Nederlandse ziekenhuizen hebben sinds het begin van dit jaar 304 keer melding gemaakt van het verlies van privacygevoelige informatie. Dat komt gemiddeld neer op bijna één datalek per dag. Dat blijkt uit cijfers van de Autoriteit Persoonsgegevens (AP) die dagblad Trouw heeft opgevraagd.
Sinds 1 januari 2016 zijn organisaties die persoonsgegevens verwerken verplicht om de AP op de hoogte te stellen van datalekken. Ook het vermoeden van verlies van gegevens moet worden gemeld.
De privacywaakhond wil geen details geven over de aard en herkomst van de meldingen omdat ziekenhuizen dan traceerbaar worden. In het algemeen valt het de privacywaakhond op dat veel meldingen het gevolg zijn van onbeveiligde verbindingen en menselijke fouten.
De Nederlandse Vereniging van Ziekenhuizen, die door Trouw om een reactie is gevraagd, wil niet zeggen of het aantal van 304 meldingen reden is tot zorg. Een woordvoeder stelt dat het aantal nergens tegen kan worden afgezet omdat de meldplicht datalekken pas sinds begin 2016 bestaat. ‘Wel hebben wij het idee dat er een hoge mate van alertheid is bij ziekenhuizen. De bereidheid om te melden is groot. Dus ook als er twijfel is of een datalek wel onder de meldplicht valt.’
4700 meldingen
In totaal klopten organisaties sinds 1 januari zo’n 4700 keer aan bij de AP, omdat privégegevens mogelijk in handen van derden waren gevallen. Bijna een kwart kwam uit de zorgsector, waarvan dus ruim driehonderd van ziekenhuizen. Begin maart 2016 stond de teller nog op zevenhonderd meldingen.
De beveiligingstak van chipmaker Intel waarschuwde eind oktober 2016 nog dat cybercriminelen de afgelopen jaren hun ‘werkterrein’ hebben verlegd van financiële instellingen naar de medische sector.
Diefstal harde schijf
In maart van 2016 werd bekend dat patiëntgegevens van bijna achthonderd patiënten van het Antoni van Leeuwenhoek Ziekenhuis op straat was beland na de diefstal van een externe harde schijf met onderzoekdata. De details over het datalek kwamen in de openbaarheid doordat het ziekenhuis patiënten en hun nabestaanden informeerde.
Het is net als thuis. Als je ergens wilt inbreken dan lukt dat; als je maar voldoende tijd en energie er in steekt. Diefstal van data zal echter veel harder aangepakt moeten worden.
Verschil met thuis is wel dat je het kunt zien als er een koevoet is gebruikt om binnen te komen. Dat laat zichtbare schade aan. Stelen van data is vaak onzichtbaar. Dus het aantal incidenten moet nog veel groter zijn dan is aangemeld.
Dus laten we zorgen dat als er lekkage is er geen belangrijke data verloren gaat. De attentie in de wetgeving is er al; maar de aandacht bij de uitvoerders en consumenten nog niet.
Weiger bijvoorbeeld elke medewerking aan het opgeven van persoonlijke gegevens. Maar ja dan krijg je geen korting en geen zegeltjes… Persoonlijke gegevens zijn in veel gevallen dus een betaalmiddel geworden. Dan moet je ook niet klagen dat er van die data gebruik wordt gemaakt.
Denk ook heel goed na welke data je afgeeft bij wie.
.. Maar goed er staat ook al zoveel op facebook…