Inspectie: gehackt lab achter bevolkingsonderzoek voldeed niet aan wettelijke beveiligingsnorm

Clinical Diagnostics werd vorig jaar slachtoffer van een hack, waarbij de aanvallers toegang kregen tot een groot deel van de ICT-systemen van hun laboratorium in Rijswijk. Dat laboratorium verwerkt onder meer uitstrijkjes en zelftesten in opdracht van het Bevolkingsonderzoek Nederland. Bij de aanval werden persoonsgegevens van zo'n 850.000 mensen gestolen.

De IGJ meldt nu dat de betrokken bedrijfsonderdelen van Clinical Diagnostics zowel op het moment van de hack als tijdens een inspectiebezoek in december 2025 niet aan de norm voldeden. Zo was er geen onafhankelijke audit uitgevoerd op informatiebeveiliging. Het bedrijf had verder risico's bij het verwerken van gegevens niet periodiek in kaart gebracht. Daardoor konden ze ook niet bepalen welke maatregelen nodig waren voor databeveiliging. 

Vervolgstappen

Dat betekent dat Clinical Diagnostics niet aan de wettelijke eisen voldeed. De inspectie heeft de organisatie gevraagd om op korte termijn alsnog aantoonbaar te voldoen aan de NEN 7510. De IGJ kan echter geen bestraffende maatregelen opleggen. 

Clinical Diagnostics heeft volgens de IGJ laten weten dat er een externe audit heeft plaatsgevonden met een positieve uitkomst. Naar verwachting is de certificering binnenkort afgerond. De inspectie blijft de voortgang en naleving naar eigen zeggen nauwgezet volgen. 

Naast de IGJ doet ook privacytoezichthouder Autoriteit Persoonsgegevens onderzoek naar Clinical Diagnostics, op basis van de privacywetgeving AVG. Dat onderzoek loopt nog. Mocht daaruit blijken dat Clinical Diagnostics de AVG heeft overtreden, dan kan de AP wel bestraffende maatregelen opleggen.