Datalek bij Clinical Diagnostics onderstreept belang van tijdige beveiliging én melding
Het recente datalek bij laboratoriumbedrijf Clinical Diagnostics laat opnieuw pijnlijk zien hoe kwetsbaar organisaties zijn als het gaat om het beschermen van persoonsgegevens. Wat dit incident extra zorgwekkend maakt, is dat het datalek pas ruim een maand na ontdekking is gemeld bij de AP en dat is een forse overschrijding van de meldplicht volgens de Algemene Verordening Gegevensbescherming (AVG).
Wat is er gebeurd?
Bij een cyberaanval zijn gevoelige gegevens buitgemaakt van tienduizenden cliënten. Denk hierbij aan persoonsgegevens, medische data en mogelijk ook financiële informatie. De aanval vond eind juni 2025 plaats, maar de melding aan de Autoriteit Persoonsgegevens en de betrokken personen volgde pas in augustus 2025. In die tijd hadden kwaadwillenden vrij spel met zeer vertrouwelijke informatie, zonder dat slachtoffers hier zelf van op de hoogte waren.
Waarom is tijdig melden cruciaal?
De AVG stelt duidelijke regels: een datalek moet binnen 72 uur worden gemeld aan de toezichthouder, tenzij het zeer onwaarschijnlijk is dat het lek risico’s oplevert voor betrokkenen. Wordt ook de meldplicht aan de personen zelf (de betrokkenen) te laat nageleefd, dan kan dit leiden tot:
- Imagoschade en verlies van vertrouwen bij klanten;
- Boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet;
- Strafrechtelijke vervolging bij grove nalatigheid.
Maar bovenal: mensen kunnen zich niet beschermen tegen misbruik van hun gegevens als ze simpelweg niet weten dat er iets mee aan de hand is.
Wat zegt dit over de praktijk?
Bij veel organisaties zijn de technische maatregelen best goed geregeld. Maar wat vaak ontbreekt, is:
- Bewustzijn bij medewerkers over wat een datalek precies is;
- Kennis van interne meldprocedures;
- Voldoende voorbereiding op hoe te handelen bij een incident.
Een gebrek aan training en heldere instructies kan ervoor zorgen dat waardevolle tijd verloren gaat met grote gevolgen.
Training dient als eerste verdedigingslinie
Een incident als dit toont aan dat compliance geen papieren tijger is, maar een noodzaak in de dagelijkse praktijk. Medewerkers hoeven geen privacy-experts te zijn, maar ze moeten wél weten:
- Hoe ze risico’s herkennen (bijv. phishing, misconfiguraties, foutieve verzending);
- Wat ze moeten doen als er iets misgaat;
- Wie binnen de organisatie verantwoordelijk is voor opvolging.
Hoe willen ze hun 'gezond verstand' kunnen gebruiken als de kennis ontbreekt? Onze e-learnings op het gebied van AVG, informatiebeveiliging (IB) en de EU AI Act helpen organisaties om die bewustwording structureel te verbeteren.
Laat het geen leermoment achteraf zijn
Een datalek is nooit 100% te voorkomen, maar de schade ervan is sterk te beperken door:
- Tijdige signalering;
- Duidelijke interne procedures;
- En bovenal: goed getrainde medewerkers.
Wil je zeker weten dat jouw organisatie voldoet aan de meldplicht, én voorbereid is op incidenten?
Vraag vandaag nog een gratis demo aan van onze e-learnings en ontdek hoe je jouw organisatie veiliger maakt.
Meest gelezen
- Het verschil tussen een Functionaris Gegevensbescherming (FG) en een Privacy Officer (PO).
- Nieuwe regels vanaf 2023 voor AVG-boetes: wat je moet weten
- AVG e-learning: zorg dat je medewerkers op de hoogte zijn
- AVG training voor het vergroten van de bewustwording
- Welke informatie bevat het AVG verwerkingsregister?
Vragen? Stuur een appje. 
