Datalekken in de zorg voorkomen

do 14 juli 2016 - 13:03
Blog

Op 1 januari 2016 is de nieuwe Meldplicht Datalekken ingegaan. Wanneer een datalek optreedt, moet de verantwoordelijke partij melding maken van het datalek. Laat zij dat na, kan haar dat in het meest ongunstige geval op twee boetes van €820.000,- komen te staan. Volgens de wet zijn er dan namelijk twee overtredingen begaan: 1) er is geen melding van het lek gedaan bij de Autoriteit Persoonsgegevens, 2) er is geen melding van het lek gedaan bij de mogelijke slachtoffers van het lek. Er is nog veel onduidelijkheid over hoe de wet precies in elkaar zit en hoe deze moet worden toegepast. Vandaag spijkeren wij u bij.

Niet nieuw, wel anders

Anders dan vaak gezegd wordt, is de wet niet nieuw: persoonlijke data moesten altijd al goed beschermd worden volgens de Wet bescherming persoonsgegevens (Wbp) en ook gold altijd al een meldplicht. Nieuw is dat het in strijd handelen met de wet direct kan leiden tot een sanctie, die kan worden opgelegd door de Autoriteit Persoonsgegevens (AP). Het beoogde effect is dat bedrijven en instellingen die persoonsgegevens verzamelen, opslaan, beheren of bewerken een belangrijke financiële prikkel hebben om datalekken te melden. Onlosmakelijk daaraan verbonden is de vergrote wens om geen datalekken te laten plaatsvinden, aangezien het voor de reputatie van een onderneming schadelijk is als een datalek aan het licht komt. Dat zou moeten leiden tot een beter beleid ten aanzien van de bescherming van persoonsgegevens.

Beleidsregels als leidraad

De wettekst  is niet erg expliciet. Om bedrijven en instellingen op weg te helpen bij een correcte toepassing van de wet, heeft de AP beleidsregels opgesteld. Het is een groot document, maar het geeft duidelijke inzichten. Zo valt te lezen dat datalekken in de zorgsector tot een speciale categorie behoren. Patiëntgegevens worden bestempeld als bijzondere gegevens, waarvan het lekken als extra risicovol wordt beschouwd voor het slachtoffer. Bij ‘normale’ persoonsgegevens is het, onder bepaalde voorwaarden, niet altijd noodzakelijk om een mogelijk datalek te melden. Bij bijzondere persoonsgegevens, zijn de regels strenger en zullen mogelijke datalekken vaker wel worden gemeld bij de AP.

NEN 7510

Voor zorgverlenende instanties geldt nog een andere wettelijke verplichting ten aanzien van de bescherming van persoonsgegevens: het voldoen (compliancy) aan NEN 7510, Medische informatica – Informatiebeveiliging in de zorg. Het document dat deze NEN-norm beschrijft, is zeer omvangrijk: 145 pagina’s en niet iedereen in de zorg is bekend met de gehele inhoud. Ons ontbreekt op deze plek de ruimte om op alle aspecten van deze norm in te gaan. Enkele zaken zijn echter relevant om hier te vermelden, omdat de combinatie van de beleidsregels van het AP en de NEN-norm samen sommige vage begrippen duidelijk invullen.

Verantwoordelijkheid

In de beleidsregels wordt duidelijk vermeld, dat de verantwoordelijkheid voor de bescherming van de persoonsgegevens ligt bij de partij die de persoonsgegevens heeft verzameld en niet bij de bewerker van de gegevens. Bij een bewerker van gegevens kan gedacht worden aan een datacenter waar de gegevens worden opgeslagen, of bijvoorbeeld aan de leverancier van een (gecertificeerd) zorgsysteem, waarin patiëntgegevens worden opgeslagen en verwerkt.

Als zorgaanbiedende partij is het dus niet genoeg om blind te vertrouwen op de IT-partijen waarmee wordt samengewerkt. De beleidsregel stelt dat de verantwoordelijke moet nagaan of de bewerker de nodige maatregelen treft om de persoonsgegevens te beschermen. Maar hoe stel je dat vast? Volgens NEN 7510 (paragraaf 11.5.1.) kun je daarvan uitgaan, wanneer die partij voldoet aan NEN 7512.

Compliancy met NEN 7512 is dus een belangrijke voorwaarde die zorgverlenende organisatie aan hun IT-leveranciers kunnen stellen. Maar daarmee is de verantwoordelijkheid voor de informatiebeveiliging niet afgeschoven: de verantwoordelijkheid blijft bij de partij die de persoonsgegevens heeft verzameld. Het is dan ook van groot belang dat zorgverlenende instanties zelf hun eigen IT-beleid en infrastructuur goed op orde hebben. Hiertoe behoren bijvoorbeeld inlogprocedures, het al dan niet toestaan van USB-sticks, verplichte versleuteling van gegevens en het beveiligen van alle pc’s, smartphones en tablets tegen hackers en malware.

Malware

Malware speelt hierin een speciale rol. De beleidsregel van AP stelt: “Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller.” Dat is nogal een understatement: bijna alle typen malware hebben dit doel. Het is dan ook niet onterecht dat de conclusie van de AP luidt: “Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek”. Als een infectie met een virus of andere malware heeft plaatsgevonden bij een partij die over bijzondere persoonsgegevens beschikt, is een melding van het mogelijke datalek aan de AP dan ook verplicht.

In NEN 7510 staat over malware: “Er behoren maatregelen te worden getroffen voor detectie, preventie en herstel om te beschermen tegen virussen en andere kwaadaardige programmatuur […].” Met andere woorden: voor zorgverlenende instanties is het verplicht om gebruik te maken van een antimalware-oplossing. Aangezien er elke minuut 12 compleet nieuwe vormen van malware bijkomen, is het risico op malware elke minuut zeer wezenlijk. Als een zorgverlenende instantie niet regelmatig aan de AP wil moeten melden ‘dat er toch een stukje malware doorheen is geglipt’, is het dan ook raadzaam om te kiezen voor een goede antimalware-oplossing die zoveel mogelijk van die malware van de endpoints weert.