Dataminimalisatie als architectuurprincipe — niet als optie
Principe — geen apart product · de filosofie van het ecosysteem toegepast op de zorg
700.000 vrouwen. Data op straat.
In de zomer van 2025 werd het grootste medische datalek in de Nederlandse geschiedenis bekend.
Niet omdat de wet werd overtreden — maar omdat niemand had nagedacht over wat er niet bewaard hoefde te worden.
700.000
vrouwen getroffen baarmoederhalskanker-onderzoek
9 jaar
aan data opgeslagen bij een extern laboratorium
1 lek
naam + BSN + uitslag tegelijk in één database
Casus · 2025
Bevolkingsonderzoek Nederland — Clinical Diagnostics hack
Stichting Bevolkingsonderzoek Nederland voert drie landelijke screeningsprogramma's uit:
borstkanker, baarmoederhalskanker en darmkanker. Voor de uitstrijkjes schakelt ze externe
laboratoria in. Eén daarvan, Clinical Diagnostics NMDL in Rijswijk, werd in juli 2025 gehackt.
Wat er fout ging: het laboratorium had toegang tot naam, adres, geboortedatum,
BSN én testuitslagen — tegelijk, in één database, van vrouwen die het negen jaar daarvoor
hadden deelgenomen. De koppeling was nooit ontkoppeld.
De schade was niet zozeer dat de gegevens úberhaupt ergens stonden — dat is bij medisch
onderzoek deels wettelijk verplicht. De schade zat in twee fouten: gegevens bleven bewaard
lang nadat het doel bereikt was, en de toeleverancier had toegang tot meer dan
nodig was voor zijn specifieke taak.
De centrale vraag: Waarom had het lab de naam en het BSN nodig om een
uitstrijkje te analyseren? Het antwoord: dat had het niet. Een anoniem token had volstaan.
Wat de wet werkelijk verplicht
Eerlijkheid eerst: de WGBO verplicht zorgverleners tot dossiervoering, en die verplichting
is niet omzeilbaar. Maar "een dossier bijhouden" is niet hetzelfde als "alles overal tegelijk opslaan."
Wettelijke grondslag
WGBO (art. 7:454 BW) verplicht elke zorgverlener een dossier bij te houden. De AVG (art. 32)
verplicht passende beveiliging van gezondheidsdata. NEN 7510 beschrijft hóe dat moet.
Bewaarplicht: 20 jaar na laatste behandeling.
Onvermijdelijk: arts
✗ Arts heeft volledige data nodig voor diagnose, verwijzing en overdracht.
Dat valt niet te anonimiseren — en dat moet ook niet.
Onvermijdelijk: overdracht
✗ Afdelingsoverdracht, nachtdienst, verwijzing naar specialist: gegevens
moeten meegaan. Wettelijk vereist voor continuïteit van zorg.
Vermijdbaar: toeleverancier
✓ Een lab dat een uitstrijkje analyseert hoeft geen naam of BSN te kennen.
Een pseudoniem token + retourkanaal volstaat. De koppeling hoeft nooit
bij de toeleverancier te liggen.
Vermijdbaar: bewaartermijn
✓ Na rapportage aan patiënt en behandelend arts kan laboratoriumdata worden
verwijderd. De 20-jaarstermijn geldt voor het medisch dossier bij de
behandelaar — niet per definitie bij elke toeleverancier in de keten.
Vermijdbaar: verzekering
✓ Een verzekeraar die wil weten of een test negatief was, hoeft de
uitslag zelf niet te ontvangen. ZKP maakt het mogelijk te bewijzen
dat een uitslag "negatief" was zonder de uitslag te onthullen.
Kernonderscheid: WGBO-compliant zijn ≠ privacyveilig zijn.
Het bevolkingsonderzoek-datalek was waarschijnlijk volledig WGBO-compliant.
En toch lagen de gegevens van 700.000 vrouwen op straat.
Dezelfde uitnodiging — twee architecturen
Hoe zou het bevolkingsonderzoek er technisch anders uitzien als dataminimalisatie
als architectuurprincipe was toegepast vanaf het begin?
1
Uitnodiging verstuurd
Vrouw ontvangt brief op naam met BSN, gekoppeld aan haar dossier bij Bevolkingsonderzoek Nederland. Naam + adres + BSN opgeslagen bij organisatie.
Wettelijk vereist
2
Deelname & materiaal naar lab
Uitstrijkje gaat naar extern laboratorium. Meegezonden: naam, adres, geboortedatum, BSN. Lab slaat dit op samen met het materiaal en de latere uitslag.
Onnodig risico
3
Uitslag verwerkt & bewaard
Lab rapporteert uitslag terug. Maar de koppeling naam+BSN+uitslag blijft in het systeem van het lab — jarenlang, zonder duidelijke verwijderingsprocedure.
9 jaar bewaard bij toeleverancier
4
Hack — alles tegelijk gestolen
Eén inbraak levert een aanvaller: naam + adres + geboortedatum + BSN + uitslag. Van 700.000 vrouwen. Eén database. Volledig bruikbaar voor identiteitsfraude en chantage.
Grootste medisch datalek NL 2025
1
Uitnodiging via pseudoniem token
Vrouw ontvangt uitnodiging via een tijdelijk token — gekoppeld aan haar dossier intern, maar het token zelf bevat geen naam of BSN. Koppeling blijft uitsluitend bij de bronorganisatie.
Wettelijk vereist — intern geborgd
2
Materiaal naar lab — zonder identiteit
Het uitstrijkje gaat naar het lab met alleen een anoniem referentienummer. Het lab weet niet wie de vrouw is — dat hoeft het ook niet. Het analysepunt is het materiaal, niet de persoon.
Dataminimalisatie by design
3
Uitslag teruggekoppeld via token
Lab stuurt uitslag terug op het referentienummer. Bronorganisatie koppelt intern terug aan de vrouw en verstuurt haar bericht. Na rapportage: lab verwijdert alle data. Koppeling nooit bij toeleverancier geweest.
Verwijderd na doel bereikt
4
Dezelfde hack — geen bruikbare data
Aanvaller breekt in bij het lab en vindt: anonieme referentienummers en uitslagen. Geen namen. Geen BSN's. Geen adressen. De data is technisch waardeloos zonder de koppeltabel — die nooit bij het lab stond.
Architecturele schade-inperking
Drie principes door het hele ecosysteem
Dit is geen zorgproduct. Het zijn architectuurkeuzes die in elk deel van PrismPass
terugkomen — ook buiten de zorg. Ze volgen uit één vraag: wie heeft dit écht nodig?
Dataminimalisatie
Elke partij krijgt alleen wat functioneel noodzakelijk is voor haar specifieke taak.
Een lab dat analyseert hoeft de naam niet. Een verzekeraar die controleert hoeft de uitslag niet.
In PrismPass: de server ziet alleen "geldig of ongeldig" — nooit de identiteit achter het bewijs.
Pseudonimisering
Persoonsidentiteit en medische/gedragsdata worden in gescheiden systemen bewaard.
Koppeling is mogelijk via een tijdelijk token — maar alleen intern, alleen op het moment dat het nodig is.
In PrismID: de ZKP bewijst dat een eigenschap waar is, zonder de eigenschap zelf te onthullen.
Doelbinding
Data bestaat alleen zo lang als het doel bestaat. Na een uitstrijkjesanalyse is het doel bereikt.
De data bij de toeleverancier had kunnen verdwijnen. Negen jaar bewaren was geen vereiste — het was een gewoonte.
In PrismPass: ephemeral keys verdwijnen na gebruik. Sessies worden niet opgeslagen.
Eigenaarschap bij de persoon
In de zorg: de patiënt bepaalt wie toegang krijgt tot wat, niet de instelling. De WGBO geeft dit recht al —
de architectuur moet het ook mogelijk maken.
In PrismCare: de wearable werkt voor de drager. Niet voor het ziekenhuis, niet voor de verzekeraar.
Wat PrismPass niet kan oplossen
Eerlijkheid over de grenzen van dit principe is onderdeel van de filosofie.
Niet alles in de zorg is te anonimiseren, en dat moet ook niet.
Niet op te lossen met architectuur: de behandelend arts heeft jouw volledige dossier nodig.
De overdracht bij een opname moet volledig zijn. In acute situaties gaat veiligheid boven anonimiteit.
Dat is precies hoe het hoort.
Wél op te lossen: alles wat na het directe behandelingsmoment nog bewaard wordt,
gedeeld wordt, of doorgegeven wordt aan partijen die de identiteit niet nodig hebben.
Dáár zit de ruimte — en dáár is het bevolkingsonderzoek-datalek een pijnlijk concreet bewijs van gemiste kans.
"Een 78-jarige vrouw die 's ochtends haar wearable omdoet weet: dit ding werkt voor mij.
Niet voor het ziekenhuis, niet voor mijn kinderen, niet voor de verzekeraar. Voor mij.
En als ik wil dat mijn dochter weet dat ik goed slaap — dan vertel ik haar dat. Via één knop. Op mijn moment."
PrismCare — concept · I. Smid-Woelders · 30 april 2026
Het licht zelf wordt nooit opgeslagen. Alleen de kleur die jij kiest te laten zien.
Bronnen
Alle claims op deze pagina zijn herleidbaar tot wetgeving, officiële publicaties of gedocumenteerde berichtgeving.
Onderscheid: (1) wettelijke verplichting, (2) officiële instantie, (3) journalistieke/juridische analyse van de casus.
Wetgeving & normering
[1]
Wet op de geneeskundige behandelingsovereenkomst (WGBO) — art. 7:454 BW
Wetgeving · Burgerlijk Wetboek Boek 7 · Nederland
Verplicht elke zorgverlener een dossier bij te houden over de behandeling. Bewaarplicht: 20 jaar na laatste behandelmoment. Grondslag voor alle medische dossiervoering in Nederland.
EU-verordening · 2016/679 · van kracht vanaf 25 mei 2018
Art. 5 verplicht dataminimalisatie en doelbinding. Art. 32 verplicht passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, inclusief gezondheidsdata.
Nederlandse norm · NEN · actuele versie 2017+A1:2020
Beschrijft hoe zorgaanbieders informatiebeveiliging moeten inrichten. Alleen geautoriseerde medewerkers mogen toegang hebben tot patiëntdossiers. Authorisatiebeheer is een kernvereiste.
→ Toegangsbeheer medische data · autorisatievereisten toeleveranciers
KNMG-richtlijn Omgaan met medische gegevens — januari 2024
Beroepsrichtlijn · Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst · 2024
Uitgebreide richtlijn voor artsen over dossiervoering, gegevensuitwisseling en privacy. Beschrijft wanneer gegevens gedeeld mogen worden, zwijgplicht, en vereisten voor elektronische uitwisseling. Inclusief bepalingen over toeleveranciers en beveiligde verzending.
→ Zwijgplicht · gegevensuitwisseling · vereisten voor derden in de zorgketen
Autoriteit Persoonsgegevens — Gezondheidsdata in een dossier
Officiële instantie · AP · geactualiseerd 2025
De AP bevestigt dat de dossierplicht uit de WGBO een wettelijke grondslag is (geen toestemming vereist), en dat de bewaarplicht 20 jaar bedraagt. Beschrijft ook patiëntenrechten onder AVG en WGBO.
Casus — Bevolkingsonderzoek Nederland datalek 2025
[6]
Bevolkingsonderzoek Nederland — Officieel persbericht datalek
Officiële instantie · Bevolkingsonderzoek Nederland · augustus 2025
Officiële bevestiging van het datalek bij Clinical Diagnostics NMDL. Bevestigt dat gegevens van deelnemers aan het baarmoederhalskankeronderzoek zijn betrokken, inclusief naam, adres, geboortedatum, BSN en mogelijk testuitslagen. Vermeldt dat het lek negen jaar aan data betreft.
Bevolkingsonderzoek Nederland — Datalek veel groter dan eerder vermeld
Officiële instantie · Bevolkingsonderzoek Nederland · augustus 2025
Update: organisatie sluit niet uit dat alle data van de afgelopen negen jaar is gelekt. Besluit om alle vrouwen te informeren van wie ooit gegevens zijn gedeeld met het laboratorium, ook als hun betrokkenheid niet zeker is.
→ Totale omvang negen jaar · besluit brede informatieplicht
Holla Advocaten — Wat leren we van het datalek bij Bevolkingsonderzoek Nederland
Juridische analyse · Holla Advocaten · augustus 2025
Juridische analyse van het datalek. Stelt dat de vraag rijst waarom het laboratorium toegang had tot zo veel direct identificeerbare persoonsgegevens. Concludeert dat dit niet in lijn lijkt met het beginsel van dataminimalisatie, en dat pseudonimisering de schade drastisch had kunnen beperken.
→ Schending dataminimalisatiebeginsel · pseudonimisering als oplossing · lessons learned
Security.nl — Bevolkingsonderzoek Nederland lekt gevoelige gegevens 485.000 vrouwen
Vakpers · Security.nl · juli 2025
Technische rapportage van het lek. Vermeldt dat slechts één van de zes laboratoria van Clinical Diagnostics een NEN 7510-certificering had. Bevat commentaar van beveiligingsexperts dat tokenisatie en scheiding van databases de impact drastisch had kunnen beperken.
→ NEN 7510 niet breed toegepast · tokenisatie als mitigatie · scheidingsarchitectuur
Beschrijft de rechtspositie van gedupeerde vrouwen. Stelt dat het mogelijk het grootste of meest ernstige medische datalek in de Nederlandse geschiedenis betreft. Analyseert of Bevolkingsonderzoek Nederland voldoende toezicht heeft gehouden op de toeleverancier bij het verstrekken van de opdracht.
→ Aansprakelijkheid opdrachtgever · toezicht op toeleverancier · schadeomvang
Rijksoverheid — Ik ben slachtoffer van de hack bij het bevolkingsonderzoek
Officiële instantie · Rijksoverheid.nl · september 2025
Officiële overheidspagina met handelingsadvies voor gedupeerde vrouwen. Bevestigt welke gegevens zijn gelekt (naam, adres, geboortedatum, BSN). Vermeldt de Kamerbrief van 1 september 2025 over de ontwikkelingen.
→ Officiële bevestiging gelekte gegevenstypen · Kamerbetrokkenheid · ernst erkenning