HELP! Mijn persoonlijke gegevens liggen op straat… En nu?

“Veel cybercriminelen zijn uit op geld, niet op jouw identiteit.” – Roos Dijkxhoorn

Wat is er precies gebeurd?

Roos: “Criminelen (of criminele hackers) hebben tussen 3 en 6 juli 2025 toegang weten te krijgen tot een deel van de ICT-systemen van laboratorium Clinical Diagnostics NMDL. Dit laboratorium verwerkt onder andere uitstrijkjes en zelftesten in opdracht van het Bevolkingsonderzoek Nederland. Het blijkt om de relatief nieuwe hackersgroep Nova te gaan, waarschijnlijk afkomstig uit Rusland. Zij hebben persoonlijke gegevens bekeken van ruim 485.000 deelnemers en een deel daarvan gekopieerd. Later blijkt dat er nog eens 230.000 slachtoffers bijkomen. Dat zet de teller op ruim 700.000 deelnemers (mogelijk oplopend tot 850.000 deelnemers).”

Floor: “Clinical Diagnostics zegt dat het incident snel is opgemerkt en het IT-beveiligingsteam onmiddellijk technische maatregelen heeft genomen om de toegang te blokkeren en systemen veilig te stellen. Ook zeggen ze het incident tijdig te hebben gemeld bij de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Centrum (NCSC). Op 6 augustus 2025 hebben zij het Bevolkingsonderzoek op de hoogte gebracht van de datalek.”

Wat zijn volgens jullie de gevolgen voor de gedupeerden?

Roos: “Bij een datalek van deze omvang is er een risico op:

• Onrust: zorgen over wie de gegevens kunnen inzien kan veel stress veroorzaken.

• Gebrek aan vertrouwen: om weer mee te doen aan het Bevolkingsonderzoek.

• Identiteitsfraude: criminelen kunnen je persoonsgegevens misbruiken.

• Phishing en oplichting: denk aan e-mails of telefoontjes die lijken te komen van betrouwbare instanties die extra vertrouwen wekken, omdat ze ingaan op een actuele medische situatie.”

Floor: “En vergeet niet dat er specifieke risico’s zijn voor kwetsbare groepen. In uitzonderlijke gevallen, zoals mensen in een Blijf-van-mijn-lijfhuis, kan dit leiden tot extra veiligheidsmaatregelen. Het is belangrijk dat iedereen die mogelijk een risico loopt wordt geïnformeerd, zodat alle slachtoffers zelf kunnen inschatten wat voor risico ze lopen.”

Waarom doen criminelen dit?

Roos: “Wat deze situatie goed laat zien is dat het criminelen niet uitmaakt wie hun targets zijn. Zij zijn simpelweg op zoek naar manieren om met zo min mogelijk moeite zo veel mogelijk geld buit te maken. Veel criminelen zijn namelijk uit op geld, niet op jouw identiteit. Hoe gevoeliger de gegevens die zij hebben weten te bemachtigen, hoe groter de kans dat er losgeld betaald zal worden. Partijen willen namelijk uit alle macht voorkomen dat deze gevoelige gegevens verder worden misbruikt.”

Ergens wel een geruststellende gedachte. Maar dat neemt natuurlijk niet weg dat mijn persoonlijke gegevens op het dark web kunnen rondslingeren.

Roos: “Dat klopt en dat is ook het nare van datalekken. Jouw persoonlijke gegevens zijn in handen van criminelen (geweest) en je weet niet precies wat ermee is gebeurd of in de toekomst nog kan gebeuren. Deze onzekerheid raakt gedupeerden. Dat snap ik heel goed.”

“Hoe vervelend het ook is, slachtoffers hebben nu eenmaal niet automatisch recht op een schadevergoeding”, Floor Terra

Is er überhaupt íets wat ik zelf kan doen?

Roos: “Let op verdachte berichten en klik niet zomaar op links in e-mails of sms’jes die vragen om jouw persoonlijke gegevens. Als iemand deze gegevens van jou in handen heeft, moet je er niet direct vanuit gaan dat berichten waarin deze gegevens worden gevraagd te vertrouwen zijn. Bij twijfel bel je zelf het bedrijf/de organisatie op om te checken of de e-mail/sms echt van hen afkomstig is.”

Moet ik nu al mijn wachtwoorden vervangen?

Roos: “Nee, bij dit datalek zijn geen wachtwoorden buitgemaakt. Wel is het altijd slim om sterke, unieke wachtwoorden te gebruiken en tweestapsverificatie (2FA) aan te zetten.”

En hoe zit het met een schadevergoeding? Komen we daarvoor in aanmerking?

Floor: “Hoe vervelend het ook is, slachtoffers hebben nu eenmaal niet automatisch recht op een schadevergoeding. Daarvoor moet er sprake zijn van schade door een overtreding van de AVG of een andere onrechtmatige daad. Het laboratorium en het Bevolkingsonderzoek Nederland zijn ook slachtoffers en het is nog niet duidelijk dat ze onrechtmatig hebben gehandeld.”

Roos: “Dat klopt. Er lopen op dit moment diverse onderzoeken door de Autoriteit Persoonsgegevens (AP), Inspectie Gezondheidszorg en Jeugd (IGJ) en het Openbaar Ministerie (OM).”

Is het van belang een klacht in te dienen bij AP?

Floor: “Je mag een klacht indienen als je denkt dat de AVG is overtreden, maar het is waarschijnlijk handiger de onderzoeken van de AP en IGJ eerst af te wachten. Een datalek is op zichzelf namelijk geen overtreding van de AVG. Waarschijnlijk is het nut van een klacht indienen ook beperkt. De AP zal je voornamelijk op de hoogte moeten houden van de voortgang van de behandeling.”

En hoe zit het met de massaclaim?

Floor: “Ik snap zeker waarom gedupeerden zich hierbij aansluiten. Aan de andere kant vind ik dit een ontwikkeling die transparantie tegenwerkt. Massaclaims nadat organisaties zelf publiek hebben gecommuniceerd over een datalek kunnen bedrijven en organisaties afschrikken hun datalek überhaupt te melden bij betrokkenen. Daarnaast is het nog niet duidelijk of het om een AVG-overtreding gaat.”

Tot slot

Na dit gesprek met mijn collega’s is het voor mij een stuk duidelijker. Hopelijk geeft dit jou ook meer duidelijkheid en houvast. Blijf alert, klik niet zomaar op links en meld identiteitsfraude direct bij het Centraal Meldpunt Identiteitsfraude.

Over ons

Privacy Company en PuraSec bundelen hun krachten om bedrijven en organisaties weerbaarder te maken tegen cyberdreigingen en te zorgen voor zorgvuldig gebruik van persoonsgegevens. Onze missie: privacy en security begrijpelijk en werkbaar maken voor iedereen. Benieuwd hoe wij organisaties helpen hun verantwoordelijkheid te nemen? Neem contact met ons op. Samen werken we aan een digitale wereld waarin jouw gegevens veilig zijn.