Autoriteit Persoonsgegevens: 304 meldingen datalekken door ziekenhuizen

Nederlandse ziekenhuizen melden elke dag datalekken. Dat kan gaan van een verloren usb-stick of harddrive, tot ernstige gevallen van cybercrime en inbraak in elektronische patiëntendossiers. Dat meldt dagblad Trouw, op basis van gegevens die door Autoriteit Persoonsgegevens zijn bevestigd. Nederlandse ziekenhuizen hebben sinds begin dit jaar 304 keer melding gemaakt van het verlies van privacygevoelige informatie.

Een aanpassing in de Wet bescherming persoonsgegevens (Wbp) legt sinds 1 januari van dit jaar een grotere druk op zorgaanbieders om datalekken te voorkomen door passende maatregelen te nemen. Sinds 1 januari zijn organisaties verplicht om de Autoriteit Persoonsgegevens (AP), de privacywaakhond in Nederand, direct op de hoogte te stellen van datalekken.

Ruim 1000 meldingen uit de zorgsector

Van de ruim 4700 meldingen die in 2016 binnenkwamen bij de AP, kwam bijna een kwart uit de zorgsector. Daarvan kwamen 300 meldingen van een datalek vanuit ziekenhuizen. Datalekken is een breed begrip: het gaat niet alleen om inbraak, maar ook om een verloren USB-stick, een onbewaakte computerterminal die open blijft staan voor onbevoegden, of een mailing die naar een groot aantal e-mailadressen gaat terwijl alle adressen voor iedereen zichtbaar zijn. Nog een voorbeeld: de onbeveiligde externe harde schijf die vorig jaar werd ontvreemd waarop gegevens van patiënten van het Antoni van Leeuwenhoek stonden.

In hoeveel gevallen de toezichthouder een onderzoek is gestart na een melding, is niet bekend. AP-woordvoerder Lisette Rutgers wil niet te diep ingaan op individuele meldingen in verband met mogelijke herleidbaarheid, maar zegt desgevraagd: “Lang niet altijd is een onderzoek nodig. Bij sommige meldingen vond de organisatie zelf al een oplossing, of volgde een telefonische opvolging na een melding. Over lopende onderzoeken kunnen we niets bekend maken.”

Rutgers: “De meldplicht datalekken bestaat relatief kort. We zien in alle sectoren, niet alleen in de zorg, meldingen die verschillend van aard zijn. Een frequente oorzaak van een datalek is een verloren laptop, telefoon of usb-stick. Je mag verwachten dat vertrouwelijke gegevens die op deze apparaten staan versleuteld zijn, als beveiliging bij verlies of diefstal, maar dat is vaak niet het geval. Het belang van adequate beveiliging is nog lang niet overal doorgedrongen.”

Onbeveiligde verbinding

Volgens de Autoriteit Persoonsgegevens zijn onbeveiligde verbindingen en menselijke fouten de belangrijkste oorzaken voor datalekken. “Bij onbeveiligde verbindingen kun je bijvoorbeeld denken aan elektronische herhaalrecepten. De verbinding waarlangs recepten aan een apotheek worden aangeboden dient volgens de wet versleuteld te zijn. Dit is een relatief goed op te lossen probleem”, aldus Rutgers. Een onderzoek van het College Bescherming Persoonsgegevens (zoals de AP destijds heette) uit 2013 toonde aan dat bij online herhaalrecepten bij ongeveer 30% van de steekproef geen gebruik wordt gemaakt van een beveiligde verbinding.

Nog geen boetes

Sommige gemelde datalekken zullen een relatief kleine schade of groep gedupeerden hebben, maar ook in de zorgsector zijn er ernstige gevallen van cybercriminaliteit. Rutgers geeft geen cijfers, maar bevestigt dat een percentage van alle gevallen die de AP binnen krijgt draait om grootschalige aanvallen op elektronisch systemen, malware en ransomware. Ransomware is een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te 'bevrijden'.

Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens de mogelijkheid om een onderzoek te starten naar datalekken én om een sanctie op te leggen aan organisaties die de wet overtreden. De onderzoeken lopen nog en er zijn dit jaar nog geen boetes uitgedeeld aan ziekenhuizen, aldus Rutgers.