De zorg in top 3 met de meeste datalekken 2016

Op 28 december 2016 heeft de Autoriteit Persoonsgegevens een nieuwbericht uitgegeven waarin zij de facts & figures omtrent datalekken in 2016 bekend maakt. Van de 5.000 meldingen blijkt maar liefst 1.000 meldingen afkomstig uit de sector Gezondheid & Welzijn. Schokkend? Jazeker, maar verbazen doen we ons inmiddels niet meer.

Het blijkt dat de meeste meldingen afkomstig zijn uit de sectoren Gezondheid & Welzijn (o.a. zorgverzekeraars, ziekenhuizen), Financiële dienstverlening (o.a. banken, verzekeraars) en Openbaar bestuur (o.a. gemeenten).

 

Zoekgeraakte USB-sticks en gestolen laptops

Veel van de meldingen betroffen de bekende zoekgeraakte usb stick of de gestolen laptop. Daarnaast zijn ook veel meldingen gedaan die voortkwamen uit onbevoegde toegang tot gegevens, zoals een patiënt die in een patiëntenportaal de gegevens van een andere patiënt kon inzien of een verkeerd geadresseerde e-mail. Dit zijn voorbeelden die mij als privacy officer in de praktijk zeer herkenbaar voorkomen.

 

Elk klein foutje wordt afgestraft

De oorzaken van datalekken zijn zeer divers. Onvoldoende alertheid bij het versturen van een e-mail, maar ook technische issues die naar voren komen, bijvoorbeeld bij een nieuwe update van software of een onbeveiligde weblink.

Voor zover een technische oorzaak van een datalek kan worden aangewezen, is deze over het algemeen vrij snel verholpen en kunnen de genomen maatregelen ook direct worden meegenomen in de melding aan de Autoriteit Persoonsgegevens. Maar dan is meestal het kwaad al geschied.

Privacy hoort ook tussen de oren te zitten

Om nog meer compliant te zijn zal er ook geïnvesteerd moeten worden in het creëren van meer awareness binnen de organisatie. Hebben medewerkers in de gaten dat er sprake kan zijn van een datalek op het moment dat een patiënt meldt dat hij in zijn patiëntenportaal ook de naam van een andere patiënt ziet staan? Is men zich ervan bewust dat software steeds meeloopt met de laatste stand van de techniek met updates om te voorkomen dat met internet verbonden apparatuur eenvoudig kan worden gehackt?

Kwestie van privacy ademen

Het gaat er hierbij niet alleen om dat mensen onderkennen dat er mogelijk een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens, maar ook om het feit dat het van groot belang is dat de gegevensstromen zowel binnen de organisatie als richting relevante spelers buiten de organisatie inzichtelijk zijn en kunnen worden beheerst door de zorgorganisatie.

Alleen dan kunnen datalekken op de juiste wijze en met zo min mogelijke impact op de organisatie correct worden afgewikkeld en kan de zorgorganisatie ook op een natuurlijke wijze privacy ademen.


Binnenkort publiceer ik een blog dat geheel gewijd is aan het creëren van meer awareness omtrent privacy en datalekken binnen de organisatie. Heeft u intussen dringende vragen of specifieke informatie omtrent dit onderwerp, dan kunt u gerust contact opnemen.

©2018 Cure4 |

Nieuwsbrief | Disclaimer | Privacy Statement | Website | Cure4 Legal | Website | Cure4 AFAS | Website | Cure4 Zorgadministratie | Website | Cure4 Finance & Control
Contact