Wat betekent dit voor jou als huisarts?
Een datalek in de zorg kan iedereen raken: patiënten, huisartsen én hun teams. De gevolgen zijn vaak groter dan gedacht. Van vragen aan de balie tot risico op fraude of reputatieschade. Op deze pagina lees je wat je kunt doen bij een datalek, wie waarvoor verantwoordelijk is en hoe je zorgvuldig handelt, ook als het datalek bij een andere organisatie plaatsvindt.
Als voorbeeld gebruiken we de recente casus rond Clinical Diagnostics. Dit is een voorbeeld van een datalek bij een andere organisatie die zelf verwerksverantwoordelijk is. Lees hier de verschillen die er zijn als jezelf een datalek hebt of als die plaatsvindt bij een verwerker. De casus en de algemene informatie daaronder laat goed zien hoe verantwoordelijkheden in de praktijk uitpakken en wat jij daarvan kunt leren.
De LHV blijft bij VWS en ketenpartners aandringen op veilige en werkbare afspraken over gegevensdeling in de zorg.
1. Casus: datalek bij laboratorium Clinical Diagnostics
Het grote datalek bij laboratorium Clinical Diagnostics treft niet alleen deelnemers aan bevolkingsonderzoeken, maar ook zorgverleners. Huisartsen zijn hierover nog niet rechtstreeks geïnformeerd. Dat leidt tot onzekerheid en risico’s op phishing en fraude.
Wat is er gebeurd?
- In juli 2025 vond een hack plaats bij Clinical Diagnostics.
- Bevolkingsonderzoek Nederland (BVO, landelijke organisatie die bevolkingsonderzoeken uitvoert) informeert in totaal 941.000 mensen.
- Gelekte gegevens: naam, adres, geboortedatum, geslacht, Burgerservicenummer (BSN), type onderzoek, testuitslag en de naam van de huisarts. (Geen e-mailadressen of telefoonnummers.)
- Ook gegevens van zorgverleners (zoals AGB-code en contactgegevens) kunnen in datasets zitten.
Wat betekent dit voor jou als huisarts?
De LHV dringt bij Clinical Diagnostics aan op snelle en volledige communicatie richting zorgverleners en vraagt bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) aandacht voor het bredere vraagstuk: veilig kunnen werken in een zorgwereld waarin gegevens breed gedeeld worden en we toewerken naar databeschikbaarheid (het veilig en verantwoord delen van zorgdata).
Handige links
2. Bekijk de uitlegvideo’s
Deze video’s leggen kort uit wat een datalek is en wat het betekent als het bij een verwerker gebeurt. Gebruik ze ook om je team te briefen.
Video 1 – Wat doe je bij een datalek in je huisartsenpraktijk?
Video 2 – Datalek bij een verwerker: wat betekent dat voor jouw huisartsenpraktijk
3. Wat kun jij nu doen?
- Registreer het incident in je datalekregister en bewaar alle brieven en e-mails.
- Informeer je team met een korte briefing en geef standaardantwoorden mee.
- Communiceer naar patiënten: plaats een korte melding op je website en/of in de wachtkamer.
- Waarschuw voor phishing: wijs team en patiënten op de Fraudehelpdesk (landelijk meldpunt voor internet- en identiteitsfraude).
- Vraag hulp: gebruik de LHV-handleiding datalek of neem contact met ons op.
5. Veelgestelde vragen
Wel als het datalek in jouw huisartsenpraktijk heeft plaatsgevonden.
Niet als het bij een verwerker is, zoals bij een laboratorium.
Verwerkingsverantwoordelijke is degene die het doel en de middelen bepaalt van de verwerking van persoonsgegevens. De huisarts/praktijkhouder is in principe verwerkingsverantwoordelijke voor alle patiëntgegevens in het kader van de behandeling, omdat de praktijk de doelen en middelen bepaalt (bijv. dossiervoering, zorgverlening).
Voor medisch-inhoudelijke taken (bv. laboratorium, maar ook radiologie, teleconsult dermatoloog) is de derde partij doorgaans zelfstandig verwerkingsverantwoordelijke, met wie de huisarts gegevens uitwisselt als onderdeel van de behandeling.
Verwerker is degene die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder eigen zeggenschap over doel en middelen. Binnen de praktijk is het HIS de verwerker van data, en is de huisarts verwerkersverantwoordelijke voor het patiëntendossier.
Nee. Dat doet BVO wat betreft het bevolkingsonderzoek. Jij helpt bij vragen en verwijst door.
Niet direct. Zorg dat je kunt aantonen dat je een verwerkersovereenkomst hebt, het incident hebt geregistreerd en zorgvuldig hebt gehandeld.
Hang een waarschuwing op: “Wij vragen nooit via e-mail of sms om persoonlijke gegevens. Let op verdachte berichten.”
6. Hoe help je je patiënten?
1. Communicatie en doorverwijzen
Na ontvangst van brieven over een datalek krijgen huisartsen en praktijkmedewerkers veel vragen van patiënten. Vaak willen mensen weten wat er precies is gelekt en of hun huisartsdossier betrokken is.
Doel
Rust en duidelijkheid brengen, en patiënten gericht doorverwijzen naar de juiste informatiebron.
Vervolgstappen
- Vraag of de patiënt een brief van de verwerker heeft ontvangen.
- Leg uit dat alleen de betrokken instantie bijvoorbeeld een laboratorium exact kan aangeven welke gegevens zijn gelekt.
- Verwijs naar het privacyteam van de verwerker.
- Noteer in het medisch dossier: patiënt geïnformeerd over brief en doorverwezen; geen medische inhoud gewijzigd.
Voorbeeldzin
“De verwerker stuurt persoonlijke brieven waarin staat welke gegevens mogelijk zijn ingezien. Lees die brief goed. Als u wilt, kijken we samen welke vervolgstappen verstandig zijn, bijvoorbeeld contact met de verwerker of de Fraudehelpdesk.”
2. Phishing en fraude
Na een groot datalek nemen kwaadwillenden soms contact op met patiënten of praktijken via e-mail, sms of telefoon om persoonlijke gegevens te ontfutselen.
Doel
Phishing voorkomen en zowel teamleden als patiënten alert houden.
Vervolgstappen
- Hang in de wachtkamer en op je website een waarschuwing: “Wij vragen nooit om persoonlijke gegevens via e-mail of sms. Let op verdachte berichten.”
- Bespreek in het teamoverleg wat te doen bij verdachte berichten: niet openen, niet antwoorden, doorsturen naar de praktijkmanager.
- Adviseer patiënten verdachte berichten te melden bij de Fraudehelpdesk of bij de politie als er sprake is van financieel misbruik.
- Overweeg tijdelijk een bericht op je praktijkwebsite met deze waarschuwing en contactopties.
Voorbeeldzin
“Klik niet op links in e-mails of sms-berichten en deel geen persoonsgegevens. Ontvangt u een verdachte boodschap? Bewaar die en meld het bij de Fraudehelpdesk. Wij kunnen meekijken wat verstandig is.”
3. Ondersteuning van patiënten
Sommige patiënten willen hulp bij vervolgstappen, bijvoorbeeld omdat ze bang zijn voor identiteitsfraude of niet weten waar ze terechtkunnen.
Doel
Patiënten praktisch ondersteunen zonder de verantwoordelijkheid van het laboratorium over te nemen.
Vervolgstappen
- Geef een kort overzicht met officiële contactpunten:
- Centraal Meldpunt Identiteitsfraude en -fouten (CMI) – hulp bij misbruik van persoonsgegevens.
- Fraudehelpdesk – advies en melding van phishing of oplichting.
- Bank of politie – bij financieel misbruik of pogingen daartoe.
- Bied aan samen te bekijken welke stappen passend zijn en help met benodigde documenten.
- Plan eventueel kort telefonisch contact om te volgen of verdere hulp nodig is.
Voorbeeldzin
“Als u zich zorgen maakt over misbruik van uw gegevens, kunt u terecht bij het CMI of de Fraudehelpdesk. Wilt u dat ik even met u meedenk welke stap nu handig is?”
4. Training en briefing van het team
Praktijkmedewerkers zijn vaak het eerste aanspreekpunt voor bezorgde patiënten. Zonder eenduidige afspraken kunnen boodschappen snel verschillen.
Doel
Zorgen dat iedereen in het team hetzelfde zegt en weet wanneer iets moet worden doorgegeven aan de huisarts of praktijkmanager.
Vervolgstappen
- Organiseer een kort teamoverleg (10 minuten).
- Bespreek: wat weten we, wat zeggen we, wat doen we bij twijfel?
- Gebruik de LHV-checklist of Q&A’s als standaardantwoord.
- Herhaal de briefing als er nieuwe informatie komt van de verwerker of de LHV.
Voorbeeldzin voor intern overleg
Als patiënten bellen, vraag altijd eerst of ze een brief hebben ontvangen. Leg uit dat de verwerker verantwoordelijk is voor de inhoud en verwijs naar hun contactadres. Noteer in het dossier dat de patiënt is geïnformeerd.
5. Vertrouwen beschermen
Een datalek kan het vertrouwen van patiënten in de huisarts aantasten, ook al ligt de oorzaak buiten de praktijk.
Doel
Het vertrouwen herstellen en behouden door empathisch, open en consequent te communiceren.
Vervolgstappen
- Erken de zorg van patiënten: geef ruimte voor emoties, geen technische uitleg.
- Leg rustig uit dat het datalek plaatsvond bij een externe partij.
- Vertel welke veiligheidsmaatregelen je praktijk neemt (beveiligde mail, beperkte toegang, actuele software).
- Plan zo nodig extra contact voor kwetsbare patiënten.
Voorbeeldzin
“Ik begrijp dat dit zorgen oproept. We doen er alles aan om uw gegevens goed te beschermen. Dit incident vond plaats buiten onze systemen, maar we blijven alert en houden u op de hoogte.”
6. Monitoring en bijstellen
Nieuwe informatie over het datalek komt druppelsgewijs naar buiten. Patiënten of media kunnen eerder updates oppikken dan de praktijk.
Doel
Actuele en consistente communicatie houden.
Vervolgstappen
- Volg de updates van de verwerker zoals een laboratorium, de LHV en de Autoriteit Persoonsgegevens.
- Pas standaardantwoorden en websiteberichten aan als er nieuwe feiten zijn.
- Plan wekelijks kort overleg om te checken of iedereen dezelfde informatie gebruikt.
- Evalueer na afloop je interne procedures en verwerkersovereenkomsten.
Voorbeeldzin
“Wij volgen de ontwikkelingen op de voet en informeren u als er nieuwe informatie is die voor u relevant is. Heeft u tussentijds vragen, dan kunt u altijd contact opnemen.”
7. Achtergrond en juridische kaders
Meldplicht
Een datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens als er waarschijnlijk risico bestaat voor de privacy van betrokkenen.
Bij een datalek in de eigen praktijk geldt die verplichting voor jou als praktijkhouder. Bij een datalek bij een verwerker (zoals een laboratorium of dermatoloog) ligt de meldplicht bij de verwerkingsverantwoordelijke.
Verwerkersovereenkomsten
Controleer of alle afspraken met leveranciers actueel zijn. In deze contracten staat hoe persoonsgegevens worden verwerkt, beveiligd en wat de meldplicht is bij incidenten.
DPIA
Een verplichte privacy-risicoanalyse bij nieuwe of risicovolle gegevensverwerkingen. Met een DPIA breng je in kaart:
- welke gegevens je verwerkt,
- welke risico’s er zijn voor patiënten,
- en welke maatregelen je neemt om die risico’s te verkleinen.
Zo toon je aan dat je de risico’s kent en beheerst.
Langetermijnmaatregelen
- Plan periodieke audits met leveranciers.
- Evalueer jaarlijks je datalekprocedure.
- Actualiseer waar nodig je verwerkersovereenkomsten en beleid voor informatiebeveiliging.
- Bespreek verbeterpunten in teamoverleggen.
Bekijk ook
Nieuws
Clinical Diagnostics (CD) gaat deze week huisartsen en daarna patiënten informeren die betrokken zijn bij het datalek van juli 2025.
[Update in bericht] Onlangs is het netwerk van laboratorium Clinical Diagnostics LCPL in Rijswijk (voorheen Eurofins) getroffen door een cyberaanval.
Patiëntendossiers, medewerkersgegevens, de financiële administratie, werkinstructies en contracten wil je vertrouwelijk houden. Door de 9 vragen van de Privacyscan in
Meer weten?
Heb je vragen over een mogelijk datalek in de huisartsenpraktijk? LHV-beleidsadviseur Christiaan Grigoleit helpt je graag verder.