Nederland: hoog gedigitaliseerd, maar ook kampioen datalekken.

Herhaling is vaak het gevolg van structurele problemen, iets waar Nederland al jarenlang mee te maken heeft. Dit begon al tijdens de paarse kabinetten van Kok met grootschalige privatiseringen en zette zich voort onder de kabinetten-Rutte. Zo raakten we steeds verder van het pad. Hoewel Rutte inmiddels vertrokken is, liggen de fundamenten van het beleid en de bestuurscultuur nog stevig op hun plek. En zo dendert de beleidsmachine vrolijk en onverstoorbaar verder.

Wat is er exact gebeurd?

• Hack bij Clinical Diagnostics NMDL
  Begin juli 2025 kregen cybercriminelen toegang tot de systemen van het laboratorium Clinical Diagnostics (Rijswijk), dat betrokken is bij het bevolkingsonderzoek naar baarmoederhalskanker  .
• Grote hoeveelheid gelekte data
  Gegevens van ongeveer 485.000 vrouwen zijn gestolen, inclusief namen, adressen, burgerservicenummers, testuitslagen van uitstrijkjes en zelftesten, en soms verwijzende zorgverleners  .
• Breder dan gedacht
  Niet alleen het bevolkingsonderzoek is getroffen: ook data van mogelijk 53.516 andere personen (via ziekenhuizen, huisartsen, zelfstandige klinieken – ook data over huid-, urine-, wondvocht-, en penisonderzoek) zijn gelekt. In totaal is mogelijk 300 GB aan data buitgemaakt, waarvan een deel al op het dark web is gepubliceerd  .
• Vertraging in melding
  Het laboratorium was al in juli op de hoogte, maar informeerde betrokken partijen pas weken later – wat in strijd is met de wettelijke meldplicht van 24 uur. Dat wordt door privacy-experts en Bevolkingsonderzoek Nederland als zeer kwalijk beoordeeld  .
• Latere gevolgen
  Belangrijke zorgen:
  
  • Phishing en identiteitsfraude, omdat de data zeer gevoelige medische info bevatten.
  • Vertrouwensverlies bij het publiek: IKNL en KWF waarschuwen dat deelname aan bevolkingsonderzoeken hierdoor in gevaar komt – met fatale gevolgen voor vroege kankeropsporing.

Grootste bronnen van Nederlandse datalekken (menselijke blunders)

Nederland profileert zich internationaal als “hoogopgeleid, innovatief en digitaal vooroplopend,” maar in de praktijk betekent dat soms: we rennen vooruit zonder veiligheidsnet.

Nederland komt vaker in het nieuws met datalekken dan landen als Zweden en Duitsland.

Snellere digitalisering dan beveiliging

Nederland is een van de meest gedigitaliseerde landen ter wereld. Alles - van gemeenten tot zorg en onderwijs - is al jaren verbonden via databases en API’s. Maar terwijl de digitalisering in rap tempo vooruitging, is het budget en de kennis voor beveiliging niet altijd meegegroeid. Veel systemen draaien nog op verouderde software of zijn ooit “tijdelijk” gebouwd en nooit goed geüpgraded.

Deze combinatie maakt ons kwetsbaar: we hebben veel data en complexe koppelingen, maar ook “oude achterdeuren” die nog openstaan.

Bovendien zijn we vaak te goed van vertrouwen. De overheid gaat er bijvoorbeeld vanuit dat ambtenaren en leveranciers verantwoordelijk omgaan met toegang en beveiliging. In de praktijk ontbreken strenge interne controles, zeker in vergelijking met landen als Duitsland of de Scandinavische regio.

Samenvattend? Nederland scoort deels hoog op transparantie, maar er is ook een structureel probleem met onze digitale veiligheid. Het is alsof we goed zijn in verkeersregels opschrijven en borden plaatsen, maar af en toe vergeten de stoplichten aan te sluiten.

Nederland presenteert zich internationaal als “innovatief, hoogopgeleid en digitaal vooruitstrevend.” Maar soms betekent dat: we lopen voorop zonder veiligheidsnet. Het is vergelijkbaar met een hypermoderne trein die rijdt op een verouderd spoor: futuristisch op papier, maar één storing verwijderd van chaos.

Die “tijdelijke” IT-oplossingen vormen een pijnpunt. Binnen de overheid betekent “tijdelijk” vaak: “we fixen het snel en pakken het later goed aan.” Maar dat “later” komt nooit. Wat een noodoplossing had moeten zijn, draait dan 8 jaar door, terwijl niemand meer weet hoe het oorspronkelijk bedoeld was.

Een structureel probleem met wetgeving

Een scherpe observatie: het kabinet maakt regelmatig wetgeving zonder grondige impactanalyse van de uitvoering en beveiliging. Een voorbeeld is de wet die gemeenten verplichtte om allerlei koppelingen te maken met landelijke systemen voor gegevensuitwisseling. Technisch handig, maar het zorgde ook voor meer toegangspunten en dus meer risico op lekken. Hier werd nauwelijks over nagedacht.

En wat betreft het “hoogopgeleid” zijn? Soms lijkt het meer op “smal opgeleid”: veel beleidsmatige expertise, maar weinig realistische techkennis.

De grootste oorzaken van datalekken in Nederland

Zo’n 60-70% van de datalekken in Nederland wordt niet veroorzaakt door ingewikkelde cyberaanvallen, maar door menselijke fouten en slechte digitale hygiëne.

1. Verkeerd geadresseerde post of e-mail
   38% van alle meldingen bij de Autoriteit Persoonsgegevens (AP). Denk aan brieven met medische of juridische informatie die bij de verkeerde persoon belanden, of e-mails met gevoelige bijlagen die naar het verkeerde adres worden gestuurd.
   Voorbeeld: Een zorginstelling stuurde honderden brieven, maar stelde het postcodesysteem verkeerd in. Hierdoor kreeg iedereen de gegevens van iemand anders.
2. Onbeveiligde bestanden online gezet
   Gemeenten of provincies plaatsen Excel-bestanden met persoonsgegevens op een openbare server, “omdat het handig was voor overleg”. Vaak blijven deze bestanden maanden of zelfs jaren vindbaar via Google.
   Voorbeeld: De provincie Zuid-Holland had miljoenen interne documenten zonder wachtwoord op een openbaar netwerk staan.
3. Onnodig brede toegangsrechten
   Ambtenaren of externe consultants krijgen toegang tot veel meer gegevens dan nodig. Dit betekent dat een gehackt of gestolen account toegang heeft tot gevoelige informatie.
   Voorbeeld: Bij het Kadaster kon via één pro-account informatie over miljoenen woonadressen worden ingezien.
4. Verouderde systemen en software
   Oude software die geen beveiligingsupdates meer ontvangt, wordt nog steeds gebruikt. Vaak zijn dit “tijdelijke” oplossingen die jarenlang blijven draaien.
   Voorbeeld: Bij meerdere GGD’s draaiden systemen op verouderde Windows-versies zonder updates, terwijl ze gevoelige gegevens zoals BSN’s verwerkten.
5. Papieren dossiers niet goed vernietigen
   Archieven of containers vol papieren met persoonsgegevens worden onbeheerd buiten gezet of in een onbeveiligde papierbak gegooid.
   Voorbeeld: Een gemeente liet tijdens een verhuizing dozen met dossiers van inwoners onbeheerd in een open hal staan.
6. Test- en trainingsdata met echte persoonsgegevens
   Ontwikkelaars gebruiken echte gegevens om nieuwe software te testen. Deze testomgevingen zijn vaak veel slechter beveiligd.
   Voorbeeld: Een IT-partner van een zorginstelling zette een testomgeving online zonder wachtwoord, waardoor deze volledig openbaar toegankelijk was.

Het is in feite een vorm van intellectuele blindheid.

Er heerst vaak de overtuiging dat kennis en rationaliteit automatisch leiden tot veilig gedrag. Zonder echter structurele controles en een cultuur waarin kritisch wordt nagedacht over kwetsbaarheden, blijft dit een naïeve aanname.

Het is in feite een vorm van intellectuele blindheid: denken dat weten gelijkstaat aan veilig handelen, terwijl het ontbreken van checks en een kritische houding juist risico's vergroot.

Vergelijk het met een topchef die weigert een brandblusser in de keuken te plaatsen, omdat hij ervan overtuigd is: “Ik ben te goed om ooit iets te laten aanbranden.” 

Nederland heeft van oudsher een vrij hoge “trust culture”:

• Men gaat er vaak vanuit dat professionals en leveranciers te goeder trouw handelen.
• Controlemechanismen zijn er wel, maar worden soms pas ingezet achteraf, wanneer er al iets mis is gegaan.

In Duitsland en Scandinavië zie je daarentegen vaak het volgende:

• Grondigere controles vooraf, zoals security clearances, periodieke audits en strenge leveranciersscreening.
• Striktere protocollen: toegang tot gevoelige systemen is vaak meerlaagse beveiligd, uitgebreid gelogd en continu gemonitord.
• Een lagere tolerantie voor risico: liever een extra controle dan iets over het hoofd zien.
• Duitsland (BSI IT‑Grundschutz): federale baseline met concrete maatregelen, tooling en certificeringspad (ISO 27001 “op basis van” Grundschutz). Voor federale instanties zijn BSI‑eisen leidend; leveranciers aan de publieke sector voelen die druk ook.  
• Zweden (MSB): minimum‑beveiligingsmaatregelen voor overheidsorganisaties zijn gereguleerd; MSB publiceert bindende/leidende richtlijnen en coördineert acties over departementen heen (incl. inkoop).  
• Denemarken (CFCS): nationale autoriteit met duidelijke sector‑lijnen (o.a. gezondheidszorg) en periodieke voortgangsrapportage; strategie koppelend aan uitvoer en overlegstructuren.  

Kortom: daar zie je meer ex‑ante eisen + auditability; in NL is het nog te vaak ex‑post vertrouwen met versnipperde controle.

In Nederland overheerst echter vaak de gedachte: “De regels staan op papier, dus het zit wel goed.”

In de praktijk betekent dit dat zaken zoals interne logging, toegangsbeheer en API-monitoring minder streng worden uitgevoerd dan technisch mogelijk is. Hierdoor kunnen misbruik of nalatigheden langere tijd onopgemerkt blijven.

Het is alsof je een hypermodern alarmsysteem hebt, maar het pas activeert zodra er in de buurt wordt ingebroken.

Waarom lijkt er telkens niets te veranderen?

Herhaling is vaak het gevolg van structurele problemen:

een politieke en bestuurlijke cultuur waarin digitalisering en privatisering zijn doorgevoerd zonder een even sterke investering in structurele borging en toezicht.

Als je het historisch bekijkt:

• Paars (Kok I en II, jaren ’90 – begin 2000)
  
  • Grote privatiseringsgolf: energie, telecom, spoor, post, zorgverzekeringen, maar ook uitbesteding van ICT-diensten.
  • Vertrouwensdenken: de markt zou efficiënter en innovatiever zijn dan de overheid, en zou zichzelf reguleren.
  • Gevolg: minder directe controle, meer afhankelijkheid van contracten en leveranciers — en vaak weinig technische kennis in de overheid om die leveranciers écht te toetsen.
• Kabinetten Rutte (2010–heden)
  
  • Nog sterkere nadruk op “compacte overheid” en kostenbesparing.
  • Veel IT en data-infrastructuur ondergebracht bij externe partijen of zelfstandige bestuursorganen.
  • Veiligheid kwam vaak pas na incidenten op de agenda (denk aan DigiNotar, OV-chipkaart, datalekken bij gemeenten, toeslagenaffaire-IT, GGD-lekkages).
  • Incidentmanagement domineert, in plaats van structureel risicomanagement.

Ook al is Rutte zelf weg, de spoorrails van beleid en bestuurscultuur liggen er nog steeds, en de trein rijdt vrolijk verder.

Die lijnen zijn in feite jarenlang ingesleten:

• Privatisering en uitbesteding als standaardoplossing.
• Vertrouwen boven controle als reflex.
• IT en digitalisering vooral zien als efficiëntieproject, niet als continu beveiligingsvraagstuk.

En wat gebeurt er als een nieuwe regering aantreedt?

Die erft die infrastructuur — zowel technisch als bestuurlijk — en moet óf heel veel geld en politieke energie steken in herstructureren, óf “gewoon” doorgaan met wat er ligt. In de praktijk wordt vaak voor de tweede optie gekozen, omdat het eerste traag, duur en impopulair is.

Het gevolg: incidenten zoals het bevolkingsonderzoek-hack zijn geen “ongelukkige eenmalige fouten”, maar logische uitkomsten van een systeem dat nooit fundamenteel is aangepast.

Het gevolg van deze lijn is dat Nederland nu hoog gedigitaliseerd maar laag geborgd is:

• De fysieke infrastructuur is modern.
• De beveiligings- en toezichtstructuur is versnipperd, afhankelijk van vertrouwen en achterafcontrole.

Dat “patent op structurele problemen” zit ’m in:

• Korte politieke horizon: digitalisering als innovatieproject, niet als 30-jarige onderhoudsverplichting.
• Geen sterke centrale toezichthouder voor informatiebeveiliging buiten de NIS-vitalesectoren.
• Bezuinigingsreflex: security wordt vaak als kostenpost gezien, niet als integraal onderdeel van dienstverlening.

Het wrange is: precies die privatiserings- en uitbestedingskeuzes waar destijds politiek trots op was, hebben ons nu in een positie gebracht waar het herstel veel duurder en complexer is.