Ik had me voorgenomen niet te reageren op de hack van laboratorium Clinical Diagnostics in Rijswijk. Maar nu het redactioneel commentaar van de Volkskrant van vandaag stelt dat de oorzaak ligt bij de centrale opslag van privégegevens, voel ik me genoodzaakt alsnog een duit in het zakje te doen. Er is van alles mis met de centrale opslag van privégegevens, en het is helaas schering en inslag, maar in dit geval nu net niet de oorzaak van de hack. Er zijn namelijk twee belangrijke andere oorzaken aan te wijzen.
Ten eerste worden in het kennelijke proces waarmee Bevolkingsonderzoek Nederland (en andere zorgpartijen) monsters voor analyse doorsturen aan labs als Clinical Diagnostics ook persoonsgegevens zoals BSN, naam en adresgegevens meegestuurd. Aangezien deze partijen dit jarenlang gedaan hebben is dat kennelijk de normaalste zaak van de wereld, en kan het haast niet anders dat ook andere onderzoekslabs vergelijkbare gevoelige persoonsgegevens verwerken. Daarmee ligt wat mij betreft de verantwoordelijkheid voor dit grote datalek niet alleen bij Clinical Diagnostics maar ook bij Bevolkingsonderzoek Nederland en andere betrokken zorgpartijen, die beter hadden moeten weten. Sowieso lijkt het mij toe dat deze partijen ook als verwerkingsverantwoordelijke (in de zin van de AVG) zijn aan te wijzen. Het zou dus interessant zijn als de Autoriteit Persoonsgegevens, mocht ze besluiten onderzoek te doen (update dat gaan ze doen) naar deze diefstal van persoonsgegevens, ook wat breder kijkt naar hoe bij dit soort medische tests in de praktijk met onze persoonsgegevens wordt omgesprongen.
Ten tweede, en dat is Clinical Diagnostics wel volledig aan te rekenen, heeft het lab deze gegevens over een periode van meerdere jaren bewaard, zonder dat daar ook maar een aanwijsbare reden voor lijkt te zijn. (Overigens hadden ook hier Bevolkingsonderzoek Nederland en andere betrokken zorgpartijen er op moeten toezien dat redelijke bewaartermijnen in acht werden genomen.) De centrale opslag an sich is dus niet zozeer het probleem, maar wel de extreem lange tijd dat de gegevens werden bewaard.
En hiermee is ook dit datalek helaas weer een mooi voorbeeld van hoe privacy by design deze ramp (want dat is het zeker voor de slachtoffers) voorkomen had kunnen worden.
Ten eerste moeten labs als Clinical Diagnostics en zorgaanbieders stoppen met het uitwisselen van direct herleidbare persoonsgegevens. Het volgende proces zou moeten volstaan:
(Update 2025-08-27) Arjan Zuidhof wees mij er op BlueSky op dat volgens Nictiz vanwege de Wet gebruik burgerservicenummer in de zorg het gebruik van het burgerservicenummer (BSN) verplicht is
Dit betekent dat alle zorgaanbieders, indicatieorganen en zorgverzekeraars (ook zorgkantoren) verplicht zijn het BSN in hun administratie te registreren en dat zij het BSN bij onderlinge communicatie (gegevensuitwisseling) over patiënten moeten gebruiken.
Volgens Nictiz betekent dit dat het BSN ook in het berichtenverkeer tussen labs en zorgaanbieders gebruikt moet worden. Met andere woorden: de wet staat hier een goede bescherming van persoonsgegevens in de weg! (Overigens met de beste bedoelingen: het doel is om ‘te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben.’ (art. 4) Maar dit datalek moge duidelijk maken dat het gebruik van BSN hiervoor toch echt het paard achter de wagen spannen is.
Dit is trouwens een mooi voorbeeld van hoe privacy by design niet alleen van toepassing is op het ontwerp van systemen, maar ook van toepassing is op het ontwerp van wet- en regelgeving.
Ten tweede had Clinical Diagnostics de kortst mogelijke bewaartermijn van gegevens moeten hanteren, en in het ontwerp van haar systemen er voor moeten zorgen dat deze bewaartermijnen automatisch worden gehandhaafd.
Hopelijk is dit grote datalek een duidelijke waarschuwing voor ander labs en zorgaanbieders, en gaan zij zo snel mogelijk zorgen dat dit niet nog een keer kan gebeuren. Zoals het voorgaande duidelijk maakt: moeilijk is het allemaal niet.