Het medische laboratorium Clinical Diagnostics voerde bevolkingsonderzoeken uit voor grote groepen patiënten. Bij zulke onderzoeken vertrouwen mensen hun meest gevoelige gezondheidsgegevens toe aan het lab. Een hack trof het bevolkingsonderzoekslab. Daarna startte de Inspectie Gezondheidszorg en Jeugd (IGJ) een onderzoek. De IGJ stelde vast dat Clinical Diagnostics niet voldeed aan de wettelijke norm voor informatiebeveiliging. Ondanks die bevinding volgt er geen boete van de IGJ.
De IGJ heeft namelijk geen wettelijke bevoegdheid voor bestraffende maatregelen. De inspectie kan toezicht houden, aanwijzingen geven en verbeteringen eisen. Maar een financiële straf opleggen valt buiten haar takenpakket. Dit legt een zwak punt bloot in de handhaving van beveiligingsnormen in de zorg. Zorginstellingen die de regels niet naleven, lopen via de IGJ geen direct financieel risico.
De Autoriteit Persoonsgegevens (AP) voert ook een onderzoek uit naar Clinical Diagnostics. Anders dan de IGJ heeft de AP wél de bevoegdheid om boetes op te leggen. De AP handhaaft de Algemene Verordening Gegevensbescherming (AVG). Die wet biedt extra bescherming aan bijzondere persoonsgegevens, zoals medische dossiers en diagnoses. Bij een bewezen overtreding kan de AP een aanzienlijke boete opleggen. De AP heeft eerder zware boetes uitgedeeld aan organisaties die de privacywetgeving schonden.
De exacte omvang van de hack staat nog niet vast. Clinical Diagnostics werkt met grote groepen mensen, dus het aantal getroffen personen kan aanzienlijk zijn. De uitkomst van het AP-onderzoek bepaalt of het lab uiteindelijk alsnog een boete krijgt. Dat raakt iedereen die mogelijk medische gegevens bij het lab had staan.
