
1 jaar na datalek bevolkingsonderzoek is voor slachtoffers nog altijd veel onduidelijk: 'Gaat over mijn intiemste gegevens'
Bijna 1 jaar na hack van Clinical Diagnostics weten slachtoffers nog altijd niet welke persoonlijke data precies gestolen zijn. "Het gaat over mijn meest intieme data: over mij in mijn kern, letterlijk wat er van binnen bij mij gebeurt."
Het was groot nieuws afgelopen zomer, de hack van het laboratorium Clinical Diagnostics dat betrokken is bij het Bevolkingsonderzoek Baarmoederhalskanker. Met de hack kwam de persoonlijke informatie van bijna een miljoen Nederlanders in handen van criminelen. Ook van Martine de Ridder, die nog altijd met veel vragen zit.
Brief verscheurd
Ze is boos dat het bevolkingsonderzoek haar gegevens zomaar heeft verstrekt aan het lab en dacht dat de testen op anonieme basis gebeurden. "Ik begrijp echt wel dat het Bevolkingsonderzoek de onderzoeksgegevens wil analyseren en daarvoor data opslaat", zegt ze. "Maar waarom heeft het laboratorium al die data gekregen? Die testen kunnen toch gewoon anoniem worden gedaan? Hoe kan dit gebeuren?"
Net als honderdduizenden anderen kreeg zij in de zomer van 2025 per brief te horen dat haar gegevens zijn gehackt. Ze was woedend toen ze de brief las. "Ik heb de brief verscheurd. Vrij dramatisch, want er stond helemaal niets in, behalve dan dat je vogelvrij bent 'want jouw gegevens zijn in handen van god-mag-weten-wie' en 'wij vinden het ook vervelend'."
Privacygevoelig
Het bevolkingsonderzoek Baarmoederhalskanker is een overheidsinitiatief, waardoor vrouwen zich kunnen laten testen op baarmoederhalskanker. Het testen van de uitstrijkjes heeft de organisatie uitbesteed aan het commerciële laboratorium 'Clinical Diagnostics'. Een lab dat allerlei testen uitvoert voor ziekenhuizen, huisartsen, maar dus ook het Bevolkingsonderzoek Baarmoederhalskanker.
Wettelijk gezien mag je dat soort gegevens helemaal niet zo lang opslaan.slachtoffer van datahack Martine de Ridder
Privacygevoelige data van maar liefst een miljoen burgers is nu in handen van criminelen. Het gaat om persoonsgegevens zoals namen, BSN-nummers en telefoonnummers. Maar ook om testaanvragen en testuitslagen van vrouwen zoals Martine. "Wettelijk gezien mag je dat soort gegevens helemaal niet zo lang opslaan."
Intieme data
"Ik denk nu wel: wat heb ik de afgelopen jaren allemaal laten onderzoeken? Welke onderzoeken heb ik gedaan en wat hebben ze gestolen?", zegt Martine. Tot op de dag van vandaag weet ze nog steeds niet weet welke testaanvragen en uitslagen er zijn gestolen.
"Het gaat over mijn meest intieme data. Het gaat over mij in mijn kern, letterlijk wat er van binnen bij mij gebeurt." Wat wel bekend is, is dat er zeer persoonlijke, medische, gegevens zijn gestolen.
Massaclaim
Zo schrijven huisartsen op de testaanvragen of hun patiënten kampen met fysieke ongemakken na onbeschermde seks, bloedingen, in de overgang zitten of verkracht zijn. De stichting Women's Right Collective (WRC) is nu een massaclaim gestart, waar slachtoffers zich kunnen aanmelden.
Het starten van zo'n massaclaim is sinds 2020 mogelijk, legt advocate Eliëtte Vaal van The Data Lawyers uit. De claim is gericht tegen het lab, Bevolkingsonderzoek Nederland en het ministerie van Volksgezondheid. Ze eisen inzage op wat er gestolen is, maar ook schade.
Schadepost
Vaal werkt aan de claim en denkt dat de zaak kansrijk zal zijn. "Zowel de Inspectie als ook een onderzoek van het lab zelf, uitgevoerd door PWC, concluderen dat de beveiliging niet op orde was. Dat maakt deze zaak zeker kansrijk", legt de advocaat uit. Gekeken wordt naar wat de schade is. Die is materieel, zoals het vervangen van een rijbewijs of paspoort en het nemen van een ander telefoonnummer.
Maar de grootste schadepost is de immateriële schade, die gaat over het verlies van je persoonsgegevens. Slachtoffers weten niet meer waar hun gegevens zich bevinden, wie daar misbruik van maakt. Die onzekerheid leidt tot gevoelens van stress en ook angst, zegt Vaal. Want hackers verkopen de data aan criminelen die de persoonsgegevens gebruiken voor bijvoorbeeld phishing.
Overspoeld met nepmails en telefoontjes
Hoe meer ze weten van hun slachtoffers, hoe overtuigender de phishingmailtjes en telefoontjes kunnen zijn. Ook Martine wordt sinds de hack overspoeld met nepmailtjes en vreemde telefoontjes. Ze is onzekerder geworden in haar digitale leven. "Die mailtjes zijn echt heel goed gemaakt, je kunt niet zomaar meer zien of het nep is of niet", vertelt ze.
Ze ontvangt vrijwel dagelijks vreemde berichten. "Ik ben veel meer op mijn hoede en dat vind ik heel jammer. Ik ben iemand geworden die ik niet wil zijn, omdat organisaties mijn gegevens hadden moeten beschermen, maar dat niet hebben gedaan", zegt ze.
Honderden miljoenen
Volgens Vaal zijn er standaardbedragen voor de schade. Uit eerdere zaken blijkt dat de rechter een schadevergoeding tussen de 250 en 2.500 euro toekent in datalek-zaken. Een schadepost van 2.500 euro kan worden toegekend als het gaat om gevoelige data zoals BSN en medische gegevens.
Omdat dat hier is gebeurd, wil Vaal voor de bijna 1 miljoen slachtoffers gaan inzetten op de hoogste schadevergoeding: "Dat kan in de honderden miljoenen lopen."