Ziekenhuizen melden dagelijks een datalek

Ziekenhuizen melden elke dag een datalek

Nederlandse ziekenhuizen hebben sinds begin dit jaar 304 keer melding gemaakt van het verlies van privacygevoelige informatie. Dat komt neer op ongeveer één datalek per dag, blijkt uit cijfers van de Autoriteit Persoonsgegevens (AP).

In het kort:

  • Elke dag lekt wel een ziekenhuis persoonlijke gegevens
  • Volgens Autoriteit Persoonsgegevens komt dat vooral door onbeveiligde verbindingen en menselijke fouten
  • De ernst van de lekken is nog lastig in te schatten


Privacywaakhond

Sinds 1 januari zijn organisaties verplicht de privacywaakhond direct op de hoogte te stellen van ernstige datalekken. Bijvoorbeeld als het gaat om het verlies van grote hoeveelheden gegevens of zeer gevoelige informatie waar ziekenhuizen mee te maken hebben.

Details over de aard van de meldingen wil de Autoriteit Persoonsgegevens niet geven vanwege de mogelijke traceerbaarheid daarvan naar individuele ziekenhuizen. Meer in het algemeen valt het de privacywaakhond op dat veel meldingen het gevolg zijn van onbeveiligde verbindingen en menselijke fouten. Een zaak die eerder in de publiciteit kwam, was het verlies van een harddisk met onversleutelde gegevens van bijna 800 patiënten door een arts van het Amsterdamse Antoni van Leeuwenhoek Ziekenhuis.

In totaal klopten organisaties sinds 1 januari zo'n 4700 keer aan bij de AP, omdat privégegevens mogelijk in handen van derden waren gevallen. Bijna een kwart kwam uit de zorgsector, waarvan dus ruim 300 van ziekenhuizen.

Bereidheid om te melden
De Nederlandse Vereniging van Ziekenhuizen wil niet zeggen of dat aantal reden is tot zorg. Omdat de meldplicht datalekken pas sinds begin dit jaar bestaat, kan zij het aantal nergens tegen afzetten, aldus een woordvoerder. "Wel hebben wij het idee dat er een hoge mate van alertheid is bij ziekenhuizen. De bereidheid om te melden is groot. Dus ook als er twijfel is of een datalek wel onder de meldplicht valt."

'Er is een hoge mate van alertheid bij ziekenhuizen'

Er is sprake van een datalek als een hacker bijvoorbeeld toegang heeft gekregen tot gegevens. Maar ook het verlies van een usb-stick of harddisk, of een mailing die naar een groot aantal e-mailadressen gaat terwijl alle adressen voor iedereen zichtbaar zijn, kunnen onder de noemer datalek vallen. Wie een incident niet binnen 72 uur bij de AP meldt, kan een boete krijgen die kan oplopen tot 820.000 euro.

De plicht om fouten te rapporteren moet organisaties vooral stimuleren persoonsgegevens goed te beschermen. In sommige gevallen moet ook degene van wie informatie is gelekt worden gewaarschuwd. Want stel dat er burgerservicenummers op straat komen te liggen, dan kan dat identiteitsfraude tot gevolg hebben.

Women in Cybersecurity (WICS), een Nederlands netwerk van vrouwen die werkzaam zijn in de computerbeveiliging, deed de afgelopen tijd onderzoek naar de manier waarop ziekenhuizen met beveiliging omgaan. Wat hen opvalt is de slordigheid waarmee medewerkers met inloggegevens omgaan. Maar ook verouderde software en apparatuur maken ziekenhuizen kwetsbare doelwitten voor hackers, aldus WICS. Soms zijn de systemen zo verouderd dat updates niet meer mogelijk zijn.

Wat kun je met patiëntgegevens?
Een melding van een datalek bij de privacywaakhond hoeft niet te betekenen dat die gegevens ook worden misbruikt. Toch ziet ethisch hacker Victor Gevers dat geregeld patiëntgegevens worden aangeboden op online zwarte markten. "Wat er precies met de gegevens gebeurt, is lastig vast te stellen. Criminelen gebruiken ze om iemand af te persen. Maar denk ook aan databoeren die het niet zo nauw nemen met privacy en de gegevens verkopen aan bedrijven die profielen maken om klanten zo direct mogelijk te kunnen benaderen." Het verlies van medische gegevens is ook een gevoelskwestie: het idee dat iemand anders zeer persoonlijke informatie kan bekijken.

Door: Trouw.nl