AP maakt de balans op: 5.500 gemelde datalekken in 2016

Ongeveer een jaar na het ingaan van de meldplicht datalekken op 1 januari 2016 heeft de Autoriteit Persoonsgegevens (‘AP’) een factsheet gepubliceerd met daarin een overzicht van de feiten en cijfers van 2016. Er zijn het afgelopen jaar bijna 5.500 datalekken gemeld aan de AP, waarvan bijna een derde afkomstig is uit de zorgsector. Dat maakt de zorgbranche met afstand de sector waarin het meest gemeld wordt.

Gegevens in verkeerde handen

Uit het overzicht van de AP blijkt dat het vooral gaat om datalekken waarbij gegevens per ongeluk bij iemand anders terecht zijn gekomen. Voorbeelden zijn een verkeerd bezorgde brief, een e-mail gericht aan de verkeerde ontvanger of het tonen van de verkeerde gegevens in een klantenportaal. Ook het kwijtraken van een USB-stick met persoonsgegevens of een gestolen laptop zijn veel voorkomende meldingen.

Gestolen laptops in het nieuws

Het afgelopen jaar haalden verschillende datalekken in de zorg het nieuws. Aan het begin van 2016 werd de nodige aandacht besteed aan een datalek in drie ziekenhuizen in het zuiden des lands (en België). Dit datalek ontstond doordat er gebruik werd gemaakt van een onbeveiligde webserver. In veel van de andere gevallen ging het om gestolen laptops uit een ziekenhuis. In oktober werd de laptop van een coassistent uit het Isala ziekenhuis gestolen en ook het VUmc en UMCG werden aan het einde van het jaar opgeschrikt met het nieuws dat er laptops met patiëntgegevens waren ontvreemd.

Bewustwording wordt groter

De AP lijkt niet verrast te zijn door het hoge aantal meldingen in de zorg. Er worden in deze sector nu eenmaal veel gegevens verwerkt en in de meeste gevallen gaat het daarbij om gevoelige gegevens, aldus de AP. Bovendien zou het hoge aantal meldingen in de zorg kunnen betekenen dat de bewustwording in de zorgsector groeiende is. Een ontwikkeling die de AP al hoopte te bereiken toen zij in februari 2016 een open brief aan zorginstellingen verstuurde, waarin de specifieke aandacht werd gevraagd voor bewustwording en beveiliging van patiëntgegevens.

Twee-factor authenticatie

In aansluiting op de open brief plaatste de AP onlangs ook een bericht op haar website dat veel ziekenhuizen de patiëntportalen onvoldoende beveiligen. Dit bericht haakt aan bij een door Nictiz verricht onderzoek, waaruit blijkt dat slechts een deel van de patiëntportalen in zorginstellingen wordt beveiligd door twee-factor authenticatie. Twee-factor authenticatie houdt in dat het portaal naast een inlognaam en wachtwoord moet worden beveiligd met een code die bijvoorbeeld per SMS kan worden ontvangen. De AP geeft aan dat zorginstellingen die hun patiëntportaal niet hebben ingericht op twee-factor authenticatie handelen in strijd met de wet en met handhavende maatregelen kunnen worden geconfronteerd.

Goed voornemen voor 2017

Dat de AP in haar nieuwsberichten veel aandacht besteed aan de privacy in de zorg doet een toekomstig streng(er) toezichtbeleid bij zorginstellingen vermoeden. Een goed voornemen voor alle zorginstellingen in het nieuwe jaar zou dan ook moeten zijn om de systemen zodanig in te richten dat datalekken worden voorkomen. Ook is het raadzaam om een protocol op te stellen op grond waarvan snel geacteerd kan worden bij mogelijke datalekken.

Datalek Quickscan

Twijfelt u of er sprake is van een datalek in uw zorginstelling of heeft u hulp nodig bij het inrichten van de systemen? Om de bewustwording rond het privacythema te vergroten en om te zorgen dat u weet wat u moet doen na de ontdekking van een datalek, heeft het Team Privacy van Kennedy Van der Laan de Datalek Quickscan ontwikkeld. Deze scan helpt u om na te gaan of er sprake is van een datalek en zo ja, wat u moet doen om er zeker van te zijn dat u tijdig de juiste acties onderneemt ten aanzien van de AP en betrokkenen. De scan is kosteloos online te gebruiken en laat snel zien wat u te doen staat.

Met dank aan Annelouk Luigies.

Comments are closed.