Is de gezondheidszorg kwetsbaarder voor interne datalekken dan aanvallen van buitenaf? De gezondheidszorg is de enige sector waar het gevaar van datalekken en andere digitale bedreigingen van binnenuit groter is dan van buitenaf concludeert Verizon Communications na een internationaal onderzoek naar digitale bedreigingen. In totaal vindt 56 % van de digitale incidenten plaats van binnenuit. Datalekken betreffen in de meeste gevallen (79%) medische informatie, gevolgd door persoonsinformatie (37%). In een kwart (24 %) van de gevallen gaat het om misbruik door medewerkers. Daarbij misbruiken werknemers hun rechten om ongeoorloofd in systemen en gegevens te kijken. Het motief is vaak nieuwsgierig-heid, bijvoorbeeld naar het dossier van een bekende van de zorgprofessional of naar een beroemde patiënt.

Deze week kwam naar buiten dat medewerkers van het Haga-ziekenhuis in Den Haag mogelijk ongeoorloofd in het dossier van Samantha de Jong, ook wel bekend als Barbie, hebben gekeken. De ziekenhuis en de Nederlandse privacywaakhond onderzoeken de zaak. In 35% van de gevallen vindt een datalek plaats na een menselijke fout. Het gaat dan vaak om gevoelige informatie die aan de verkeerde persoon wordt verstrekt. In de gezondheidssector onderzocht Verizon in totaal 750 digitale incidenten. In ruim twee derde daarvan (536 gevallen) ging het om een datalek.

Menselijke fouten

Uitzendbureau Adecco heeft op 29 maart per ongeluk de jaaropgaven van al zijn vaste medewerkers naar één persoon verstuurd. Een medewerker van het uitzendconcern verstuurde de jaaropgaven van alle 734 Nederlandse medewerkers naar een voormalig collega die om zijn persoonlijke document vroeg. Daarbij zijn geen gegevens van uitzendkrachten verstuurd. Naast informatie over het ontvangen loon bevatten jaaropgaven ook andere privacygevoelige gegevens, zoals namen, adressen, geboortedatums en burgerservicenummers. De voormalig medewerker die de bestanden heeft ontvangen, stelde Adecco daar zelf van op de hoogte. Volgens het bedrijf heeft deze persoon de gegevens direct ver-wijderd. Adecco heeft de jaaropgaven inmiddels beveiligd met een wachtwoord.

Daarnaast heeft het uitzendconcern de Autoriteit Persoonsgegevens van het incident op de hoogte gebracht. Organisaties zijn sinds 2016 verplicht om een datalek bij de privacywaakhond te melden. De medewerkers van het bedrijf zijn per e-mail geïnformeerd.

De Autoriteit Persoonsgegevens (AP)

De AP krijgt een stijgend aantal meldingen van datalekken. In de eerste negen maanden van 2017 kreeg AP 7436 meldingen dat persoonlijke informatie in verkeerde handen was gekomen. Dat komt neer op zo’n dertig meldingen per dag, ongeveer twee keer zo veel als in dezelfde maanden in 2016. De privacywaakhond weet niet of de stijging van het aantal meldingen ook betekent dat het aantal datalekken zelf is toegenomen. “Er zijn ook lekken die niet gemeld worden. Dat is veel ernstiger, maar we weten niet hoeveel dat er zijn. We gaan er meer aandacht aan besteden dat mensen echt moeten melden. Het kan niet zo zijn dat organisaties die een lek wel melden een zondebok worden en organisaties die het niet melden ermee wegkomen”, aldus de Autoriteit.

Niet melden

De meldingen die AP krijgt, kunnen sterk in omvang verschillen. Zo kan een melding gaan over de uitgelekte gegevens van één persoon, maar ook over de Uber-hack waarbij gegevens van zeker 174.000 Nederlanders uitlekte. De Autoriteit kan bij ernstige lekken een hoge boete opleggen, maar tot nu toe zijn er alleen waarschuwingen gegeven. ”Een boete is niet het doel, maar een middel. Als het wordt opgelost in het stadium van waarschuwingen, is er geen reden voor boetes”, zegt een woordvoerster.

Het aantal gemelde hacks is vrij laag.

In 6% van de gevallen lekt informatie uit doordat iemand binnendringt in de computersystemen van een bedrijf of organisatie. Meestal gaat het mis wanneer iemand persoonsgegevens per ongeluk naar de verkeerde ontvanger stuurt. De meeste lekken treffen de sectoren gezondheid en welzijn, openbaar bestuur en financiële dienstverlening. De gegevens die naar buiten komen, zijn vooral naam, adres, woonplaats, geslacht, geboortedatum en leeftijd. Hoewel er een meldplicht voor datalekken bestaat, worden veel lekken toch onder de pet gehouden. Bedrijven vrezen voor reputatieschade wanneer bekend wordt dat zij mogelijk onveilig zijn omgegaan met de gegevens van klanten. Dat gebeurde ook bij de grote Uber-hack, die eind 2016 al bekend was bij de top van het bedrijf maar bewust werd verzwegen.

Masterclass AVG op 23 mei voor zorgprofessionals

Per 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. De oude Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten; meer verantwoordelijkheden voor organisaties; en stevige bevoegdheden voor privacytoezichthouders om boetes op te leggen. Jouw administratie moet daarom voldoen aan die nieuwe privacywet. Doel van de wet is de privacy van personen nog beter te beschermen. Zorg dat je privacy-compliant bent. In de masterclass helpen wij je om het vertrouwen van jouw zorgconsumenten en jouw medewerkers te behouden en je reputatie te beschermen. Informatie over de privacywetgeving is sterk praktisch gericht en wordt door VvAA juristen behandeld. Wij kunnen ons niet voorstellen dat er een organisatie bestaat die niet “aan de bak” zal moeten. Klein of groot kan verschil uitmaken wat betreft het uitvoeren van maatregels die de AVG voorschrijft. Voor ieder geldt dat privacy hoog op jouw agenda moet komen te staan en dat je het daar nooit meer van af haalt!

Schrijf je dus in voor de gratis masterclass van de VvAA Business School op 23 mei in Slot Zeist om 19.00 uur.

Bronnen: NU.nl, mediacourant.nl, vulture.com, Verizon Communications, Adecco, AP, Trouw en VvAA Business School.