Datalekken vinden relatief vaak plaats in de gezondheidszorg. Dat blijkt uit een meerjarig overzicht van onderzoek over het ICT‐gebruik van bedrijven in de Cybersecuritymonitor 2020 van het CBS. Deze week presenteerde zorgbeveiliger Z-Cert met VWS juist een handreiking om de kans op een datalek door een verlopen domeinnaam zo klein mogelijk te maken.
In 2019 meldde 6 procent van de organisaties uit de zorgsector een ‘dataonthullingsincident’ met een interne oorzaak, aldus de CBS-studie. Bij 1 procent van zorgorganisaties werd een onthulling veroorzaakt door een aanval van buitenaf. Met name op het eerste gebied steekt de zorgsector met kop en schouders boven andere sectoren uit. De ICT-sector staat met 4 procent organisaties met datalekken door interne oorzaak op de tweede plek.
Datalekken vooral bij grote organisaties
In 2019 had 25 procent van alle organisaties met 250 of meer werknemers te maken met dataonthulling waarbij een intern incident de oorzaak was, in 2016 was dit 17 procent. Daarnaast kreeg 8 procent van de bedrijven in 2019 te maken met datalekken door een aanval van buitenaf, zoals een hack van het ICT-systeem. Ongeveer 2 procent van de kleine ondernemingen (twee tot tien werknemers) gaf aan in 2019 te maken te hebben met een datalek. Dit percentage bleef de laatste jaren min of meer gelijk.
Het aantal ICT‐veiligheidsincidenten door datavernietiging of door uitval van ICT‐systemen is de afgelopen vier jaar afgenomen. Zo gaf 24 procent van de bedrijven met meer dan 250 werknemers in 2016 aan een datavernietigingsincident gehad te hebben door een aanval van buitenaf, dat was in 2019 nog 6 procent. De uitval van ICT‐systemen door een aanval van buitenaf nam af van 23 procent in 2016 naar 11 procent in 2019. Deze afname doet zich vooral voor bij organisaties in de gezondheidszorg.
Uit cijfers van de Autoriteit Persoonsgegevens (AP) blijkt regelmatig dat de sector Zorg & Welzijn bovenaan staat als het gaat om datalekken. In de eerste helft van 2019 ging het bijvoorbeeld om 31 procent van alle bij de AP gemelde datalekken. De toezichthouder gaf zorginstellingen destijds vijf tips om een aantal veel voorkomende typen datalekken te voorkomen. Zoals het creëren van bewustwording bij medewerkers om phishing via e-mails tegen te gaan.
Handreiking verlopen domeinnamen
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft samen met experts van Stichting Z-CERT en in nauwe samenwerking met zorginstellingen recent de handreiking verlopen domeinnamen uitgebracht. De handleiding biedt een stappenplan voor wat (zorg)organisaties kunnen doen om de kans op een datalek door een verlopen domeinnaam zo klein mogelijk te maken.
Een naamswijziging van een zorgorganisatie of fusie gaat vaak samen met een nieuwe website en bijbehorende domeinnaam. De nieuwe domeinnaam is geregistreerd, er komt verkeer op binnen en mensen weten je online te vinden. Maar wat doe je met het oude domein? Een domeinnaam die niet meer wordt gebruikt, verloopt na verloop van tijd en kan in de verkeerde handen vallen.
Een verlopen domeinnaam is daarmee een potentieel datalek. In de zorgsector betekent dat al snel dat privacygevoelige data van patiënten, cliënten of familieleden op straat komt te liggen. Het gevolg is persoonlijk leed voor de patiënten en cliënten, mogelijke imagoschade voor de instelling, en aanzienlijke financiële schade. Bijvoorbeeld door herstel van systemen en onderzoek van gespecialiseerde ICT-experts. In het geval van een datalek kan de Autoriteit persoonsgegevens ook een boete geven als het lek niet op tijd gemeld wordt. De handleiding biedt tips en adviezen om hier maatregelen tegen te treffen.