Home

Overheid

Wat moet de overheid doen om datalekken te voorkomen? Hoe kan zij hierin sturen bij haar leveranciers? En wat moet er nu veranderen om toekomstige datalekken zoveel mogelijk te voorkomen en beperken?

Rol van de overheid

Wetten en normen

Net als bedrijven moet de overheid voldoen aan verschillende normen en wetten die te maken hebben met het beschermen van gevoelige gegevens. De meest voor de hand liggende is de Algemene Verordening Gegevensbescherming (AVG) die gaat over gegevens die een persoon identificeren. Maar je hebt ook de Baseline Informatiebeveiliging Overheid (BIO) die gaat over de maatregelen die een organisatie moet nemen om te voorkomen dat ze bijvoorbeeld gehackt wordt. Per 2026 wordt dit een wettelijke verplichting via de Cyberbeveiligingswet (Cbw).

In deze normen staat beschreven dat de overheid ervoor moet zorgen dat niet alleen zijzelf maar ook haar leveranciers voldoen aan deze wetgeving. Natuurlijk is dit niet zwart-wit. Wetgeving is altijd voor interpretatie vatbaar en dat geldt ook in dit geval. In deze interpretatie speelt de afweging van risico’s een belangrijke rol. Zeker als een letterlijke interpretatie en 100% voldoen zorgt voor onwerkbare situaties. Het risico wordt daarbij in het bedrijfsleven over het algemeen gewogen in geld. Wat kost mij een boete, wat kost mij een datalek, hoe groot is de investering etc. Dit is een benadering waar de overheid van kan afwijken.

Desalniettemin mag er wel degelijk van de overheid verwacht worden dat zij haar leveranciers ook daadwerkelijk controleert op naleving van deze wetgeving. Wanneer degelijke controles plaatsvinden verkleint dit de kans op en de impact van een cyberaanval en daarmee de gevolgen voor de gedupeerden.

Normen en waarden

De overheid heeft meer dan bedrijven mogelijkheden om invloed uit te oefenen op verschillende terreinen. Dat aanpassen en bijsturen is ook nodig omdat normen en waarden in de samenleving kunnen veranderen en wetgeving soms ook (onbedoelde) bijwerkingen heeft.

Uitvoering

Een van de manieren om bij te sturen is via de inkoop van werken en diensten en overeenkomsten met leveranciers en partners. Clinical Diagnostics is zo`n leverancier. Door eisen te stellen aan leveranciers en andere aspecten dan geld (zoals in prijs) zwaar te laten wegen bij het aangaan van relaties kan de overheid bedrijven belonen voor bijvoorbeeld meer privacyvriendelijke oplossingen. Door dit ook feitelijk te toetsen in de evaluatie van de leverancier wordt ook transparantie beloond. Het is belangrijk dit specifieker te maken dan bijvoorbeeld de generieke afspraken zoals ze in de GIBIT staan verwoord.

Wet- en regelgeving

Op diverse terreinen bestaat conflicterende wetgeving. Denk bijvoorbeeld aan de drempels voor het delen van gegevens met meerdere partijen aan de ene kant, zoals ervaren door de AVG, met name als het gaat om kwetsbare groepen zoals kinderen. Terwijl aan de andere kant er juist gegevens gedeeld moeten worden, zoals bijvoorbeeld vanuit de Wet Eenmalige Uitvraag, of vanuit de 1Gezin 1Plan aanpak in het sociaal domein. Een ander voorbeeld is het geven van openheid voor betrokkenen bij zaken uit het verleden terwijl tegelijkertijd andere betrokkenen daar mogelijk schade van ondervinden. Zie het dilemma rond het Centraal Archief Bijzondere Rechtspleging.

Organisaties in de zorg maken zelf voortdurend afwegingen in deze conflicten op basis van hun bedrijfsvoering. Terwijl op het terrein van medische en geestelijke gezondheidszorg gegevens enorm gevoelig kunnen zijn en het verlies van de controle over deze gegevens mogelijk ernstige gevolgen heeft met name voor de betrokken cliënt. Aan het beoordelen van deze afwegingen komt vaak een rechter te pas, wat betekent dat er al slachtoffers zijn gevallen. Zeker als het gaat om gegevens in de zorg is dit extra pijnlijk voor kwetsbare groepen als kinderen, vrouwen of LHBTIQ+ mensen.

Het aanpassen van wet- en regelgeving vereist kennis en expertise die vaak buiten het kennisgebied liggen van de gemiddelde Nederlander. Dit betekent dat effecten en bijwerkingen voor veel raads- dan wel Kamerleden moeilijk te overzien zijn. Het is belangrijk om hier als overheidsfunctionaris bewust van te zijn en ruim advies in te winnen. Het vakgebied van privacy en informatiebeveiliging is geen hogere wiskunde of een groot mysterie. Het is wel jong en volop in beweging. Er zijn in jouw eigen organisatie maar ook daarbuiten veel enthousiaste IT’ers die je graag uitleg geven of, als zij dat niet kunnen, je doorverwijzen naar collega`s met meer kennis van jouw specifieke vraag. Weet je niet waar te beginnen? Je kunt altijd terecht bij de Digitale Dolle Mina’s of Nerdvote.nl.

Wat moet er gebeuren

Het is tijd om harde eisen te stellen:

  1. Beveiliging verplicht maken – organisaties die medische gegevens verwerken, moeten minimaal voldoen aan strenge Europese normen, zoals NIS2.
  2. Strafbaarstelling van nalatigheid – slecht beveiligen van “medische” data moet juridische consequenties hebben.
  3. Verplichte pentesten – bedrijven die werken met gevoelige gegevens moeten hun systemen periodiek laten testen door onafhankelijke experts.
  4. Snelle en eerlijke communicatie – een datalek moet binnen dagen, niet pas na weken, aan patiënten en artsen worden gemeld (aan de betrokkenen of slachtoffers).
  5. Keuzevrijheid en transparantie – zoals bij veel partijen die onze data verzamelen, heb je geen echte keus. Meedoen (wat aan te raden is voor je gezondheid) betekent accepteren dat persoonlijke gegevens worden opgeslagen. De AVG heeft bewustwording gebracht, maar zodra je akkoord gaat met een onderzoek, verleen je toestemming voor de verwerking van je gegevens. Vaak is dit een schijnkeuze: zonder akkoord geen uitvoering, want het systeem heeft de data nodig.

Welk laboratorium jouw uitstrijkje onderzoekt, bepaalt de overheid. Juist daarom moet zij strenger zijn dan bedrijven: hogere eisen, meer transparantie en waarborgen dat gegevens binnen Europa blijven. Keuzevrijheid lijkt praktisch niet haalbaar, maar burgers zouden minstens het recht moeten hebben een laboratorium te weigeren, bijvoorbeeld als dit al gehackt is.