De Inspectie Gezondheidszorg en Jeugd concludeert dat Clinical Diagnostics ten tijde van de grote datahack in juli 2025 niet voldeed aan de NEN 7510-norm. Dat is de wettelijk verplichte informatiebeveiligingsnorm voor de zorg. Een onafhankelijke audit was niet uitgevoerd en risico’s werden niet periodiek in kaart gebracht. Clinical Diagnostics werkt inmiddels aan certificering.
In juli 2025 werden bij Clinical Diagnostics in Rijswijk op grote schaal gevoelige persoonsgegevens gestolen. Met name deelnemers aan het bevolkingsonderzoek baarmoederhalskanker. werden getroffen Nu, bijna een jaar later, heeft de Inspectie Gezondheidszorg en Jeugd (IGJ) haar conclusies gepresenteerd. Het laboratorium voldeed op het moment van de hack niet aan NEN 7510.
De Autoriteit Persoonsgegevens voert nog een apart onderzoek uit op grond van de AVG. De IGJ deed haar onderzoek op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Die verplicht zorgorganisaties dat ze aantoonbaar moeten werken volgens de NEN 7510-norm.
Geen audit, geen risicoanalyse
Uit het onderzoek blijkt dat Clinical Diagnostics zowel ten tijde van de hack als tijdens een inspectiebezoek in december 2025 niet voldeed aan de norm. Zo was er geen onafhankelijke audit uitgevoerd op informatiebeveiliging. Risico’s bij de gegevensverwerking werden niet periodiek in kaart gebracht. Daardoor kon niet worden bepaald welke beveiligingsmaatregelen nodig waren. Dat zijn de twee kernbevindingen van de IGJ.
Dit alles speelde dus bij een laboratorium dat diagnostische tests uitvoerde voor zorgaanbieders en daartoe beschikte over grote hoeveelheden medische gegevens. Volgens de IGJ is voldoen aan NEN 7510 geen vrijblijvende keuze, maar een wettelijk vereiste voor iedere zorgorganisatie die met patiëntgegevens werkt.
Beperkte handhavingsbevoegdheid IGJ
Op basis van de Wabvpz kan de IGJ geen bestraffende maatregelen opleggen. Dat kan de AP wel, maar dan op grond van de AVG. De inspectie heeft Clinical Diagnostics verzocht op korte termijn aantoonbaar te voldoen aan NEN 7510. Het laboratorium laat ondertussen weten dat een externe audit heeft plaatsgevonden met positieve uitkomst en dat certificering binnenkort wordt verwacht.
Inmiddels heeft Bevolkingsonderzoek Nederland de samenwerking met Clinical Diagnostics hervat, simpelweg omdat er geen alternatieve laboratoria beschikbaar zijn. Bij de hack werden gegevens ontvreemd van honderdduizenden vrouwen, waaronder namen, adressen en BSN-nummers. Tot februari 2026 deden 118 slachtoffers aangifte.
Oproep aan zorgsector
Mede naar aanleiding van dit onderzoek roept de Inspectie Gezondheidszorg en Jeugd alle zorgaanbieders op aantoonbaar te werken volgens de NEN 7510-norm. Voor organisaties die gebruikmaken van laboratoria of andere derde partijen geldt bovendien dat zij actief moeten controleren of die partijen ook aan de norm voldoen. De IGJ houdt als wettelijk toezichthouder nadrukkelijk zicht op naleving en kan bij tekortkomingen handhavend optreden.