Inloggen

Datalekken in de zorgsector: wat te doen bij een datalek?

19 november 2019 - De meeste datalekmeldingen bij de Autoriteit Persoonsgegevens zijn afkomstig uit de zorgsector, met name uit ziekenhuizen en apotheken. Welke soorten datalekken hebben de meeste impact, en wat kunt u hiertegen doen? 

Onlangs deed de Autoriteit Persoonsgegevens (AP) opnieuw onderzoek naar datalekmeldingen. Zorginstellingen verwerken grote hoeveelheden gevoelige (medische) persoonsgegevens. Hierdoor levert een datalek eerder een risico op voor de betrokkenen. Een ernstig datalek moet u binnen 72 uur melden aan de AP. 

Verkeerde ontvanger

In 63 procent van de meldingen in de zorgsector gaat het om het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Vormt de ‘verkeerde verzending’ een risico voor degene wiens gegevens zijn gedeeld? Dan is het verplicht dit officieel bij de AP te melden. In de meeste gevallen zult u ook de betrokken patiënten of personeelsleden moeten inlichten. 

Bij een te late melding, of wanneer u geen melding maakt, kunt u een boete van de AP krijgen. Dat geldt ook bij onvoldoende maatregelen om onrechtmatige inzage van gegevens (zoals een patiëntendossier) te voorkomen.

Meld sowieso élk incident in uw interne datalekkenregister. Aan de hand van deze documentatie kan de AP controleren of u aan de meldplicht hebt voldaan. 

                           TIP

Het risico dat een verkeerde ontvanger inzage krijgt in gevoelige persoonsgegevens wordt kleiner als deze in een versleutelde bijlage worden meegestuurd. Een extra check vóór verzending helpt natuurlijk ook.
Zet de mogelijkheid binnen uw mailbox uit dat een ontvanger automatisch wordt ingevuld.

                             

Meestal één persoon betrokken

In de ruime meerderheid van de gevallen raakt het datalek één persoon (58%), zoals vaak in bovenstaand voorbeeld (verkeerde ontvanger). In 1,6 procent van de gevallen treft het datalek een zeer groot aantal betrokkenen. Datalekken die 5.000 of meer personen raken, worden vaak veroorzaakt door hacking, malware en/of phishing.

Hacking, malware of phishing

  • Hacking: het ongeoorloofd binnendringen in een computersysteem. Met de inbraak is meestal kwade opzet gemoeid.
  • Malware: kwaadaardige software zoals ransomeware, waarbij de hackers geld vragen voor de gestolen of geblokkeerde informatie. Een voorbeeld:
    Ransomware bij tandartsenpraktijk
    Bij een tandarts vindt een ransomware-aanval op de hoofdserver plaats. Door de hackaanval zijn alle gegevens op de server versleuteld en (dus) niet meer benaderbaar. Op de computer stonden persoonsgegevens van alle patiënten en medewerkers van de praktijk, waaronder gegevens over de  behandeling en Burgerservicenummers (BSN) van de patiënten. De tandarts beschikte nog over een back-up van de gegevens. Ransomware kan er echter ook voor zorgen dat gegevens worden gekopieerd en verstuurd. Op advies van een extern bureau en de AP besluit de tandarts zijn patiënten alsnog over het datalek te informeren.
  • Phishing: de crimineel 'hengelt' naar informatie (inloggegevens, pincodes, et cetera) door zich voor te doen als een betrouwbare partij, zoals een bank. Een voorbeeld:
    Phishing bij ziekenhuis
    In het AP-rapport staat een voorbeeld van een ziekenhuis waarvan diverse medewerkers op een phishing-mail klikten en daarna hun inlognaam en wachtwoord invulden. Zo kregen hackers toegang tot de e-mailaccounts van de betreffende medewerkers, en werden via deze accounts grote hoeveelheden vergelijkbare phishing e-mails verstuurd. Bovendien konden de hackers mail inzien met patiënteninformatie. Het ziekenhuis informeert uiteindelijk de betrokken patiënten. Ook worden extra maatregelen ingezet om nieuwe phishing-aanvallen te voorkomen, dan wel de schade hiervan te beperken.
Vier procent van de meldingen die de AP ontving, gingen over hacking, malware of phishing, waarvan 13 procent afkomstig uit de zorgsector. Kleinere gezondheids- en welzijnsorganisaties hebben hier vaker mee te maken (24%), net als maatschappelijke dienstverlening (15%) en tandartsen (6%). Deze groep heeft vaak minder kennis over informatiebeveiliging en ICT, en minder financiële middelen tot z’n beschikking voor passende beveiligingsmaatregelen. 

De impact bij een datalek door hacking, malware en/of phishing is doorgaans groot. Wanneer malware de systemen binnendringt, kan dat grote schade tot gevolg hebben, met name wanneer recente beschikbare back-ups ontbreken.

                           TIP

Maatregelen waarmee u het risico op een datalek als malware verkleint:
  • Installeer software-updates op tijd
  • Gebruik geen verouderde (netwerk)protocollen
  • Zorg voor gesegmenteerde (gescheiden) computernetwerken en -systemen
  • Maak regelmatig back-ups op een externe schijf en koppel deze los van uw computer zodat u altijd beschikking hebt tot de persoonsgegevens.
                             












Cyber en Data Risks verzekering

VvAA biedt een Cyber en Data Risks verzekering waarbij een team van deskundigen voor u klaarstaat wanneer u een datalek wilt voorkomen of onverhoopt meemaakt. Bij verlies van gegevens onderzoeken ze het incident en ondersteunen ze bij het herstel van data. Kosten hiervoor kunnen gewoonlijk behoorlijk oplopen; de verzekering biedt hier dekking voor. Net als voor een onverhoopte boete die u van de Autoriteit Persoonsgegevens krijgt. Daarnaast krijgt u juridische hulp in geval van schadeclaims. Ook helpen ze bij melding aan betrokkenen. In geval van cyberafpersing kan een crisismanagementteam worden ingezet. Losgeld valt ook onder de dekking.
Op de pagina van de Cyber en Data Risks verzekering leest u hier meer over.
Share op Whatsapp Share op Facebook Share op Twitter Share op LinkedIn Stuur via email
Datalek