/G_650_347.jpg)
Uit onderzoek blijkt dat de betrokken bedrijfsonderdelen van Clinical Diagnostics zowel op het moment van de hack als tijdens een inspectiebezoek in december 2025 niet voldeden aan de norm
Clinical Diagnostics voldeed tijdens de datahack in juli 2025 niet aan de wettelijke verplichte norm NEN 7510 voor informatiebeveiliging in de zorg. Het werken volgens deze norm had de kans op een informatiebeveiligingsincident als dit kunnen verkleinen en de gevolgen beperken. Dat concludeert de Inspectie Gezondheidszorg en Jeugd (IGJ) na onderzoek naar de informatiebeveiliging bij de betrokken bedrijfsonderdelen Clinical Diagnostics LCPL BV en NMDL BV in Rijswijk.
Onderzoek
Clinical Diagnostics is een laboratorium dat diagnostische tests uitvoert voor zorgaanbieders. Bij de hack in 2025 werden op grote schaal gevoelige gegevens gestolen, met name van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker. Dit kan voor betrokkenen aanleiding zijn geweest tot onrust. De Autoriteit Persoonsgegevens (AP) voert een onderzoek uit op grond van de AVG (Algemene verordening gegevensbescherming). De IGJ deed onderzoek op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Die vereist dat organisaties die werken met patiëntgegevens moeten voldoen aan de norm NEN 7510 om risico’s op cyberincidenten te beperken.
Conclusie
Uit het onderzoek blijkt dat de betrokken bedrijfsonderdelen van Clinical Diagnostics zowel op het moment van de hack als tijdens een inspectiebezoek in december 2025 niet voldeden aan de norm. Er was onder meer geen onafhankelijke audit uitgevoerd op informatiebeveiliging. Daarnaast had het bedrijf risico’s bij het verwerken van gegevens niet periodiek in kaart gebracht. Zonder inzicht te hebben in die risico’s kon zij niet bepalen welke maatregelen nodig waren voor databeveiliging. Clinical Diagnostics voldeed daarmee niet aan de wettelijke vereisten.
Vervolg
De inspectie heeft Clinical Diagnostics gevraagd om op korte termijn aantoonbaar te voldoen aan de NEN7510. Op basis van de Wabvpz kan de IGJ geen bestraffende maatregelen opleggen. De AP kan dat wel op basis van de AVG. Inmiddels heeft Clinical Diagnostics laten weten dat een externe audit heeft plaatsgevonden met positieve uitkomst en dat naar verwachting de certificering binnenkort is afgerond. De inspectie blijft de voortgang en naleving nauwgezet volgen.
Oproep aan zorgaanbieders
Mede naar aanleiding van dit onderzoek roept de IGJ zorgaanbieders op ervoor te zorgen dat zij aantoonbaar werken volgens NEN 7510. Aantoonbaar betekent dat zij beschikken over een certificaat en/of beoordeling door een onafhankelijke partij. Voor zorgaanbieders die gebruik maken van laboratoria of andere derde partijen, betekent dit dat zij ook actief moeten controleren of de informatiebeveiliging van deze partijen aantoonbaar voldoet. De inspectie besteedt hier de komende tijd extra aandacht aan in haar toezicht.
Document
Rapport Clinical Diagnostics NMDL B.V. en LCPL B.V., december 2025.
Bron: IGJ
/G_650_347.jpg)
/H325_IST_26764_20687.jpg)
/a_650_0998.jpg)
/a_650_1760.jpg)
/f_650_0094.jpg)
/a_650_0511.jpg)
/c_650_0111.jpg)
