2 dagen geleden
3
Elke organisatie kan gehackt worden, dat is het punt niet, zeggen cyberexperts. Het gaat erom wát je als organisatie doet als de inbrekers vertrokken zijn. Zeker als er privégegevens zoals namen, adressen, BSN-en telefoonnummers en medische details zijn gestolen, zoals in juli gebeurde bij het medische lab Clinical Diagnostics. Je moet, zegt cybersecurity-expert Dave Maasland, zo’n hack meteen melden bij de Autoriteit Persoonsgegevens, alle klanten – in dit geval Bevolkingsonderzoek Nederland, huisartsen en ziekenhuizen – inlichten en de betrokkenen adviseren alert te zijn op onbekende mails en telefoontjes. Want die kunnen ze krijgen, met gebruikmaking van hun gestolen gegevens.
En: je moet vertrouwen herwinnen, want daar gaat het om. „Iedereen die een onderzoek laat doen, vertrouwt gegevens toe aan een lab, een ziekenhuis, een huisarts.”
Clinical Diagnostics wachtte te lang met het inlichten van betrokkenen, vinden vele betrokkenen. Het medische lab werd begin juli gehackt waarbij de gegevens werden gestolen van honderdduizenden vrouwen die via Bevolkingsonderzoek Nederland een zelftest deden voor baarmoederhalskankeronderzoek. Pas op 6 augustus lichtte het lab de eerste klanten in: Bevolkingsonderzoek Nederland, betrokken ziekenhuizen en huisartsen. De meeste patiënten en vrouwen zelf weten nóg niet of hun gegevens zijn gestolen. Het lab zegt in reactie op vragen: „Toen we ontdekten dat er een cyberaanval was geweest, zijn we meteen begonnen met een eerste onderzoek. We hebben even gewacht met het delen van informatie, zodat we eerst de juiste stappen konden nemen. We hebben sinds 6 augustus contact met andere partijen.”
Intussen spreken klanten zich uit. Gelre Ziekenhuizen zegt: „Wij keuren de late communicatie over dit datalek af.” Tot nu toe zijn er geen aanwijzingen dat patiënten van dat ziekenhuis zijn getroffen, maar Gelre is wel klant van Clinical Diagnostics.
Bevolkingsonderzoek Nederland, dat wordt ingehuurd door het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) en het Ministerie van Volksgezondheid, Welzijn en Sport, heeft de samenwerking met Clinical Diagnostics voorlopig gestopt. „We vinden het kwalijk dat Clinical Diagnostics pas een maand later aan ons bekend maakte dat de gegevens van 485.000 vrouwen zijn gestolen. We hoorden het op 6 augustus en hebben daarna niet van hen gehoord hoe dit zo heeft kunnen lopen. Daarom hebben we maandag 11 augustus onze samenwerking met hen opgeschort. Alle uitstrijkjes en informatie-uitwisseling van en over vrouwen worden nu uitgevoerd door twee andere grote labs: Jeroen Bosch Ziekenhuis en Symbiant,” zegt een woordvoerder.
De hack bij Clinical Diagnostics betrof databestanden van tot wel tien jaar oud. Dus ook vrouwen die tien jaar geleden een uitstrijkje deden, kunnen benaderd worden door phishers, via e-mails, gekke telefoontjes of brieven, zegt de woordvoerder van het Bevolkingsonderzoek. „We roepen hen allemaal op alert te zijn.”
950 laboratoria
Goeiedag zeg, een hele maand gewacht, dat is lang, dacht Pier Eringa, bestuursvoorzitter van Gelre Ziekenhuisen, toen hij ervan hoorde. Het lab in het Gelre is sinds 2023 van Clinical Diagnostics, dat eigendom is van het Franse Eurofins. En Eurofins, zegt Eringa, „is geen kleine club. Je zou verwachten dat ze de beveiliging van gegevens voor elkaar hebben.”
Eurofins Scientific is inderdaad geen kleine club. Het heeft laboratoria en diagnostische centra over de hele wereld en is aan de Franse beurs genoteerd.
De onderneming doet niet alleen diagnostiek voor artsen. De 950 laboratoria van het concern in zestig landen houden zich ook bezig met productcontroles, dna-testen, het onderzoeken van gewassen, studies van waterkwaliteit, forensisch onderzoek en voedselanalyse in de veeteelt. Er werken 65.000 mensen; de beurswaarde van het bedrijf is ruim 12 miljard euro. Oprichter en bestuurder Gilles Martin is er miljardair mee geworden, zijn familie bezit een derde van de aandelen.
Strafzaken uitgesteld
Je kunt niet zeggen dat Eurofins niet gewaarschuwd was voor hackers. In 2020 wijdde Martin zijn openingszin in het jaarverslag aan een cyberaanval op zijn laboratoria in het Verenigd Koninkrijk. De „criminele cyberaanval” van 2 juni 2019 had het bedrijf 130 miljoen euro van zijn winst gekost.
De Britse politie ondervond de gevolgen, want de gehackte laboratoria voerden veel dna-tests uit voor justitie, vergelijkbaar met wat het Nederlands Forensisch Instituut doet. De Britse politie besloot een tijd lang geen gebruik te maken van de diensten van Eurofins. Gevolg: strafzaken moesten worden uitgesteld en politici vreesden dat minder misdaden zouden worden opgelost.
Eurofins zou in het Verenigd Koninkrijk de afpersers hebben betaald om volledige toegang tot zijn data terug te krijgen, meldde de BBC – iets wat Eurofins niet wilde bevestigen. Ook nu zou het bedrijf zich hebben laten afpersen. Eurofins heeft losgeld betaald aan de hackgroep die verantwoordelijk wordt gehouden voor de inbraak, meldde RTL Nieuws. Het zou een van de redenen zijn waarom het bedrijf zo laat de buitenwereld waarschuwde.
Als „oud-politiebaas”, zegt Pier Eringa (hij was korpschef in Flevoland), „denk ik dan: wat is de reden voor dat wachten? Waren ze aan het onderhandelen met de daders in de hoop zo snel alle gegevens terug te krijgen?”
Eringa erkent dat niet alleen het lab maar ook elk ziekenhuis verantwoordelijk is voor de bescherming van de privégegevens van patiënten. „Je moet aan de ene kant snel informatie kunnen delen met elkaar over patiënten maar aan de andere kant ben je daardoor kwetsbaar voor dit soort criminelen. Ze zijn snel en hoeven zich aan veel minder regels te houden dan wij.”
Maar, zegt hij ook, „patiënten, huisartsen en wijzelf moeten erop kunnen rekenen dat gegevens veilig blijven.”
Er ging een superdividend van 32 miljoen euro naar de parapluvennootschap in Luxemburg
Commerciële omgeving
Ziekenhuizen hebben continu medische informatie nodig over hun patiënten: uit urine, bloed en ontlasting, van foto’s, scans en filmpjes. Medische laboratoria waren daarom van oudsher onderdeel van een ziekenhuis of vielen onder een stichting die niet op winst gericht is.
Sommige stichtingen en ziekenhuislabs werden de afgelopen tien jaar omgevormd tot bv’s en kwamen na overname in een commerciële omgeving terecht zoals die van Unilabs of Clinical Diagnostics/Eurofins. Eurofins kocht de laatste jaren een reeks Nederlandse laboratoria die een onmisbare rol vervullen in de zorg.
Die groei verliep niet altijd vlekkeloos. In Leiden, Leiderdorp en Alphen aan de Rijn merkten patiënten vorig jaar wat het kan betekenen als er problemen in het lab zijn. Het Alrijne Ziekenhuis had eerst zijn microbiologisch lab verkocht aan Eurofins en vorig jaar het chemische lab zien veranderen van eigenaar: Unilabs verkocht dat aan Eurofins. De overdracht ging zo moeizaam dat Alrijne geen acute zorg meer kon leveren, operaties moest uitstellen en de spoedpost grotendeels moest sluiten door „grote operationele problemen” bij het lab.
Twee jaar eerder kwam de diagnostiek van vier Brabantse ziekenhuizen in de knel nadat medisch microbiologen waren opgestapt. Zij waren het niet eens met de overname van hun lab door Eurofins.
Verkopen
Het landschap van de zorglaboratoria is de afgelopen tien jaar grondig omgeploegd. Verzekeraars moedigen schaalvergroting aan en eisen lagere tarieven. Kleinere laboratoria kampen met opstapelende regelgeving en ziekenhuizen in geldnood kunnen ervoor kiezen hun diagnostische klinieken te verkopen.
Zo ook het Gelre Ziekenhuis in Apeldoorn dat zich twee jaar geleden gedwongen zag zijn laboratoria te verkopen. Het ziekenhuis stond onder curatele van de banken maar met de ruim 14 miljoen euro die het van Eurofins kreeg voor zijn labs kon het zijn schuldeisers op afstand houden.
„Achteraf bezien, maar dat is vaak bij achteraf, kun je daar de nodige vraagtekens bij zetten”, zegt bestuursvoorzitter Eringa over de verkoop die plaatsvond voor hij aantrad. „Een lab is zo vitaal voor een ziekenhuis dat het van belang is dat dichtbij je te houden.” Tegelijkertijd wijst hij erop dat schaalgrootte nodig is om de labs rendabel te houden.
Eurofins wist vele laboratoria te verleiden op te gaan in hun bedrijf. Al betekent het kennelijk ook dat meer gevoelige data op één plek wordt bewaard, zo leert het recente debacle met Clinical Diagnostics.
De Nederlandse tak deponeert zijn cijfers niet op tijd, waardoor de buitenwereld slecht zicht heeft op de gezondheid van de onderneming. Het concern blijkt ook financiële risico’s te nemen met de Nederlandse labs die nu vanuit bv’s opereren en onder een Luxemburgse moeder hangen. Zeker is dat de Nederlandse laboratoria vorig jaar behoorlijk zijn leeggetrokken. Er ging eenmalig een zogeheten superdividend van 32 miljoen euro naar de parapluvennootschap in Luxemburg – ruwweg 40 procent van het aanwezige kapitaal. Het incasseringsvermogen van de Nederlandse divisie is daarmee ingrijpend verzwakt.
Het concern wil hier niets over zeggen. Het Nederlandse Clinical Diagnostics noch het Franse moederbedrijf beantwoordt vragen van NRC hierover.
Tips? Onderzoek@nrc.nl
/s3/static.nrc.nl/wp-content/uploads/2025/08/20122707/web-2008ECOBLOGkaartjes.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/08/20112648/data136252206-159102.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/08/20080741/web-2008ECOBLOGasr.jpg)
English (US) ·