Datalek bevolkingsonderzoek (2025)

In 2025 vond er bij het Nederlandse bevolkingsonderzoek ter opsporing van baarmoederhalskanker, een datalek plaats door de gevolgen van een hack. Hierbij waren de gegevens betrokken van bijna een half miljoen personen bij wie een uitstrijkje was uitgevoerd tussen 2022 en 2025. Mogelijk zijn er ook gegevens ontvreemd van andere onderzoeken die in het betrokken laboratorium plaatsvonden.^[1] Het ging hier specifiek over persoonsgegevens; niet enkel naam en adres waren ontvreemd, ook medische gegevens, zoals de uitslag van de onderzoeken, en burgerservicenummers, waren tijdens de hack ingezien.^[2]^[3]

Hack en datalek

Geanonimiseerde voorzijde van de brief die Bevolkingsonderzoek Nederland stuurde

De hack was gericht op de gegevens van deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker. In Nederland wordt het bevolkingsonderzoek naar baarmoederhalskanker (en ook dat naar borstkanker en darmkanker) uitgevoerd door de organisatie 'Bevolkingsonderzoek Nederland', in opdracht van het Ministerie van Volksgezondheid, Welzijn en Sport en onder regie van het Rijksinstituut voor Volksgezondheid en Milieu.^[4] Een deel van de praktische uitvoering van het onderzoek wordt uitgevoerd door drie laboratoria, waaronder het laboratorium Clinical Diagnostics, waar de hack plaatsvond. De hack werd tussen 3 en 6 juli 2025 uitgevoerd door Nova, een internationaal opererende hackersgroep die is opgericht eind maart 2025. Het incident was begin juli al bekend bij Clinical Diagnostics. Ondanks dat de melding van dergelijke situaties binnen 24 uur dient plaats te vinden, meldde het laboratorium dit pas een maand later.^[5] De aanval betrof een aanval met ransomware, waarbij gegevens in 'gijzeling' worden gehouden door de hackers. In veel gevallen wordt bij dergelijke aantallen verzocht om uitbetaling van een loskoopsom. De ransomware-aanval die het laboratorium trof, trof ook andere medische voorzieningen, zoals huisartsen.^[6]^[7]

Aantal gedupeerden

Het onderzoek richtte zich in eerste instantie op vrouwen en andere personen met een baarmoeder (onder wie transgender mannen en mensen van wie het juridisch geslacht 'x' of '0' is,^[8] dus non-binaire^[9] en intersekse personen) in de leeftijd van 30 tot 60 jaar. Bevolkingsonderzoek Nederland stuurt mensen in die categorie elke vijf jaar een oproep, waarna de betrokkene kan besluiten al dan niet deel te nemen aan het bevolkingsonderzoek. Het datalek betrof ruim 485.000 deelnemers van het onderzoek, werd in eerste instantie aangegeven.^[2] Eind augustus bleek dit aantal nog hoger te liggen; het zou om minimaal 715.000 vrouwen gaan. Ook kon Clinical Diagnostics niet uitsluiten dat alle 941.000 vrouwen waarvan informatie beschikbaar was in de systemen getroffen waren.^[10]

Gevolgen

RTL Nieuws meldde spoedig na de bekendmaking van de hack, dat het naast de gegevens behorende bij uitstrijkjes, mogelijk ook ging om gegevens die gekoppeld waren aan andere onderzoeken. RTL meldde daarnaast ook dat een derde deel van de gegevens al op het dark web beland was. Bevolkingsonderzoek Nederland bevestigde dat dit gold voor de gegevens van 550 mensen. Volgens Bevolkingsonderzoek Nederland waren de gegevens echter halverwege augustus 2025 door de hackers al weer offline gehaald.^[11] Hoewel Clinical Diagnostics zich hier niet over uit liet, meende RTL dat het laboratorium een aanzienlijke som losgeld had betaald.^[1]^[12]

Het onderzoek raakt ook transgender en non-binaire mensen, omdat gegevens over hun trans-zijn bij het datalek ook gelekt zijn.^[9] Naar aanleiding van kamervragen over de communicatie naar deze bevolkingsgroep, werd in september 2025 besloten te onderzoeken of de aanhef van de brief meer neutraal kon worden geformuleerd.^[13]

Acties bevolkingsonderzoek

Achterzijde van de door Bevolkingsonderzoek Nederland verstuurde brief

Nadat Bevolkingsonderzoek Nederland op de hoogte werd gesteld van het datalek, besloot die organisatie om een brief te versturen om de betrokkenen te informeren.^[14] De brief gaf aan om welke gegevens het ging, dat dit geen invloed had op de uitslag van het onderzoek, dat men alert moest blijven op fraude en gaf contactpunten op voor verdere vragen. 80.000 gedupeerden konden echter niet bereikt worden met deze brief. De samenwerking met Clinical Diagnostics werd tijdelijk gestopt.^[15]^[16]

Verdere (mogelijke) gevolgen

Minister van Volksgezondheid Daniëlle Jansen informeerde op 11 augustus na het bekend worden van het lek direct de Tweede Kamer. Zij gaf in die brief ook aan: "Ik realiseer me dat dit datalek voor alle deelnemers aan het bevolkingsonderzoek baarmoederhalskanker of de andere bevolkingsonderzoeken invloed kan hebben op het vertrouwen in dergelijke overheidsprogramma’s en de overheid zelf. Ik hecht er daarom aan dat deelnemers zo goed mogelijk worden geïnformeerd over de hack."^[17] Universitair hoofddocent Bart van der Sloot wees op een vergelijkbaar gevaar en gaf aan dat zorg mijden een veelvoorkomende reactie is op privacy problemen binnen de zorg.^[5]

Voor de afzonderlijke deelnemers aan het onderzoek van wie gegevens zijn ontvreemd, bestaat het gevaar dat zij te maken krijgen met spam en phishing. In extreme gevallen zou ook sprake kunnen zijn van identiteitsfraude, omdat bij de betrokken gegevens ook gevoelige zaken zoals het burgerservicenummer betrokken zijn.^[18]^[19] Bij de gehackte informatie zat ook informatie over de verblijfplaats van vrouwen die naar een blijf-van-mijn-lijfhuis gevlucht waren, wat deze gedupeerden mogelijk in een precaire situatie kan brengen.^[20]

Reactie gedupeerden en instanties

Spoedig na het versturen van de brieven door Bevolkingsonderzoek Nederland, interviewden verschillende kranten de gedupeerden. Zo interviewde Metro een van de getroffenen, Martine de Ridder. De Ridder, die zelf in de technologische sector werkt, ervoer in eerste instantie veel paniek en angst over mogelijke gevolgen. Dit werd voor haar nog eens versterkt door de algemene en oppervlakkige wijze waarop de brief de situatie omschreef en het gebrek aan duidelijke uitleg wat de betrokkenen zelf kunnen doen.^[21]

In een artikel van RTV Drenthe kwam een ander slachtoffer, Andrea Westerveld, aan het woord. Net zoals het geval was bij De Ridder, had Westervelds vertrouwen in de overheid een flinke knauw opgelopen. Dat Westerveld al eerder een van de slachtoffers was van de toeslagenaffaire, hielp hier niet bij. Toch gaf ze wel aan in de toekomst weer mee te willen doen aan het bevolkingsonderzoek; bij dit uitstrijkje kreeg Westerveld te horen dat zij onrustige cellen in haar lijf had en kon er medisch ingegrepen worden voor deze situatie erger werd.^[22]

Ook in het Noorden van het land overheerste onzekerheid, bleek uit de rapportage van RTV Noord. Volgens de zender waren mogelijk duizenden Groningers betrokken bij het datalek. Anders dan bij Westerveld, bestond bij de geïnterviewden wél twijfel of zij bij een volgend onderzoek weer zouden deelnemen. Ook het gebrek aan excuses - er werd enkel in de brief gemeld dat de schrijvers het betreurden dat er een datalek had plaatsgevonden - werd niet gewaardeerd, bleek uit het artikel.^[23]

Instanties

De onrust die onder de gedupeerden bestond, bleek tevens uit de grote drukte die het Centraal Meldpunt Identiteitsfraude ervoer.^[24]

Op 14 augustus werd bekend dat de Autoriteit Persoonsgegevens (AP) onderzoek deed naar de hack. Wanneer er onjuist gehandeld is door Clinical Diagnostics, zou dit tot een aanzienlijke boete kunnen leiden.^[25] Naast deze autoriteit, besloot de toezichthouder Inspectie Gezondheidszorg en Jeugd (IGJ) vanaf eind augustus ook onderzoek te doen naar de beveiliging van gegevens in het laboratorium. De AP nam hierbij het voortouw. De IGJ kan, net als de AP, boetes opleggen.^[26]

Eind augustus werd door een tweetal advocatenbureaus een mogelijke massaclaim voorbereid. Hiertoe werden twee websites in het leven geroepen: claimbevolkingsonderzoek.nl en datalekbevolkingsonderzoek.nl. De eerste website had reeds 18.000 aanmeldingen van getroffen vrouwen eind augustus en werd gesteund door de Stichting voor Collectieve Consumentenbelangen. De tweede website zat in diezelfde periode op 50.000 vrouwen.^[27]

Externe link

Bericht over het datalek op Bevolkingsonderzoek Nederland

Bronnen, noten en/of referenties

1 2 'Gehackt lab betaalde losgeld om verdere verspreiding data te voorkomen'. NOS Nieuws (13 augustus 2025). Geraadpleegd op 20 augustus 2025.
1 2 Datalek met ruim 485.000 deelnemers bevolkingsonderzoek baarmoederhalskanker na hack bij extern laboratorium. Bevolkingsonderzoek Nederland (11 augustus 2025).
↑ Onderzoek via Bevolkingsonderzoek Nederland. Clinical Diagnostics Nederland. Gearchiveerd op 19 augustus 2025. Geraadpleegd op 19 augustus 2025.
↑ Over ons. Bevolkingsonderzoek Nederland. Geraadpleegd op 9 september 2025.
1 2 Bevolkingsonderzoek Nederland: 'Schokkend dat datalek pas na maand bekend werd'. NOS (12 augustus 2025).
↑ over de ransomware-aanval bij Clinical Diagnostics Nederland (Eurofins). Z-CERT (11 augustus 2025).
↑ Groot, de, Bouko, Hack Bevolkingsonderzoek onderdeel van grotere ransomware-aanval. Computable (11 augustus 2025).
↑ Genderdiversiteit. Bevolkingsonderzoek Nederland (20 augustus 2025).
1 2 Datalek bevolkingsonderzoek raakt ook trans mensen. Transgender Netwerk Nederland (28 augustus 2025). Gearchiveerd op 24 september 2025. Geraadpleegd op 24 september 2025.
↑ Datalek bevolkingsonderzoek blijkt nog groter: zeker 700.000 vrouwen getroffen. NOS (29-08-2025).
↑ Datahack bij laboratorium veel groter, deel gegevens op dark web. NOS (11 augustus 2025).
↑ Verlaan, Daniël, Gehackt laboratorium heeft losgeld betaald: 'Miljoenen euro's geëist'. RTL Nieuws (13 augustus 2025).
↑ Tielen, Judith, Antwoorden op de vragen van het lid Kathmann (GroenLinks-PvdA) over de hack op een lab van Bevolkingsonderzoek Nederland (pdf) (9 september 2025). Geraadpleegd op 6 december 2025.
↑ Ruim 405.000 deelnemers bevolkingsonderzoek baarmoederhalskanker ontvangen brief na datalek. Bevolkingsonderzoek Nederland (19 augustus 2025).
↑ Bremmers, Suzanne, Bevolkingsonderzoek Nederland kan 80.000 gedupeerden van hack niet informeren. skipr.nl (19 augustus 2025).
↑ Gedupeerden datalek bij gehackt laboratorium krijgen brief thuis. Nederlands Dagblad (19 augustus 2025).
↑ Jansen, Daniëlle, Kamerbrief over datalek bij laboratorium bevolkingsonderzoek baarmoederhalskanker (11 augustus 2025).
↑ Persoonsgegevens van bijna half miljoen vrouwen gestolen bij bevolkingsonderzoek naar baarmoederhalskanker. Opgelicht?!. AVRO TROS (11 augustus 2011).
↑ Adrichem, van, Esther, Hackers dreigen medische data te publiceren: wat kan jij doen om jouw gegevens te beschermen?. EO (18 augustus 2025).
↑ Ook adressen van bewoners blijf-van-mijn-lijfhuizen gelekt bij hack laboratorium. RTL Nieuws (14 augustus 2025).
↑ Groot, de, Hendriëlle, Martine is slachtoffer van het datalek van het bevolkingsonderzoek: ‘Het voelt verschrikkelijk’. Metro (21 augustus 2025).
↑ Goffau de, Madelon en Lauret, Marjolein, Andrea uit Assen opnieuw getroffen: van toeslagenaffaire naar datalek bevolkingsonderzoek. RTV Drenthe (22 augustus 2025).
↑ Wilpshaar, Esmee en Zwerver, Eddy, Onveilig gevoel overheerst bij slachtoffers datalek: 'Ze hebben alles van mij' (22 augustus 2025). Geraadpleegd op RTV Noord.
↑ Veel vragen bij meldpunt over datadiefstal bevolkingsonderzoek. Noordhollands Dagblad (22 augustus 2025).
↑ Autoriteit Persoonsgegevens start onderzoek naar Clinical Diagnostics na hack. NOS (14 augustus 2025).
↑ Groot, de, Joep, Toezichthouder IGJ stelt onderzoek in naar Clinical Diagnostics na hack. NRC (22 augustus 2025).
↑ Is jouw data gelekt bij het bevolkingsonderzoek? Zo doe je mee aan een massaclaim. Radar. AVRO TROS (27 augustus 2025).

[:0-1] 1 2 'Gehackt lab betaalde losgeld om verdere verspreiding data te voorkomen'. NOS Nieuws (13 augustus 2025). Geraadpleegd op 20 augustus 2025.

[:2-2] 1 2 Datalek met ruim 485.000 deelnemers bevolkingsonderzoek baarmoederhalskanker na hack bij extern laboratorium. Bevolkingsonderzoek Nederland (11 augustus 2025).

[3] Onderzoek via Bevolkingsonderzoek Nederland. Clinical Diagnostics Nederland. Gearchiveerd op 19 augustus 2025. Geraadpleegd op 19 augustus 2025.

[4] Over ons. Bevolkingsonderzoek Nederland. Geraadpleegd op 9 september 2025.

[:1-5] 1 2 Bevolkingsonderzoek Nederland: 'Schokkend dat datalek pas na maand bekend werd'. NOS (12 augustus 2025).

[6] ver de ransomware-aanval bij Clinical Diagnostics Nederland (Eurofins). Z-CERT (11 augustus 2025).

[7] Groot, de, Bouko, Hack Bevolkingsonderzoek onderdeel van grotere ransomware-aanval. Computable (11 augustus 2025).

[8] Genderdiversiteit. Bevolkingsonderzoek Nederland (20 augustus 2025).

[TNN-raaktook-9] 1 2 Datalek bevolkingsonderzoek raakt ook trans mensen. Transgender Netwerk Nederland (28 augustus 2025). Gearchiveerd op 24 september 2025. Geraadpleegd op 24 september 2025.

[10] Datalek bevolkingsonderzoek blijkt nog groter: zeker 700.000 vrouwen getroffen. NOS (29-08-2025).

[11] Datahack bij laboratorium veel groter, deel gegevens op dark web. NOS (11 augustus 2025).

[12] Verlaan, Daniël, Gehackt laboratorium heeft losgeld betaald: 'Miljoenen euro's geëist'. RTL Nieuws (13 augustus 2025).

[13] Tielen, Judith, Antwoorden op de vragen van het lid Kathmann (GroenLinks-PvdA) over de hack op een lab van Bevolkingsonderzoek Nederland (pdf) (9 september 2025). Geraadpleegd op 6 december 2025.

[14] Ruim 405.000 deelnemers bevolkingsonderzoek baarmoederhalskanker ontvangen brief na datalek. Bevolkingsonderzoek Nederland (19 augustus 2025).

[15] Bremmers, Suzanne, Bevolkingsonderzoek Nederland kan 80.000 gedupeerden van hack niet informeren. skipr.nl (19 augustus 2025).

[16] Gedupeerden datalek bij gehackt laboratorium krijgen brief thuis. Nederlands Dagblad (19 augustus 2025).

[17] Jansen, Daniëlle, Kamerbrief over datalek bij laboratorium bevolkingsonderzoek baarmoederhalskanker (11 augustus 2025).

[18] Persoonsgegevens van bijna half miljoen vrouwen gestolen bij bevolkingsonderzoek naar baarmoederhalskanker. Opgelicht?!. AVRO TROS (11 augustus 2011).

[19] Adrichem, van, Esther, Hackers dreigen medische data te publiceren: wat kan jij doen om jouw gegevens te beschermen?. EO (18 augustus 2025).

[20] Ook adressen van bewoners blijf-van-mijn-lijfhuizen gelekt bij hack laboratorium. RTL Nieuws (14 augustus 2025).

[21] Groot, de, Hendriëlle, Martine is slachtoffer van het datalek van het bevolkingsonderzoek: ‘Het voelt verschrikkelijk’. Metro (21 augustus 2025).

[22] Goffau de, Madelon en Lauret, Marjolein, Andrea uit Assen opnieuw getroffen: van toeslagenaffaire naar datalek bevolkingsonderzoek. RTV Drenthe (22 augustus 2025).

[23] Wilpshaar, Esmee en Zwerver, Eddy, Onveilig gevoel overheerst bij slachtoffers datalek: 'Ze hebben alles van mij' (22 augustus 2025). Geraadpleegd op RTV Noord.

[24] Veel vragen bij meldpunt over datadiefstal bevolkingsonderzoek. Noordhollands Dagblad (22 augustus 2025).

[25] Autoriteit Persoonsgegevens start onderzoek naar Clinical Diagnostics na hack. NOS (14 augustus 2025).

[26] Groot, de, Joep, Toezichthouder IGJ stelt onderzoek in naar Clinical Diagnostics na hack. NRC (22 augustus 2025).

[27] Is jouw data gelekt bij het bevolkingsonderzoek? Zo doe je mee aan een massaclaim. Radar. AVRO TROS (27 augustus 2025).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]