De datahack bij Clinical Diagnostics, afgelopen zomer, maakte opnieuw duidelijk hoe kwetsbaar digitale zorgketens zijn. Cyberincidenten komen in de zorg al langer voor, maar deze aanval roept bredere vragen op over informatiebeveiliging, certificering en samenwerking binnen de sector.
Tekst: Cees Visser Beeld: ENVATO
Hoewel elke cyberaanval uniek is, keren dezelfde problemen vaak terug. Complexe it-landschappen, afhankelijkheden tussen organisaties en beperkte informatie-uitwisseling maken zorginstellingen kwetsbaar. De hack bij Clinical Diagnostics onderstreept hoe groot de impact kan zijn wanneer diagnostische systemen of data worden getroffen.
Hoe zat het ook alweer?
In de zomer van 2025 drongen hackers de systemen binnen van Clinical Diagnostics, een medisch diagnostisch laboratorium in Rijswijk dat bevolkingsonderzoeken en medische tests uitvoert voor zorginstellingen. De buit bestond uit grote hoeveelheden patiëntgegevens, waaronder namen, adressen, burgerservicenummers en medische onderzoeksresultaten. Aanvankelijk leek het om ongeveer 485.000 mensen te gaan, maar later werd de vrees bewaarheid dat gegevens van zo’n 941.000 personen waren ingezien of gestolen.
De criminelen probeerden het laboratorium vervolgens af te persen. Toen betaling van een geëist bedrag in cryptovaluta uitbleef, verscheen een deel van de data op het darkweb. De zaak is in onderzoek door de Autoriteit Persoonsgegevens (AP), het Nationaal Cyber Security Centrum, het Openbaar Ministerie, Bevolkingsonderzoek Nederland en PwC. Daarbij wordt gekeken naar mogelijke overtredingen van de AVG en naar de vraag hoe de aanval kon plaatsvinden en wie erachter zit.
Schakel
Diagnostische organisaties vormen een essentiële schakel in de zorgketen. Laboratoriumuitslagen, medische analyses en testresultaten vormen immers de basis voor diagnoses en behandelbeslissingen. In de praktijk zijn deze processen vrijwel volledig gedigitaliseerd. De it-omgeving van diagnostische laboratoria bestaat daardoor uit een complex ecosysteem van systemen. Denk aan laboratoriuminformatiesystemen, medische apparatuur met netwerkverbindingen, koppelingen met ziekenhuizen en huisartsen, cloudplatformen voor dataopslag en analyse en integraties met elektronische patiëntendossiers.
Juist deze uitgebreide integraties vergroten de kwetsbaarheid. Wanneer een aanvaller toegang krijgt tot één onderdeel van het netwerk, kan dat gevolgen hebben voor meerdere organisaties in de zorgketen. Een incident bij één partij kan daardoor directe gevolgen hebben voor zorginstellingen, patiënten en andere ketenpartners.
Het incident bij Clinical Diagnostics laat zien dat cybersecurity in de zorg niet alleen een kwestie is van individuele organisaties beveiligen, maar ook van ketenbrede digitale weerbaarheid.
Zwakke plekken
Certificering
In de berichtgeving rond het incident kwam ook de rol van certificering volgens de informatiebeveiligingsnorm NEN 7510 naar voren. Deze norm beschrijft hoe zorgorganisaties hun informatiebeveiliging moeten organiseren. Irma Timmerman, woordvoerder van NEN, benadrukt dat het normalisatie-instituut zelf geen toezichthouder is. ‘NEN-normen zijn in essentie afspraken,’ zegt zij. ‘Ze gaan over veiligheid, kwaliteit en prestaties van producten en diensten, met als doel de betrouwbaarheid en veiligheid in de praktijk te vergroten.’
NEN brengt marktpartijen samen om zulke normen te ontwikkelen. Die vormen vervolgens de basis voor certificering. De beoordeling of organisaties daadwerkelijk aan de normen voldoen ligt bij onafhankelijke certificerende instellingen, waarvan de kwaliteit weer wordt bewaakt door de Raad voor Accreditatie. Voor zorgorganisaties en hun leveranciers betekent dit dat zij moeten kunnen aantonen dat hun informatiebeveiliging voldoet aan normen zoals NEN 7510.
Certificering is geen wettelijke verplichting, benadrukt Timmerman, maar wel een objectieve manier om te laten zien dat een organisatie de norm toepast. ‘Een certificerende instelling beoordeelt of beleid, processen en maatregelen voldoen,’ zegt zij. ‘Een certificaat is dus geen formaliteit, maar een bevestiging dat de norm in de praktijk wordt toegepast.’ Tegelijk biedt certificering geen garantie tegen incidenten. ‘Het is geen waterdichte verzekering, maar een manier om vast te stellen dat een organisatie structureel werkt aan informatiebeveiliging.’
Samenwerking
Naast technische maatregelen speelt samenwerking een rol bij het beperken van de impact van cyberincidenten. Wanneer meerdere organisaties in een zorgketen betrokken zijn, kan het lastig zijn snel een volledig beeld van de situatie te krijgen. Volgens Edwin Feldmann, communicatieadviseur bij Z-Cert, het expertisecentrum voor cybersecurity in de zorg, was dat ook bij deze hack het geval. ‘Het was ingewikkeld om een volledig overzicht te krijgen van de situatie, omdat de communicatie met Clinical Diagnostics langzamer op gang kwam dan gewenst.’ Volgens Feldmann heeft dat te maken met de huidige wettelijke situatie. ‘Omdat de cyberbeveiligingswet nog niet van kracht is, kunnen wij samenwerking en informatie-uitwisseling niet afdwingen. Ook zijn niet alle ketenpartners in de zorg bekend met onze rol.’
‘Met de meldplicht zullen wij sneller een beeld krijgen van de impact van cyberincidenten en kunnen we andere zorginstellingen eerder waarschuwen voor actuele dreigingen en kwetsbaarheden’
Over de precieze aanvalsmethode of de beveiligingsmaatregelen van het laboratorium deelt Z-Cert geen details. Cybersecurityorganisaties proberen te voorkomen dat kwetsbaarheden openbaar worden voordat organisaties hun systemen hebben kunnen verbeteren. Wel benadrukt Feldmann dat Z-Cert in de afgelopen jaren veel kennis heeft opgebouwd over cyberincidenten in de zorg. Op basis daarvan zijn best practices opgesteld voor zorgorganisaties, waaronder een lijst met basismaatregelen tegen ransomware.
De komende jaren moet nieuwe wetgeving helpen om informatie-uitwisseling binnen de sector te verbeteren. Zo werkt Nederland aan de Cyberbeveiligingswet, de nationale implementatie van de Europese NIS2-richtlijn. Volgens Feldmann zullen hierdoor veel organisaties in het zorgdomein een wettelijke meldplicht krijgen voor cyberincidenten. ‘Met die meldplicht zullen wij sneller een beeld krijgen van de impact van cyberincidenten en kunnen we andere zorginstellingen eerder waarschuwen voor actuele dreigingen en kwetsbaarheden.’ Snellere informatie-uitwisseling kan volgens hem helpen om herhaling bij andere organisaties te voorkomen.
Terughoudend
Cybersecurityautoriteiten zijn doorgaans terughoudend zolang een incidentonderzoek nog loopt. Job Holzhauer, woordvoerder van het Nationaal Cyber Security Centrum, bevestigt dat beleid. Volgens hem kunnen vragen over het incident beter worden gesteld aan de organisatie zelf of aan Z-Cert.
Ook AP wil niet inhoudelijk reageren. Volgens woordvoerder Mark Schenkel zou dat op gespannen voet staan met de rol van de toezichthouder zolang het onderzoek nog loopt. Wel is bekend dat de toezichthouder onderzoekt wat er precies is misgegaan en of de privacywetgeving onder de AVG is overtreden. AP stemt haar aanpak af met de Inspectie Gezondheidszorg en Jeugd (IGJ), die zelfstandig onderzoek doet naar de informatiebeveiliging bij het laboratorium. Die inspectie wil eveneens weinig kwijt over de zaak. ‘Algemeen is onze boodschap dat zorgaanbieders aan de NEN 7510 moeten voldoen,’ laat een woordvoerder weten. Ook het getroffen lab wenst geen inhoudelijke vragen te beantwoorden over het datalek en verwijst naar zijn website.
Spraakzamer is de brancheorganisatie Samenwerkende ICT-Leveranciers in de Zorg (Silizo). Zij benadrukt dat informatieveiligheid in de zorg een gedeelde verantwoordelijkheid is van zorginstellingen en hun ict-leveranciers. Volgens woordvoerder Robert van Wijk moeten beide partijen voldoen aan strenge normen en regelgeving, zoals de NEN-normen en Europese kaders als de AVG en de MDR. Tegelijk wijst hij erop dat absolute veiligheid in een sterk verbonden zorgketen nauwelijks haalbaar is. Zorginstellingen, leveranciers en zorgprofessionals wisselen steeds meer gegevens uit via digitale netwerken, waardoor kwetsbaarheden sneller kunnen worden misbruikt.
Volgens Van Wijk moet de nadruk daarom niet alleen liggen op preventie, maar ook op voorbereiding. Organisaties moeten risico’s beperken, draaiboeken hebben voor incidenten en voorbereid zijn op crisiscommunicatie wanneer een hack plaatsvindt. Om de digitale weerbaarheid van de zorg te vergroten pleit Silizo voor nauwere samenwerking tussen leveranciers en zorgorganisaties, het delen van dreigingsinformatie en het regelmatig trainen van medewerkers. Informatieveiligheid moet daarbij nadrukkelijk op bestuurlijk niveau worden aangestuurd.
Brede lessen
Hoewel nog niet alle details van het incident bekend zijn, zijn er wel bredere lessen te trekken.
- De hack onderstreept dat cybersecurity niet alleen een technisch vraagstuk is, maar ook een organisatorisch en bestuurlijk probleem. Het gaat niet alleen om firewalls en antivirussoftware, maar ook om governance, samenwerking en crisismanagement.
- Daarnaast laat het incident zien hoe afhankelijk de zorg is van digitale infrastructuur. Diagnostische data, patiëntinformatie en medische systemen vormen de ruggengraat van moderne zorgprocessen. Raakt een cyberaanval deze systemen, dan heeft dat directe gevolgen voor zorgverlening en patiëntvertrouwen.
- Cyberincidenten zijn pijnlijk, maar kunnen ook een katalysator zijn voor verbetering. In de praktijk investeren organisaties vaak pas structureel in cybersecurity nadat zij – of hun partners – met een aanval te maken krijgen.
- Voor de zorgsector ligt de uitdaging vooral in het versterken van samenwerking en het verbeteren van het zicht op risico’s in de keten. Normen zoals NEN 7510 bieden daarbij een belangrijk kader, terwijl sectororganisaties zoals Z-Cert helpen om kennis over dreigingen te delen.
- De belangrijkste les van de hack bij Clinical Diagnostics is dan ook dat cybersecurity geen optionele extra meer is. In een zorgomgeving waarin data steeds centraler staat, is digitale weerbaarheid een randvoorwaarde voor betrouwbare en veilige zorg.
Slotwoord
Volgens Arwi van der Sluijs, directeur van cybersecuritybureau Nederlands Forensics en Incident Response (NFIR), vraagt een cybercrisis vooral om openheid, regie en voorbereiding. ‘Wat we in 2025 en 2026 hebben gezien, is dat organisaties te vaak in stilte proberen een incident te beheersen, terwijl schade in de zorg zich juist razendsnel door een hele keten kan verspreiden.’ Volgens hem wordt digitale weerbaarheid niet alleen bepaald door firewalls of certificaten, maar vooral door de volwassenheid van het incidentresponseproces: weten wat er geraakt is, snel handelen, transparant communiceren en samenwerken met partijen als Z-Cert, AP, de IGJ en de politie. ‘Dat is geen zwaktebod maar professioneel crisismanagement.’
Volgens Van der Sluijs kan de zorg zich geen langdurige onduidelijkheid of gesloten communicatie veroorloven. Patiëntgegevens zijn te gevoelig en de maatschappelijke impact is te groot. Cyberincidenten moeten daarom sneller, opener en met een ketenbrede aanpak worden aangepakt. Alleen wanneer elke partij zijn verantwoordelijkheid neemt, kan herhaling worden voorkomen en kan het vertrouwen behouden blijven dat zorgorganisaties dagelijks nodig hebben om hun werk veilig te doen.
