© deepblue4you / Getty Images / iStock
Meldden organisaties uit het zorgdomein in 2024 ruim 12 duizend datalekken, daalde dat in 2025 naar ruim 7 duizend. Die forse daling staat in de datalekkenrapportage van de Autoriteit Persoonsgegevens (AP). Gevolg hiervan is dat de zorg niet langer kampioen datalekken is. Die negatieve titel gaat nu naar de sector Financiële dienstverlening (van zo’n 11 duizend naar 13 duizend meldingen), met op de tweede plaats openbaar bestuur (stabiel met circa 8 duizend meldingen). Dat de zorgsector nog in de top drie staat van het aantal datalekken, komt onder meer doordat de sector veel met privacygevoelige gegevens werkt en dus vaak verplicht is melding te maken als er wat misgaat.
Cyberaanvallen
De daling is te verklaren uit een scherp gedaald aantal datalekken veroorzaakt door een cyberaanval. Dat aantal is in 2025 met ruim vijfduizend meldingen gedaald ten opzichte van het jaar ervoor. Wel was 2025 het jaar van de grote datadiefstal bij Clinical Diagnostics, het lab dat onder meer bevolkingsonderzoek naar baarmoederhalskanker uitvoerde. Dat zorgde voor “onrust en concrete problemen in de maatschappij”, schrijft de AP. “Deelnemers aan het bevolkingsonderzoek maken zich serieuze zorgen over misbruik van hun persoonsgegevens. Ze twijfelen om in de toekomst nog deel te nemen aan een bevolkingsonderzoek.”
Gegevensdrager kwijt
Het aantal gevallen waarbij een organisatie per ongeluk zelf persoonsgegevens publiceerde, steeg in de zorg licht: van 120 naar 127 gevallen. In de categorie “gegevensdrager of papier kwijt” staat de zorgsector nog wel op de eerste plaats met 186 meldingen in 2025 (twee minder dan het jaar ervoor). Zo raakte zorginstelling Pluryn een usb-stick met de persoonsgegevens van alle cliënten van de afgelopen 25 jaar kwijt. Daar stond ook gevoelige informatie van werknemers op.
De usb-stick van Pluryn was niet beveiligd. “Organisaties die het gebruik van usb-sticks toestaan, moeten ervoor zorgen dat ze goed beveiligd zijn zodat niet iedereen toegang kan krijgen tot wat erop staat”, schrijft de AP in het rapport. “Als zo’n usb-stick dan kwijtraakt, is de kans op misbruik kleiner. Organisaties die usb-sticks verbieden, moeten werknemers bewust maken van de risico’s en veilige alternatieven aanbieden.”
AI en phishing
In algemene zin constateert de privacybeschermer in 2025 een aanzienlijke stijging van het aantal datalekken door phishing. AI geeft cybercriminelen hiervoor een krachtig wapen in handen en bovendien worden gestolen persoonsgegevens gebruikt voor een phishing-aanval. “Phishing is niet alleen een gevolg van een datalek, maar ook steeds vaker de oorzaak”, staat in de rapportage. De AP ziet bovendien het aantal gevallen waarbij een account van een medewerker wordt overgenomen meer dan verdubbelen. Dat gebeurt vaak via phishing en kan de opmaat zijn naar een grotere aanval.
ChipSoft-hack
Het AP-rapport is voor organisaties in de zorg ondanks de scherpe daling dan ook geen reden om tevreden achterover te leunen. De Autoriteit Persoonsgegevens hamert op het belang van goede cybersecurity. Bovendien betreft het cijfers over 2025. In de rapportage over het jaar 2026 zal de hack op epd-leverancier ChipSoft het beeld wellicht weer de andere kant op laten hellen.
De ChipSoft-hack: de zorg gegijzeld
Een maand geleden werd softewarebouwer ChipSoft getroffen door een aanval met ransomware. Dat had grote gevolgen voor de zorg. Wat is er precies gebeurd en welk beeld blijft over nu de rook is opgetrokken. Daarover gaan redacteuren Sytse Wilman en …

