De meeste meldingen van datalekken afkomstig uit de zorg

Voor het derde jaar op rij worden er in de zorgsector de meeste datalekken gemeld aan de Autoriteit Persoonsgegevens (AP), de Nederlandse instantie die toezicht houdt op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. 

Sinds 2016 geldt in Nederland de meldplicht datalekken. Bedrijven en organisaties zijn verplicht een datalek te melden aan het AP én aan de getroffen personen wanneer het lek een risico voor hen oplevert. Van alle sectoren, zoals financiële dienstverlening, vervoer, openbaar bestuur of onderwijs, zijn de meeste datalekken ook dit jaar weer afkomstig uit de zorgsector. 'Daarbij speelt een rol dat zorginstellingen grote hoeveelheden gevoelige (medische) persoonsgegevens verwerken. Datalekken die plaatsvinden binnen de zorg zullen daardoor vaak een risico opleveren voor de betrokkenen, en dus gemeld moeten worden', meldt de nieuwe rapportage van de AP.

De AP publiceert elk half jaar een totaaloverzicht van alle gemelde datalekken. In de eerste helft van 2019 ontving de Autoriteit Persoonsgegevens (AP) 11.906 meldingen, uit alle sectoren waaronder de zorg. Het grootste aantal datalekmeldingen binnen de zorgsector is afkomstig van ziekenhuizen (23%), apotheken (22%) en stichtingen die bevolkingsonderzoek uitvoeren (9%). Bij de meeste meldingen in de zorgsector (65%) ging het om een datalek met één betrokkene. De meeste datalekken hadden betrekking op naam, geslacht en contactgegevens, maar ook een aanzienlijk aantal meldingen over gelekte gezondheidsgegevens of Burger Service Nummers.

Verkeerde ontvanger

Het rapport geeft ook inzicht in het type datalekken. De meest gemelde datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Bijvoorbeeld een e-mail met gevoelige persoonsgegevens die door een typefout of door het selecteren van een verkeerd adres wordt verzonden naar de verkeerde ontvanger. Daarna volgen het versturen van post naar een verkeerde geadresseerde of het kwijtraken van laptops, tablets, smartphones en USB-sticks waarop persoonsgegevens zijn opgeslagen zijn.

Datalekken door hacking, malware en phishing

Gemelde datalekken worden echter ook veroorzaakt door hacking, malware en phishing. Dit type datalek wordt met name veel gemeld door (kleinere) gezondheids- en welzijnsorganisaties (24%), maatschappelijke dienstverlening (15%) en tandartsen (6%). Volgens de AP speelt hierbij een rol dat kleinere zorginstellingen minder kennis hebben over informatiebeveiliging en ICT en vaak ook minder geld tot hun beschikking hebben om beveiligingsmaatregelen te treffen en hun beveiliging up to date te houden. Zodoende kan malware makkelijker in hun systeem binnendringen. Als er geen back-ups gemaakt van de getroffen gegevens, kan zo'n malware aanval grote gevolgen hebben. De AP noemt als voorbeeld een hackaanval bij de tandarts, waardoor alle gegevens op de server zijn versleuteld. Op de computer stonden persoonsgegevens van alle patiënten en medewerkers van de praktijk opgeslagen, waaronder gegevens over de behandeling en Burgerservicenummers (BSN) van de patiënten.

Phishingaanval in het ziekenhuis

Bij phishing wordt er een mail gestuurd waarin gevraagd wordt om bijvoorbeeld in te loggen op een website, waarna hackers toegang krijgen tot het account van die medewerker en daarmee soms ook tot medische persoonsgegevens van patiënten. De AP haalt in hun rapport een concreet voorbeeld van phishing in het ziekenhuis aan:

"Een ziekenhuis is getroffen door een phishingaanval. Diverse medewerkers van het ziekenhuis hebben op een phishingmail geklikt en vervolgens hun inlognaam en wachtwoord ingevoerd. Hierdoor hebben hackers toegang gekregen tot de e-mailaccounts van de betreffende medewerkers, en zijn via deze accounts vervolgens grote hoeveelheden vergelijkbare phishing e-mails verstuurd. Het ziekenhuis meldt het datalek aan de AP."

De AP neemt naar aanleiding van de melding contact op en stelt aanvullende vragen, en vraagt het onderzoeksrapport op van het externe bureau, aldus de toezichthouder: "Daaruit blijkt dat het mogelijk is dat de hackers door de verkregen toegang tot het e-mailaccount, ook inzage hebben gehad in de inhoud van de mailboxen. Daarin stonden gegevens van patiënten."

Gebrek aan kennis over beveiliging is een belangrijke oorzaak voor het aantal datalekken gerelateerd aan hacking of andere vormen van cybercrime. De AP noemt een aantal maatregelen die ziekenhuizen maar ook andere (kleinere) zorginstellingen en zorgverleners kunnen treffen om hun kans op datalekken te voorkomen, waaronder het tijdig installeren van software updates, geen gebruik maken van verouderde (netwerk) protocollen en zorgen voor gesegmenteerde computernetwerken en -systemen.

Masterclass Cybersecurity in de zorg

Cybersecurity in de zorg vraagt steeds meer aandacht van bestuurders. Wat zijn de belangrijkste ontwikkelingen en trends op het brede terrein van cybersecurity in de zorg? Dat is de focus van de SmartHealth masterclass cybersecurity. 

Op donderdag 31 oktober en vrijdag 1 november organiseert SmartHealth een intensieve tweedaagse leergang over technische, bestuurlijke en praktische aspecten van moderne informatiebeveiliging in de zorg. Bezoek de website van de masterclass voor meer informatie.