO NL. Ik ben de twee laboratoria zeer erkentelijk voor de grote inspanningen om het werk van CD over te nemen, maar ook ik vind het uitermate vervelend voor alle vrouwen uit de doelgroep die nu iets langer op hun uitnodiging moeten wachten. Gegeven de uitzonderlijke situatie waarvan sprake is, is er helaas geen andere mogelijkheid. Op basis van ervaringen uit de COVID-periode, waarin het bevolkingsonderzoek baarmoederhalskanker 3,5 maand stil heeft gelegen, weten we dat er niet direct (langetermijn)effecten op de gezondheidswinst zullen zijn.⁵ De verwachting is dat een tijdelijke nieuwe vertraging tot 3,5 maand niet tot gezondheidsverlies leidt op populatieniveau. De eventuele gevolgen van een langere vertraging worden onderzocht. Ik verwacht de resultaten van dit onderzoek in het eerste kwartaal 2026.

Verbetertraject informatiebeveiliging CD

BVO NL heeft PricewaterhouseCoopers (PwC) gevraagd onafhankelijk onderzoek uit te voeren naar de informatiebeveiliging binnen CD. Het doel van dit onderzoek is inzicht te verkrijgen in de huidige stand van de informatiebeveiliging van CD, om daarmee de veiligheid van de verwerking van (bijzondere) persoonsgegevens in relatie tot de dienstverlening aan BVO NL te kunnen beoordelen. Het onderzoek bestond uit een analyse van het operationele proces, de IT-systemen, datastromen en onderliggende IT-infrastructuur van CD. Uit het onderzoeksrapport van PwC volgt dat op al die punten tekortkomingen bestaan. CD is nu op basis van het rapport aan de slag om de informatiebeveiliging op orde te brengen.

Over de precieze onderzoeksbevindingen kan ik helaas niet meer specifieke informatie verstrekken, om reden dat dit tot openbaarmaking van gevoelige en vertrouwelijk verstrekte bedrijfsgegevens zou leiden. Het openbaar maken van gedetailleerde informatie over risico’s of gebreken in de informatiebeveiliging kan leiden tot risico’s op onrechtmatig gebruik van die gegevens door onbevoegden, met alle nadelige gevolgen voor betrokkenen van dien. Behoudens enkele inleidende en algemene passages zou het rapport om voornoemde redenen grotendeels onleesbaar moeten worden gemaakt. De openbaarmaking ervan geeft dus niet meer relevante informatie dan in deze brief verstrekt.

BVO NL is voornemens om met CD te werken aan hervatting van de samenwerking. Er is immers groot belang bij de continuïteit van het bevolkingsonderzoek baarmoederhalskanker. Omdat nu de primaire uitnodigingen voor het bevolkingsonderzoek vertraagd worden, staat deze continuïteit onder druk. Van BVO NL en het RIVM begrijp ik dat het vinden van een ander laboratorium dat op korte termijn het werk van CD kan en wil overnemen, niet haalbaar is. BVO NL heeft hiertoe een globale verkenning uitgevoerd. De benodigde expertise op het gebied van cervixcytologie is schaars en voor het bevolkingsonderzoek zijn hoge kwaliteit en veel ervaring vereist. Op het gebied van cervixcytologie heeft CD inhoudelijk altijd goed werk geleverd en CD bezit veel expertise die nodig is om het bevolkingsonderzoek met de huidige kwaliteit uit te voeren. BVO NL heeft mij laten weten dat de gesprekken tussen BVO NL en CD en de plannen die CD heeft opgesteld op basis van het onderzoek door PwC, BVO NL voldoende vertrouwen geven om CD de kans te geven de informatiebeveiliging op orde te brengen. Ondanks dat ik ben geschrokken van de door PwC geconstateerde tekortkomingen, snap ik dat BVO NL alles afwegende nu met CD werkt aan hervatting van de samenwerking.

Uiteraard geldt dat BVO NL de samenwerking met CD alleen dan kan hervatten wanneer de veiligheid van alle data van alle deelnemers onafhankelijk is vastgesteld. Tot die tijd zullen voor het bevolkingsonderzoek geen testen door dit lab worden geanalyseerd. De komende zes maanden werkt CD aan de in het PwC-rapport genoemde tekortkomingen. Het is aan BVO NL om te beoordelen of CD de tekortkomingen heeft verholpen. Daarbij zal BVO NL PwC opnieuw een onafhankelijke beoordeling laten uitvoeren om de veiligheid van de data te kunnen vaststellen. Alleen als het CD lukt binnen de overeengekomen termijnen de informatiebeveiliging aantoonbaar op orde te hebben, is BVO NL voornemens de samenwerking te hervatten. BVO NL behoudt het recht om de samenwerking met

CD alsnog definitief stop te zetten als er geen vertrouwen meer is dat de informatiebeveiliging op orde wordt gebracht. CD heeft aan BVO NL laten weten bereid te zijn alles op alles te zetten om de gesignaleerde tekortkomingen te verhelpen.

De komende periode zal ik vanuit mijn stelselverantwoordelijkheid de ontwikkelingen nauwgezet blijven volgen. Ik zal uw Kamer informeren over de voortgang.

Eerste reflectie BVO NL op datahack

BVO NL heeft naar aanleiding van de datahack ook de eigen processen kritisch onder de loep genomen, waarbij is gekeken naar datastromen, opslag, bewaartermijnen van (gevoelige) gegevens en de borging van informatiebeveiliging en privacy. De datastromen van en naar de laboratoria en de afspraken daarover ten tijde van de aanbesteding zijn in opdracht van BVO NL door een externe partij gereconstrueerd, met onder andere een focus op de rol van BVO NL. BVO NL heeft het RIVM hier een eerste reflectie op gegeven.

Voor BVO NL is de geldende wet- en regelgeving het uitgangspunt bij de contractering van de laboratoria. Dit gaat zowel om de wettelijke eisen die gelden voor de omgang met persoonsgegevens, als de wettelijke bewaartermijn die volgt uit de Wet op de Geneeskundige Behandelingsovereenkomst (Wgbo). Op basis van de reconstructie heeft BVO NL geconcludeerd dat de gestelde eisen aan de laboratoria in het kader van de aanbesteding conform de wet- en regelgeving waren. Op basis van de recent afgeronde aanbesteding voor het bevolkingsonderzoek darmkanker is sprake van voortschrijdend inzicht over de mogelijkheden rond verdere dataminimalisatie. BVO NL zal deze meenemen in een volgende aanbesteding in het bevolkingsonderzoek baarmoederhalskanker. Dit gaat dan bijvoorbeeld om vereenvoudiging van de architectuur en contracten, wat mogelijkheden biedt voor verdere dataminimalisatie. Daarnaast heeft BVO NL de compliance-eisen (zoals de NEN7510) en contractafspraken bij de 12 kritische leveranciers van het bevolkingsonderzoek baarmoederhalskanker diepgaand getoetst, en worden deze nu structureel gemonitord. Het risico op een omvangrijke hack bij contractpartijen was eerder geen onderdeel van het risicomanagementsysteem. BVO NL heeft dat nu wel als expliciet onderdeel opgenomen.

Ik ben positief over het delen van deze eerste reflectie door BVO NL en over de manier waarop BVO NL de eigen organisatie en de inrichting van de bevolkingsonderzoeken beschouwt. Ik heb begrepen dat BVO NL hier de komende periode onverminderd mee verder gaat. BVO NL kijkt daarnaast breder of het noodzakelijk is om aanvullend onderzoek te doen naar de datahack, of dat de huidige onderzoeksresultaten voldoende inzicht gegeven hebben.

Tot slot

Ik kan niet vaak genoeg herhalen hoe erg ik het vind dat de datahack heeft plaatsgevonden. Vooral voor alle getroffenen, maar ook voor alle andere vrouwen uit de doelgroep die nu te maken krijgen met de vertraging van uitnodigingen. Samen met de betrokken organisaties werk ik er vanuit mijn stelselverantwoordelijkheid aan om de situatie zo snel als mogelijk weer op orde te krijgen. Ik zal uw Kamer hier goed in mee blijven nemen.

Hoogachtend,

de staatssecretaris Jeugd,

Preventie en Sport,

Judith Zs.C.M. Tielen

---

1. https://www.bevolkingsonderzoeknederland.nl/contact/↩︎

2. Kamerstukken II, 2024/25, 32761, nr. 327.↩︎

3. Kamerstukken II, 2024/25, 32761, nr. 329.↩︎

4. Kamerstukken II, 2024/25, 32761, nr. 330.↩︎

5. https://pubmed.ncbi.nlm.nih.gov/33723386/ - Effects of cancer screening restart strategies after COVID-19 disruption↩︎