Wij zijn de Digitale Dolle Mina’s: vrouwen die dagelijks werken in informatiebeveiliging en cybersecurity, in het bedrijfsleven, de overheid, als ondernemer, nonprofits en de politiek. Tegelijkertijd zijn wij óók dochters, moeders, zussen en vriendinnen die, net als iedereen, erop vertrouwen dat anderen zorgvuldig omgaan met onze data. Het datalek bij Clinical Diagnostics raakt ons niet alleen professioneel, maar ook persoonlijk. In dit opiniestuk gaan we vooral in op de gevolgen voor de honderdduizenden vrouwen, maar we zijn ons ervan bewust dat bij deze hack ook gegevens van anderen personen met een baarmoeder en een kleine groep mannen zijn buitgemaakt.
Waar gaat het om?
Bij laboratorium Clinical Diagnostics werden begin juli de gegevens van bijna een half miljoen veelal vrouwen buitgemaakt door criminelen. Het gaat om namen, adressen, BSN’s-nummers, testuitslagen, doorverwijzingen en medische geschiedenis. Kortom: uiterst gevoelige data.
Maar achter dat anonieme vierletterige woord schuilt een wereld aan emotie. Stel je voor dat de uitslag van jouw uitstrijkje of ander kankeronderzoek, zoiets intiems en kwetsbaars, in handen komt van criminelen. Alsof het wattenstaafje zelf is buitgemaakt. Het voelt vies. Heel erg vies.
Bevolkingsonderzoek Nederland heeft de betrokkenen een brief gestuurd, maar de informatie daarin is summier. Pas een maand na de hack werd er publiekelijk gecommuniceerd – veel te laat. Op de website is inmiddels meer informatie te vinden, maar het fundamentele probleem blijft: waarom was deze data überhaupt zo slecht beveiligd? En waarom moest al die gevoelige data centraal bij dit lab worden bewaard? De overheid wijst ondertussen elke verantwoordelijkheid van de hand. Onterecht vinden wij. Je vertrouwt een derde partij gigabytes aan uiterst persoonlijke data toe en als het mis gaat trek je, je handen ervan af. Dat is geen betrouwbare overheid waar wij, als burgers en professionals op zouden moeten kunnen rekenen.
De gevolgen voor vrouwen
Het meest wrange is dat dit datalek niet alleen de veiligheid van de buitgemaakte data aantast, maar ook de directe veiligheid van vrouwen én het vertrouwen in de zorg. Voor veel vrouwen is deelname aan een bevolkingsonderzoek al een ongemakkelijke ervaring. Als daar nu ook nog angst voor datamisbruik bovenop komt, bestaat het risico dat nog minder vrouwen meedoen.
De gevolgen daarvan kunnen levensgevaarlijk zijn: kanker blijft langer onontdekt, behandelingen komen te laat, en vrouwen sterven onnodig. Jarenlange campagnes om vrouwen te motiveren deel te nemen dreigen zo in één klap teniet te worden gedaan.
Daarnaast kunnen we niet blind blijven voor de mogelijk gevaarlijke gevolgen van gelekte medische gegevens voor vrouwen persoonlijk. In de richtlijnen voor rapportage van dit type laboratoriumonderzoek wordt aangeraden om de klinische gegevens van de vrouw mee te sturen. Dit is handig om de context van het uitstrijkje te begrijpen en kan informatie over zwangerschappen, SOA’s, infecties en huidige behandelingen bevatten. Informatie die iets zegt over iemands seksleven, maagdelijkheid en of iemand een keer zwanger is geweest. Dit zijn gegevens die in meerdere landen in de wereld reden zijn tot uitsluiting, vervolging en femicide. Ook in ons land wordt elke 8 dagen een vrouw vermoord omdat een (ex)partner haar keuzes niet accepteert. Keuzes die in sommige gevallen direct te koppelen zijn aan data waar het in dit lek over gaat.
De keuze waar vrouwen nu voor staan
Ondertussen vallen bij veel vrouwen de nieuwe uitnodigingen voor het bevolkingsonderzoek op de mat. Daarbij komt direct de vraag op: doe ik mee? Kies je voor je lichaam, voor het beschermen van je gezondheid? Of kies je voor je identiteit, omdat je niet weet of je gegevens straks opnieuw op straat liggen?
Wat moet er gebeuren
Die vragen zijn geen irrationele angst, maar volkomen terecht. Vooralsnog is de data in de houdgreep van de cybercriminelen. (Red. Op 22 aug maakten de cybercriminelen bekend de data niet te lekken.) En is er nog niks bekend over de eventuele maatregelen die Bevolkingsonderzoek Nederland neemt om herhaling te voorkomen. En misschien wel de belangrijkste vraag: wie neemt hier de verantwoordelijkheid? Want zolang dat onduidelijk blijft, laat je vrouwen met een onmogelijke keuze achter.
Het is tijd om harde eisen te stellen:
- Beveiliging verplicht maken – organisaties die medische gegevens verwerken, moeten minimaal voldoen aan strenge Europese normen, zoals NIS2.
- Strafbaarstelling van nalatigheid – slecht beveiligen van “medische” data moet juridische consequenties hebben.
- Verplichte pentesten – bedrijven die werken met gevoelige gegevens moeten hun systemen periodiek laten testen door onafhankelijke experts.
- Snelle en eerlijke communicatie – een datalek moet binnen dagen, niet pas na weken, aan patiënten en artsen worden gemeld (aan de betrokkenen of slachtoffers).
- Keuzevrijheid en transparantie – zoals bij veel partijen die onze data verzamelen, heb je geen echte keus. Meedoen (wat aan te raden is voor je gezondheid) betekent accepteren dat persoonlijke gegevens worden opgeslagen. De AVG heeft bewustwording gebracht, maar zodra je akkoord gaat met een onderzoek, verleen je toestemming voor de verwerking van je gegevens. Vaak is dit een schijnkeuze: zonder akkoord geen uitvoering, want het systeem heeft de data nodig.
Welk laboratorium jouw uitstrijkje onderzoekt, bepaalt de overheid. Juist daarom moet zij strenger zijn dan bedrijven: hogere eisen, meer transparantie en waarborgen dat gegevens binnen Europa blijven. Keuzevrijheid lijkt praktisch niet haalbaar, maar burgers zouden minstens het recht moeten hebben een laboratorium te weigeren, bijvoorbeeld als dit al gehackt is.
Wat ons het meest stoort, is de lauwe reactie: vrouwen moeten zich vooral ‘blijven laten testen’. Natuurlijk moeten we dat. Maar dat mag nooit een excuus zijn om falend databeheer te bagatelliseren.
Medische gegevens zijn geen handelswaar. Ze zijn niet te koop, niet te ruilen, niet te grabbel te gooien. Hun bescherming moet net zo vanzelfsprekend worden als de bescherming van ons lichaam.
Chantal Stekelenburg, oprichter Women in Cybersecurity Community Association (WICCA)
Astrid Oosenbrug co-Founder Dutch Institute for Vulnerability Disclosure & DIVD Academy
Esther Peeters, CISO
Ellen Mok, Ondernemer en oud-AIVD
Madelein van der Hout , onderzoeker cyber security Forrester
Lucinda Sterk, podcastmaker ‘All the Cyber Ladies’
Fleur van Leusden, CISO en podcastmaker ‘CISO praat’
Marjolein Tamis, documentatiespecialist
Over All the Cyber Ladies
All the Cyber Ladies is een initiatief van Lucinda Sterk. Zij begon de podcast in juni 2023. In de podcast staan vrouwen centraal die werken in de IT en cyber security industrie in Nederland. Hun verhalen vormen een inspiratie voor andere vrouwen (en mannen) die een cariere overwegen in cyber security.
All the Cyber Ladies Meest recente podcasts
Sinds juni 2023.
