Kamer bespreekt cyberveiligheid en informatiebeveiliging
De Tweede Kamer heeft op 20 mei een rondetafelgesprek gehouden over cyberveiligheid en informatiebeveiliging. De zorgsector speelde daarin een duidelijke rol. Aan tafel zaten onder meer Z-CERT, Bevolkingsonderzoek Nederland, GGD GHOR Nederland en de Inspectie Gezondheidszorg en Jeugd (IGJ), naast de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC).
De IGJ benadrukt in haar position paper dat zorgaanbieders steeds afhankelijker zijn van digitale systemen en gegevensuitwisseling. Als systemen uitvallen of gegevens niet beschikbaar zijn, kan dat direct gevolgen hebben voor de zorgverlening, bijvoorbeeld doordat behandelingen moeten worden uitgesteld. Daarbij gaat het vaak om medische gegevens, waardoor beveiliging niet alleen een technisch of organisatorisch onderwerp is, maar ook raakt aan het vertrouwen van patiënten en cliënten.
Zorgaanbieders moeten op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg een managementsysteem voor informatiebeveiliging inrichten volgens NEN 7510. Volgens de IGJ is de aandacht voor informatiebeveiliging in de zorg de afgelopen jaren wel toegenomen, maar zijn processen nog niet overal voldoende op orde. De inspectie noemt onder meer onvoldoende bestuurlijke aandacht, gebrek aan deskundigheid, onbekendheid met normen en het ontbreken van systematische controle op beveiligingsbeleid.
Ook de afhankelijkheid van ICT-leveranciers en ketenpartners komt nadrukkelijk terug. De IGJ wijst erop dat zorgorganisaties vaak sterk afhankelijk zijn van toeleveranciers, terwijl het systematisch controleren van afspraken met leveranciers nog geen vanzelfsprekend onderdeel is van informatiebeveiliging. De inspectie verwacht dat de Cyberbeveiligingswet de aandacht verder vergroot, onder meer door informatie- en meldplichten en doordat ook grote farmaceutische bedrijven en fabrikanten van medische hulpmiddelen onder de eisen kunnen gaan vallen.
AP beboet Yango voor doorgifte gegevens naar Rusland
De Autoriteit Persoonsgegevens (AP) heeft taxi-app Yango een boete van 100 miljoen euro opgelegd wegens het doorgeven van persoonsgegevens aan Rusland zonder passende waarborgen. Het gaat om MLU B.V., het Nederlandse bedrijf achter de Europese versie van de app.
De AP onderzocht Yango samen met de privacytoezichthouders uit Noorwegen en Finland. Uit het onderzoek blijkt dat persoonsgegevens van klanten en chauffeurs werden opgeslagen op servers in Rusland, waaronder locatiegegevens, ritinformatie en scans van rijbewijzen.
Volgens de AP waren de persoonsgegevens daarmee onvoldoende beschermd en bestond het risico dat Russische autoriteiten toegang konden krijgen tot de gegevens.
MLU moet direct stoppen met het doorgeven van persoonsgegevens van gebruikers uit Noorwegen en Finland aan Rusland via de Yango-app. Het bedrijf kan nog bezwaar maken tegen het besluit.
Ierse toezichthouder onderzoekt SHEIN-doorgiften naar China
De Ierse Data Protection Commission (DPC) is een onderzoek gestart naar Infinite Styles Services Co. Ltd., beter bekend als SHEIN Ireland. Het onderzoek gaat over de doorgifte van persoonsgegevens van personen in de Europese Unie en Europese Economische Ruimte naar China.
De toezichthouder onderzoekt of SHEIN voldoet aan de verplichtingen uit de AVG bij internationale doorgifte van persoonsgegevens. Daarbij kijkt de DPC onder meer naar de beginselen van artikel 5 AVG, de informatieverplichtingen van artikel 13 AVG en de regels uit hoofdstuk V AVG voor doorgifte van persoonsgegevens naar derde landen.
Internationale doorgiften blijven een belangrijk aandachtspunt in het Europese privacytoezicht. Wanneer persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt, moet het beschermingsniveau in beginsel gelijkwaardig blijven aan het niveau binnen de EU. Als er geen adequaatheidsbesluit is, moet een organisatie andere waarborgen gebruiken en kunnen aantonen dat die in de praktijk voldoende bescherming bieden.
Canvas bereikt akkoord na datadiefstal
Onderwijsplatform Canvas heeft een overeenkomst gesloten met hackersgroep ShinyHunters na een grootschalige datadiefstal. Volgens moederbedrijf Instructure zijn de gestolen gegevens inmiddels verwijderd.
Bij de hack werden gegevens van miljoenen leerlingen en onderwijsmedewerkers buitgemaakt, waaronder namen, e-mailadressen, studentnummers en berichten tussen leerlingen en docenten. De hackers dreigden de gegevens openbaar te maken als geen losgeld zou worden betaald.
Instructure zegt digitaal bewijs te hebben ontvangen dat de gegevens zijn verwijderd. Of daadwerkelijk losgeld is betaald, heeft het bedrijf niet bekendgemaakt.
Canvas wordt gebruikt door onderwijsinstellingen wereldwijd, waaronder ook in Nederland en België. ShinyHunters was eerder betrokken bij de hack van telecomprovider Odido.
IGJ: Clinical Diagnostics voldeed niet aan NEN 7510 na datalek
Clinical Diagnostics NMDL B.V. en LCPL B.V. voldeden tijdens het informatiebeveiligingsincident in juli 2025 niet aan de norm NEN 7510 voor informatiebeveiliging in de zorg. Dat concludeert de Inspectie Gezondheidszorg en Jeugd (IGJ) na onderzoek naar de getroffen bedrijfsonderdelen in Rijswijk.
Het onderzoek volgde op een grootschalig datalek waarbij gevoelige persoonsgegevens werden buitgemaakt, waaronder gegevens van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker. De Autoriteit Persoonsgegevens (AP) onderzoekt het incident op grond van de Algemene verordening gegevensbescherming (AVG), terwijl de IGJ toezicht houdt op naleving van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).
Volgens de inspectie was in de drie jaar voorafgaand aan het incident geen onafhankelijke audit op informatiebeveiliging uitgevoerd. Ook ontbraken periodieke risicoanalyses waarmee beveiligingsrisico’s in kaart hadden moeten worden gebracht. Daarnaast bleek een deel van de IT-omgeving door een menselijke fout buiten de monitoring van het Security Operations Center (SOC) te zijn geraakt.
De IGJ heeft Clinical Diagnostics gevraagd om op korte termijn aantoonbaar aan NEN 7510 te voldoen. Volgens de inspectie zijn inmiddels certificeringsaudits ingepland.
