Tijdens datahack voldeed Clinical Diagnostics niet aan wettelijke norm voor informatiebeveiliging

28 mei 2026 | IB&P | nieuwsberichten, informatie, informatiebeveiliging (nieuws)

Uit onderzoek blijkt dat de betrokken bedrijfsonderdelen van Clinical Diagnostics zowel op het moment van de hack als tijdens een inspectiebezoek in december 2025 niet voldeden aan de norm.

Clinical Diagnostics voldeed tijdens de datahack in juli 2025 niet aan de wettelijke verplichte norm NEN 7510 voor informatiebeveiliging in de zorg. Het werken volgens deze norm had de kans op een informatiebeveiligingsincident als dit kunnen verkleinen en de gevolgen beperken. Dat concludeert de Inspectie Gezondheidszorg en Jeugd (IGJ) na onderzoek naar de informatiebeveiliging bij de betrokken bedrijfsonderdelen Clinical Diagnostics LCPL BV en NMDL BV in Rijswijk.

Onderzoek

Clinical Diagnostics is een laboratorium dat diagnostische tests uitvoert voor zorgaanbieders. Bij de hack in 2025 werden op grote schaal gevoelige gegevens gestolen, met name van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker. Dit kan voor betrokkenen aanleiding zijn geweest tot onrust. De Autoriteit Persoonsgegevens (AP) voert een onderzoek uit op grond van de AVG (Algemene verordening gegevensbescherming). De IGJ deed onderzoek op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Die vereist dat organisaties die werken met patiëntgegevens moeten voldoen aan de norm NEN 7510 om risico’s op cyberincidenten te beperken.

Conclusie

Uit het onderzoek blijkt dat de betrokken bedrijfsonderdelen van Clinical Diagnostics zowel op het moment van de hack als tijdens een inspectiebezoek in december 2025 niet voldeden aan de norm. Er was onder meer geen onafhankelijke audit uitgevoerd op informatiebeveiliging. Daarnaast had het bedrijf risico’s bij het verwerken van gegevens niet periodiek in kaart gebracht. Zonder inzicht te hebben in die risico’s kon zij niet bepalen welke maatregelen nodig waren voor databeveiliging. Clinical Diagnostics voldeed daarmee niet aan de wettelijke vereisten.

Vervolg

De inspectie heeft Clinical Diagnostics gevraagd om op korte termijn aantoonbaar te voldoen aan de NEN7510.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

Hotel & IT: AI als privacyrisico in de hotellerie - 28 mei 2026
Tijdens datahack voldeed Clinical Diagnostics niet aan wettelijke norm voor informatiebeveiliging - 28 mei 2026
Chrome plaatst stiekem 4 GB AI-bestand op miljoenen computers - 27 mei 2026

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn

Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Verder lezen

Ransomware bij een leverancier – waarom wachten geen strategie is

Een ransomware-incident bij een leverancier kan de gemeentelijke dienstverlening direct raken, juist omdat overzicht, contractmanagement en voorbereiding vaak onvoldoende zijn ingericht. Door inzicht te hebben in leveranciers, duidelijke afspraken te maken en ook organisatorisch na te denken over handelingsperspectief, voorkom je dat de gemeente bij een incident in een afwachtende slachtofferrol belandt.

Verder lezen

Onzichtbare AI in systemen: privacyrisico’s voor gemeenten

In deze blog leggen we uit hoe AI ongemerkt gemeentelijke software binnendringt, waarom dit een privacyrisico vormt en hoe je hier als gemeente grip op houdt.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

Hotel & IT: AI als privacyrisico in de hotellerie	28 mei 2026 \| IB&P \| privacy (nieuws), opinie, nieuwsberichten	Verder lezen
Tijdens datahack voldeed Clinical Diagnostics niet aan wettelijke norm voor informatiebeveiliging	28 mei 2026 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Chrome plaatst stiekem 4 GB AI-bestand op miljoenen computers	27 mei 2026 \| IB&P \| privacy (nieuws), opinie, nieuwsberichten	Verder lezen
Cyberaanvallen op ziekenhuizen. Minder geld, minder bescherming	27 mei 2026 \| IB&P \| informatiebeveiliging (nieuws), opinie, nieuwsberichten	Verder lezen
Mozilla uit zorgen over verplichte leeftijdsverificatie voor vpn-providers	26 mei 2026 \| IB&P \| privacy (nieuws), informatie, nieuwsberichten	Verder lezen
NIS2 en bestuurdersaansprakelijkheid: de Cyberbeveiligingswet verandert de spelregels voor directies	26 mei 2026 \| IB&P \| opinie, informatiebeveiliging (nieuws), nieuwsberichten	Verder lezen
AP geeft taxi-app Yango 100 miljoen euro boete voor doorspelen info aan Rusland	25 mei 2026 \| IB&P \| privacy (nieuws), informatie, nieuwsberichten	Verder lezen
Odido-topman over hack: ‘Niets verkeerd gedaan, wel fouten gemaakt’	25 mei 2026 \| IB&P \| informatiebeveiliging (nieuws), opinie, nieuwsberichten	Verder lezen
De 8 grootste data-uitdagingen in de publieke sector	22 mei 2026 \| IB&P \| privacy (nieuws), opinie, nieuwsberichten	Verder lezen
Het einde van break-fix: waarom proactief IT-beheer de nieuwe standaard is	22 mei 2026 \| IB&P \| nieuwsberichten, informatiebeveiliging (nieuws), opinie	Verder lezen