Rechtszaak Honderdduizend vrouwen van wie privégegevens werden gestolen bij een hack van het lab dat hun uitstrijkjes onderzocht, hebben zich georganiseerd voor een collectieve claim. Hun advocaten onderzoeken of die data voldoende zijn beschermd.
Een zelfafnameset voor onderzoek naar baarmoederhalskanker.
Dit najaar hebben 555 vrouwen melding gemaakt van identiteitsfraude nadat hun gegevens waren gestolen bij het datalek bij het lab Clinical Diagnostics. Hun meldingen, bijvoorbeeld over rare telefoontjes of verdachte e-mails, zijn gedaan bij het Centraal Meldpunt Identiteitsfraude van de rijksoverheid.
Clinical Diagnostics was ingehuurd voor analyse van een derde van alle uitstrijkjes van vrouwen die deelnamen aan het Bevolkingsonderzoek Baarmoederhalskanker. Op 11 augustus werd bekend dat hackers BSN-nummers, labuitslagen en andere privégegevens van ruim 941.000 mensen hadden gestolen via dat lab in Rijswijk. Daar zaten ook medische gegevens bij die waren geleverd door enkele huisartsenpraktijken, Bergman Clinics en de Dienst Justitiële Instellingen.
Bevolkingsonderzoek Nederland doet sindsdien geen zaken meer met Clinical Diagnostics. Auto’s met tests die onderweg waren naar het lab zijn volgens een woordvoerder op 11 augustus van route veranderd en naar andere labs gereden.
Intussen bereidt de Stichting voor Collectieve Consumentenbelangen (VCC) met enkele advocaten een massaclaim voor. Zeker 100.000 vrouwen hebben zich aangesloten. De stichting heeft informatie opgevraagd bij vier organisaties: Clinical Diagnostics, haar klant Bevolkingsonderzoek Nederland en opdrachtgevers RIVM en het ministerie van Volksgezondheid (VWS). De Stichting VCC wil weten wat deze partijen afgelopen jaren deden om de privégegevens te beschermen. Hebben zij te weinig gedaan, dan kunnen ze aansprakelijk zijn voor immateriële schade van gedupeerden – ofwel stress, angst en onmacht, zegt betrokken advocaat Eric aan de Stegge.
Sandra Huiskes uit Oldenzaal heeft zich als gedupeerde aangesloten bij de massaclaim. Zij kreeg half augustus een brief van Bevolkingsonderzoek Nederland waarin stond dat hackers haar adres, BSN-nummer en labuitslagen hadden gestolen. Vervolgens kreeg ze korte tijd een „hausse aan gekke telefoontjes”, die ze wegdrukte. „Mijn huisarts begrijpt niet hoe mijn gegevens bij dat lab belandden, want hij doet er geen zaken mee. Niemand heeft daar tot nu toe antwoord op. Ik gaf mijn gegevens in vertrouwen af toen ik een uitstrijkje liet doen en die gegevens belandden op het dark web, waar ze verhandeld worden.”
Kan vergoeding van ‘immateriële schade’ door privacyschending collectief worden geclaimd? Ja, blijkt uit het arrest van het Amsterdamse hof op 7 oktober in de massaclaim tegen TikTok. Volgens Eric aan de Stegge, partner bij DHKV advocaten, is die beslissing cruciaal en geeft ze Stichting VCC mogelijkheden om organisaties aansprakelijk te stellen als data er niet voldoende beschermd blijken te zijn.
Als de claim wordt toegewezen, zegt hij, zal het in Nederland de grootste tot nu toe zijn voor privacyschending door een datalek. Komende week komt een portal online waarin gedupeerden kunnen vertellen welke last zij hebben gehad van de hack. En ze kunnen er documenten achterlaten die kunnen dienen als bewijs.
Ook het Openbaar Ministerie, de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd doen onderzoek naar het lek.
Voor het eerste onderzoek naar de vier partijen is een financier gevonden. De Stichting onderhandelt met andere financiers voor het tweede deel, als ze echt naar de rechter gaat. Voorzitter Luuk Krijnen: „Zo’n zaak kost tijd en geld, dus je hebt een financier nodig. Wij hebben als stichting geen inkomsten.” Zulke financiers krijgen voor het risico dat ze nemen een deel van het eventueel toegekende bedrag.
Een andere betrokken advocaat, Michaël Dol van advocatenkantoor Van Diepen Van der Kroeff, verwacht dat de claim kan uitlopen op 250 tot 2.500 euro per persoon. Gezien het grote aantal gedupeerden – in theorie 941.000 – kan dat om veel geld gaan.
Het Franse moederbedrijf van Clinical Diagnostics, Eurofins, reageert niet op vragen van NRC over het datalek in Nederland. Het beursgenoteerde concern, met ruim 950 laboratoria wereldwijd, heeft ook bij de presentatie van de kwartaalcijfers vorige week, in een uitgebreid persbericht, geen woord gewijd aan de hack in Rijswijk.
De vraag is of het concern beleggers ervan kan overtuigen dat alles goed gaat. Op de Franse beurs doet het aandeel het sinds het uitbreken van het schandaal slechter dan de markt. De koers van Eurofins daalde sinds 11 augustus met 6 procent, terwijl de veertig belangrijkste bedrijven in Parijs 7 procent in waarde stegen.
Eurofins ligt sinds vorig jaar ook onder vuur van een speculatief beleggingsfonds, het Amerikaanse Muddy Waters. Dat verdient zijn geld door misstanden aan te tonen bij bedrijven en met die kennis te speculeren op koersdaling. „Wij doen het werk dat Wall Street nalaat”, is de slogan van het fonds dat beweert dat Eurofins met zijn cijfers knoeit.
Muddy Waters heeft al vaker gesjoemel aangetoond. Op 24 juni 2024 opende het een aanval op de Franse laboratoriumketen. Het fonds publiceerde een vernietigend rapport over Eurofins, waarin dat bedrijf werd beschuldigd van malversaties en gemanipuleerde winstcijfers. Het aandeel daalde hierop met 25 procent.
De Amerikaanse speculant beweert dat Eurofins verdacht veel kleine overnames doet, veel te klein voor zo’n groot bedrijf. Daarbij komen de panden van de gekochte laboratoria telkens bij oprichter Gilles Martin terecht, die de gebouwen vervolgens tegen ongebruikelijk hoge tarieven aan het bedrijf verhuurt. Aandeelhouders en bedrijf zouden worden benadeeld door deze praktijken.
Muddy Waters neemt altijd eerst een speculatieve positie in en publiceert dan zijn beleggingsanalyses, waarbij het fonds tegelijk bekendmaakt short te zijn gegaan. Door bijvoorbeeld aandelen te lenen, die te verkopen en later terug te kopen, kan een speculant geld verdienen aan een koersdaling.
Eurofins ontkent alle aantijgingen van Muddy Waters, maar heeft voor zover bekend nooit juridische stappen tegen de speculant ondernomen.
De wet Wamca, die in Nederland de basis is voor massaclaims, is vrij jong en nog niet ‘uitgevochten’ tot een door de rechter toegekende schadevergoeding. Advocaat Aan de Stegge: „In de praktijk werkt de wet vooralsnog als breekijzer voor een schikking. Dit gebeurt vaak nadat de rechter de aansprakelijkheid heeft vastgesteld.”
Een voorbeeld is volgens hem de Dieselgate-zaak. Nadat de rechtbank daarin in 2021 de aansprakelijkheid van Volkswagen vaststelde, heeft de uitspraak als hefboom gewerkt. Dit resulteerde in september 2025 in een schikking. Gedupeerde (ex-)eigenaren van ‘sjoemeldiesels’ (VW, Audi, Seat en Škoda) krijgen nu een vergoeding tot 2.500 euro.
NIEUW: Geef dit artikel cadeauAls NRC-abonnee kun je elke maand 10 artikelen cadeau geven aan iemand zonder NRC-abonnement. De ontvanger kan het artikel direct lezen, zonder betaalmuur.
Een overzicht van de verhalen die de economieredactie vandaag heeft gemaakt
Source: NRC