De overheid liet mijn persoonlijke gegevens in handen vallen van hackers maar ik mag het zelf uitzoeken

Opeens, zo plotseling, kwam de paniek opzetten. Full force. Toen de eerste berichten over dat vermaledijde datalek in de media verschijnen, was ik nog redelijk chill. Voorheen, als er een oproep voor het borstonderzoek, baarmoederhalskankeronderzoek en darmkankerscreening in de bus viel, meldde ik me meteen aan. Je kunt er niet vroeg genoeg bij zijn. Health care en geen sick care, luidt mijn motto. Bovendien hoe groot was de kans dat mijn gegevens op straat liggen? Hangt ervan af hoe groot het lek was en hoe ervaren de hackers waren….hoe crimineel. Rustig afwachten dus.

Maar hoe vreemd: na het eerste bericht in de media, volgde er een vette radiostilte. Kwam het doordat het komkommertijd was? Ja, als het zomer is in Nederland blijven de telefoons rinkelen en rinkelen, worden de e-mails niet beantwoord. Maar bij het Bevolkingsonderzoek Nederland waren ze toch all hands on deck? Die konden toch niet op vakantie met zo'n grote crisis op hun bord? Of had men er expres voor gekozen om de monden stijf dicht te houden? Slapende honden moet je rustig laten slapen is ook een communicatiestrategie.

Begin juli: ik besluit toch te bellen. Automatische telefoonbeantwoorder. We moeten afwachten. Ze komen zo gauw mogelijk op de zaken terug is de boodschap. Zo'n ellende en ze staan mij en de andere slachtoffers (want dat zijn wij) niet persoonlijk te woord. Maar er moet toch al meer bekend zijn? Ze hebben toch cyberconsultants laten invliegen?

12 augustus 2025. Een brief op de mat. Met daarin de officiële bevestiging dat mijn gegevens bij het datalek betrokken zijn.  Het gaat om de volgende gegevens: Naam. Adres. Woonplaats. Geboortedatum. BSN. Testuitslagen. Namen van zorgverleners en in sommige gevallen ook e-mails en telefoonnummers. Of mijn e-mail en telefoonnummers zijn uitgelekt is niet duidelijk. Een unheimisch gevoel kruipt vanuit mijn kleine teen omhoog.

Ik besluit om meteen te gaan bellen met de mensen van de rechtsbijstandsverzekering. Ik wilde niet meteen met advocaten op de proppen te komen, maar deze gasten daar bij Bevolkingsonderzoek Nederland beseffen niet hoe groot de ellende voor de slachtoffers is. Voor hen is het een gewone, normale, zomerdag: “het datalek heeft geen invloed op de uitslag die u heeft ontvangen of nog zal ontvangen (no shit!)….[en] als u vanaf nu meedoet aan het bevolkingsonderzoek baarmoederhalskanker is dat veilig want de uitstrijkjes gaan nu naar twee andere laboratoria waar wij mee samenwerken (poeh-poeh wat een geruststelling….)”.

En dan volgt een hoop goedkope bullshit: “blijf altijd alert op fraude...”

Oh, dus dat is mijn pakkie-an, om alert te zijn. Want ik ben degene die mijn computer niet update, niet investeer in goede antivirus software en allerlei instellingen zoals two-way-authentication niet in werking heb gezet? “[En].. het is mogelijk dat kwaadwillenden illegaal verkregen persoonsgegevens misbruiken… Daarom is het mogelijk dat u ALTIJD alert blijft op mogelijke fraude”. Dus als mijn gegevens worden misbruikt door cybercriminelen; als iemand een hypotheek aanvraagt op mijn naam dan is dat mijn verantwoordelijkheid en schuld want ik heb de welgemeende waarschuwingen van ene Elza van de Raad van Bestuur van Bevolkingsonderzoek Nederland in de wind geslagen?

“U kunt ons altijd bellen….. en we betreuren het ongemak….we doen alles om dit in de toekomst te voorkomen….”

De brief eindigt amicaal. “Met vriendelijke groet, Elza van de Raad van Bestuur….”

Wat een brief! Disclaimer op disclaimer. Een organisatie die zich juridisch aan het indekken is tegen mogelijke rechtszaken. Hoe durven ze! Met hun “er is niets aan de hand, dus gaat u maar rustig slapen” attitude. Ze weten immers zeker dat, zolang ik zelf alert ben, mijn gegevens niet aan een of andere criminele bende in Rusland, Nigeria of Vietnam via het dark web verkocht zal worden.

Cybercrime: criminelen die in een virtuele wereld opereren en om die reden ongrijpbaar en onbereikbaar zijn. Een sinistere wereld waar gewone mensen amper iets van snappen. En deze naïeve mensen die dat lek lieten gebeuren, die zeggen dat het allemaal wel mee valt?

Fuck them! Zij draaien nu niet op de voor de persoonlijke schade van de slachtoffers, want ze hebben immers alles gedaan wat ze konden om “ons slachtoffers te waarschuwen”. Ze dragen ook geen oplossingen aan met deze “voor ons is de kous-af brief”. Want zo'n brief is het.

Maar dit is toch een zeer ernstige zaak die om een andere aanpak vraagt? Het gaat in mijn specifieke geval om al mijn privégegevens. Ook gegevens waar men zo 1-2-3 niet aan denkt zoals foto’s en paspoortnummers. Ik ben chronisch ziek en ik moet me bij elk ziekenhuisbezoek identificeren. En daar wordt een kopie van de ID-kaart of paspoort door de zorgverleners gescand en toegevoegd aan het elektronische dossier. Overal laat je als patiënt gegevens achter. Bij de tandarts. De fysiotherapeut. De huisarts.  Als je dat niet doet word je niet geholpen. Een ander probleem is dat allerlei patiëntenbestanden tegenwoordig aan elkaar gekoppeld zijn. We werden haast gedwongen om toestemming geven voor die koppeling. Want dat kwam ons als zorgconsument ten goede, werd gezegd.

Zorgconsumenten. Een marktpartij. Onderdeel van het vraag- en aanbodmarktmechanisme. Ja. Zo worden wij met z'n allen, burgers van Nederland, behandeld door het ministerie van VWS, de zorgverzekeraars en de raden van bestuur van de ziekenhuizen en klinieken.

Marktwerking in de zorg. Winst maken over de ruggen van de zieke mens. En daarom wordt er beknibbeld op goede en gedegen automatiseringssystemen die wel bestand zijn tegen cybercriminelen kosten geld.

Wat men bijvoorbeeld niet vertelt is dat Bevolkingsonderzoek Nederland sinds enige tijd (na de coronapandemie) is geoutsourcet. Ze is een zelfstandige organisatie die in opdracht van het Ministerie van VWS bevolkingsonderzoeken uitvoert. Het huidige RIVM/CvB is verantwoordelijk voor de regie en de subsidieverlening lees ik op de website.  Een reorganisatie die in stilte werd uitgevoerd; onderdeel van een breder bezuinigingsplan van Rutte III of IV.

Er zijn mogelijk 1 miljoen slachtoffers, lees ik vandaag in het nieuws. En wat gaat men voor al deze slachtoffers doen? Helpen bij het aanvragen van een nieuw polisnummer bij de zorgverzekeraar? Betalen voor een nieuwe ID-kaart of een paspoort? De schade vergoeden, als er sprake is van schade? Maar er is toch al schade? Angst. Groot gevoel van onveiligheid. Mensen die zich niet meer mee zullen doen aan deze zo belangrijke -soms levensreddende- onderzoeken? En geef ze eens ongelijk.

Ik heb gebeld om te vragen wat de mogelijkheden waren. Ik werd rond-gepingpongd van de gemeente naar het Centraal Meldpunt Identiteitsfraude en terug. Ze werden boos toen ik protesteerde. Alsof ik gevraagd had om deze ellende. Maar nergens weten ze “wat” er precies moet gebeuren. Ze zeiden allemaal dat er niet zoveel aan de hand was… maar ik mocht ter geruststelling wel een nieuwe ID-kaart komen aanvragen, zei de jongeman van de gemeente sussend. Moet ik wel zelf betalen.

Een ding is zeker: het is vrijwel onmogelijk om nieuwe BSN-nummers aan al de slachtoffers te verstrekken. En juist het BSN -nummer in combinatie met alle andere gehackte gegevens, is goud waard.

Het ministerie van VWS, de minister, nu Robert Tieman, is verantwoordelijk voor dit echec en niet Elza van de Raad van Bestuur. Er is tot op heden geen enkel Kamerlid geweest dat een spoeddebat heeft aangevraagd, met de minister. Laat meneer Tieman, als verantwoordelijk bewindspersoon maar komen uitleggen wat er precies aan de hand is.

Formeel hoort een minister na zo'n debacle natuurlijk op te stappen…. maar, ja….