De Autoriteit Persoonsgegevens (AP) publiceerde haar jaarlijkse datalekkenrapport. De uitkomsten zijn urgent voor iedereen in de zorg: de sector Gezondheid & welzijn is opnieuw de sector met de meeste datalekmeldingen van alle sectoren in Nederland – en het risico op schade voor patiënten blijft groot.
Zorgsector bovenaan in aantal datalekken
In 2024 ontving de AP 6.873 meldingen uit de zorgsector, aanzienlijk meer dan bijvoorbeeld:
- Openbaar bestuur (4.874 meldingen)
- Financiële dienstverlening (1.985 meldingen)
- Onderwijssector (174 meldingen, maar vaak met grote impact)
Zorginstellingen verwerken veel bijzonder gevoelige persoonsgegevens (zoals medische gegevens en BSN's) en zijn verplicht om ook kleine incidenten, zoals verkeerd verzonden brieven of e-mails, te melden. Dit verklaart deels het hoge aantal meldingen, maar actie is nog steeds nodig aldus de AP.
Cyberdreiging groeit
Eén ransomware-aanval bij communicatiebedrijf AddComm leidde tot datalekken bij 5.407 organisaties – waaronder partijen uit de zorg. Ruim 1,5 miljoen mensen werden getroffen, vaak doordat medische of factuurgegevens werden gelekt.
Door het type en de hoeveelheid gevoelige data is de zorgsector aantrekkelijk voor cybercriminelen. De zorg doet relatief veel meldingen, maar dat is nog niet genoeg.
Opkomend risico: AI zonder kaders
In 2024 kreeg de AP meerdere meldingen van zorgmedewerkers die patiëntgegevens invoerden in publieke AI-tools – vaak zonder dat ze beseften dat deze gegevens bij buitenlandse partijen terechtkwamen. Het is dus noodzaak om medewerkers goed geïnformeerd te houden, zodat ze weten hoe ze veilig omgaan met gevoelige data.
Dataveiligheid is niet alleen een ICT-probleem, maar een organisatiebreed thema dat bestuur en directie actief op dienen te pakken. Door zorgprofessionals, administratief personeel en management actief in bewustwording en naleving van afspraken te betrekken, kunnen risico’s worden verkleind.
Aanbevelingen voor de zorg
De Autoriteit Persoonsgegevens heeft een duidelijke boodschap voor zorgorganisaties: neem actief regie over de gegevensverwerking en wacht niet af tot het misgaat. Dat betekent: effectief beveiligingsbeleid opstellen én uitvoeren en betrokkenen tijdig informeren bij incidenten.
Daarnaast werkt de zorg in toenemende mate in ketens met externe leveranciers. Echter, de verantwoordelijkheid voor gegevensbescherming blijft altijd bij de zorginstelling zelf. Zorg voor duidelijke afspraken en controleer regelmatig of ketenpartners deze naleven.
Lees hier het hele rapport van het AP.
wellicht ook interessant
Plaats een Reactie
Meepraten?Draag gerust bij!