Uit cijfers van de Autoriteit Persoonsgegevens (AP) bleek dat de zorgsector de afgelopen jaren geplaagd wordt door datalekken. Met de recente diefstal bij de GGD is er nu veel aandacht voor datalekken in de sector. Hoe herken je een datalek, welke praktische stappen neem je om het risico op een datalek te verkleinen en hoe reageer je als organisatie op een lek?
In 2019 kreeg het HagaZiekenhuis in Den Haag een boete van een klein half miljoen euro opgelegd, omdat tientallen medewerkers het digitale patiëntendossier van een bekende Nederlander illegaal inzagen. Volgens het laatste jaarverslag van de AP is het aantal (gemelde) datalekken in 2019 met bijna dertig procent gestegen tot maar liefst 27.000. Het rapport laat zien dat de zorg het op één na hoogste aantal meldingen van datalekken had, vergelijkbaar met voorgaande jaren. De meeste (gemelde) datalekken ontstonden doordat persoonsgegevens naar de verkeerde ontvanger zijn gestuurd.
Soorten datalekken
Om een datalek te herkennen, moeten we eerst weten wat een datalek is. Datalekken kennen allerlei verschijningsvormen:
- Datalekken die een ‘inbreuk op de vertrouwelijkheid’ veroorzaken, als gegevens in handen komen van een onbevoegd persoon. Dit is bijvoorbeeld het geval als een e-mail met persoonsgegevens naar de verkeerde ontvanger wordt gestuurd.
- Datalekken die een ‘inbreuk op de integriteit’ veroorzaken, als gegevens (onbedoeld) zijn aangepast of niet meer volledig zijn. Dit kan bijvoorbeeld het (onbedoeld) kopiëren van persoonsgegevens zijn.
- Datalekken die een ‘inbreuk op de beschikbaarheid’ veroorzaken. Deze komen voor als data (onbedoeld) niet meer bestaat of als de data niet meer onder controle is omdat toegang niet mogelijk is. Hierbij kan het gaan om het (per ongeluk) wissen van persoonsgegevens.
Uit dit overzicht blijkt dat een datalek verre van beperkt blijft tot foutief verzonden e-mails of gehackte systemen. Datalekken doen zich op tal van manieren voor. Het is met name belangrijk om een datalek tijdig te herkennen, zodat er actie te ondernemen is.
Wat moet je doen na een datalek?
Nadat een lek is geconstateerd, is het van belang schadebeperkende maatregelen te nemen. Als er bijvoorbeeld een laptop met persoonsgegevens is verloren, is het wellicht mogelijk gegevens op afstand te verwijderen. Daarnaast moet het datalek meestal worden gemeld bij de Autoriteit Persoonsgegevens en in bepaalde gevallen ook bij de betrokken partijen. Meer precies: een datalek moet binnen 72 uur na ontdekking van de inbreuk aan de AP worden gemeld, tenzij de inbreuk geen risico inhoudt voor de ‘rechten en vrijheden’ van de betrokken personen.
Het kan moeilijk zijn om in te schatten of er sprake is van een dergelijk (hoog) risico. De Europees Comité voor gegevensbescherming (EDPB)-richtlijn ‘Meldingsplicht voor inbreuken persoonsgegevens’ kan hierbij helpen. Zo hoeft een datalek waarbij gegevens naar de verkeerde ontvanger worden gestuurd, niet altijd gemeld te worden als het een ‘betrouwbare ontvanger’ betreft. Dit kunnen bijvoorbeeld artsen zijn die aan het beroepsgeheim zijn gebonden.
De AP vermeldt in dit verband: “Gezondheidsgegevens vormen over het algemeen zeer gevoelige informatie. Als dit soort gegevens wordt ingezien door onbevoegden, is het risico voor de betrokkenen doorgaans groot, zelfs als de verkeerde ontvanger deze gegevens vernietigt of retourneert nadat deze is bekeken. Dit komt doordat er al een grote inbreuk op de privacy van de betrokkene heeft plaatsgevonden. Datalekken met burgerservicenummers zijn doorgaans ook risicovol, vooral als er ook aanvullende persoonsgegevens zijn gelekt. Deze nummers worden veel gebruikt in de zorg, aangezien de patiënt moet worden geïdentificeerd voordat zorg wordt verleend. Als het burgerservicenummer, in combinatie met andere persoonsgegevens, in handen komt van onbevoegden, lopen de betrokkenen risico slachtoffer te worden van (identiteits)fraude.”
Uitgangspunt is dan ook dat datalekken moeten worden gemeld bij de AP. Daarnaast moet een datalek altijd worden geregistreerd in het register datalekken. Dit is ook het geval als het datalek niet hoeft te worden gemeld bij de AP en/of de betrokken partijen.
Hoe verklein je het risico op een datalek?
Er zijn verschillende maatregelen te nemen om het risico op een datalek te verkleinen. Bewustwording binnen de organisatie is hierbij essentieel. Deze inzichten helpen het risico van de meest voorkomende soorten datalekken te verkleinen:
Door menselijke fouten kunnen medische gegevens naar de verkeerde ontvanger worden gestuurd, bijvoorbeeld door een typefout in het e-mailadres of het klikken op de verkeerde ontvanger.
1. Dit kan worden voorkomen door ervoor te kiezen de gevoelige gegevens als bijlage bij het e-mailbericht te voegen en deze bijlage te versleutelen met een wachtwoord;
2. Dit wachtwoord kan vervolgens via een apart kanaal aan de ontvanger worden doorgegeven, bijvoorbeeld door te bellen of een sms te sturen;
3. Ook kun je je afvragen of e-mail het juiste digitale communicatiemiddel is voor het versturen van dit soort gevoelige data en denken aan het organiseren van communicatie via een portal of tooling.
Gevoelige papieren dossiers zoals medische dossiers, zorgdossiers en rapporten over behandeltrajecten worden soms mee naar huis genomen, bijvoorbeeld in het kader van thuiswerken vanwege corona. Bestanden worden per ongeluk verloren, vergeten in de tram of soms zelfs gestolen.
4. Voorkom dit door nooit gevoelige papieren medische dossiers mee naar huis te nemen;
5. Scan de bestanden op kantoor en bewaar ze op een veilige (versleutelde) harde schijf, usb-stick of in een beveiligd documentbeheersysteem binnen het it-netwerk van de organisatie. In het laatste geval heeft de gebruiker vervolgens vanuit huis toegang tot de bestanden wanneer hij inlogt op de beveiligde netwerkomgeving.
Zorginstellingen slaan digitale medische gegevens van patiënten soms lokaal op draagbare apparaten zoals tablets, smartphones, laptops of usb-sticks op. Net als papieren dossiers nemen medewerkers deze informatiedragers soms mee naar huis.
6. Zorg ervoor dat bij gebruik van draagbare apparaten deze persoonsgegevens altijd versleuteld opgeslagen worden. Dit beperkt de risico’s voor de betrokken personen bij verlies of diefstal van het draagbare apparaat.
Zorginstellingen, met name ziekenhuizen, zijn vaak het doelwit van phishing-aanvallen. Hierdoor kan een hacker toegang krijgen tot het account van een medewerker. Hackers maken dan vaak misbruik van het account om nieuwe phishing- of spamberichten te verzenden. Dit kan leiden tot nieuwe inbreuken en (financiële) schade voor betrokkenen.
7. Verminder het risico op phishing-aanvallen door uw medewerkers bewust te maken van phishing;
8. Zorg ervoor dat medewerkers phishing-e-mails kunnen herkennen;
9. Installeer goede firewalls en update deze regelmatig, zodat ongewenste e-mails, zoals spam- en phishing-berichten, tot een minimum worden beperkt.
Met name kleinere zorginstellingen en zorgaanbieders zoals fysiotherapeuten en huisartsen worden regelmatig getroffen door ransomware. Dit komt vaak door onvoldoende (kennis van) beveiliging. Als gevolg van ransomware kunnen de gegevens op het systeem in handen vallen van hackers en kan de zorgverlener de toegang tot de gegevens permanent of tijdelijk verliezen. Maatregelen om het risico op een datalek door ransomware te verkleinen zijn:
10. Installeer software-updates op tijd;
11. Gebruik geen verouderde (netwerk)protocollen;
12. Zorg voor gesegmenteerde (gescheiden) computernetwerken en systemen;
13. Maak regelmatig backups zodat er altijd toegang is tot de persoonlijke gegevens, zelfs in het geval van een ransomware-aanval.
Vergroot het bewustzijn
Een datalek kan sneller gebeuren dan je denkt. Het is daarom belangrijk om goed voorbereid te zijn. Met name voor de zorgsector, waar op grote schaal zeer gevoelige persoonsgegevens worden verwerkt, is het cruciaal risico’s te verkleinen. Als de inbreuk toch plaatsvindt, is het zaak de impact van het datalek zoveel mogelijk te beperken. Gecompromitteerde gevoelige patiëntgegevens hebben niet alleen gevolgen voor de betrokkene, maar ook voor het vertrouwen van de patiënt en de reputatie van de organisatie. Het is daarom van belang om het bewustzijn van het belang van dataprivacy in de hele organisatie te vergroten. Medewerkers op elk niveau moeten weten wat een datalek is en er alert op zijn. Ze moeten weten wat ze moeten doen als er zich een voordoet en over alle benodigde tools beschikken. Zo kunnen ze blijven doen waar ze goed in zijn: zorg bieden.
Het voorbeeld van Haga ziekenhuis (e.a.) gaat om interne nieuwsgierigheid die gefaciliteerd werd door systemen die te uitgebreide ‘exportfuncties’ hebben zonder goede audit op de rechtmatigheid van inzage. Een intern probleem waarover niks gezegd wordt in de 13 punten terwijl recentelijk nog een andere organisatie hiervoor door het stof moest. Het belang van goede authenticatie en logfiles wordt nog eens extra uitgedrukt met een wettelijke bewaartermijn van minimaal 5 jaar:
https://wetten.overheid.nl/BWBR0042391/2019-09-01