KPMG: grote aantal datalekken in zorg is opvallend en schrikbarend

ma 2 januari 2017 - 10:57
Nieuws

29 procent van alle in 2016 gemelde datalekken is afkomstig van organisaties die actief zijn in de gezondheidszorg. Dat meldde de Autoriteit Persoonsgegevens (AP) eind december. In totaal zijn er 5.500 meldingen binnengekomen van verlies van data zoals persoonsgegevens sinds de Meldplicht Datalekken begin januari 2016 van kracht werd.

Begin november liet de privacytoezichthouder nog weten dat een kwart van de op dat moment 4.700 meldingen afkomstig was uit de zorg, waarvan ruim 300 door ziekenhuizen gemeld waren. En eind december nog concludeerde PBLQ in een onderzoek dat een waterdichte beveiliging van patiëntgegevens onmogelijk is. Ook staan vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar.

Ernstig datalek

De Wet meldplicht datalekken verplicht organisaties om direct een melding te maken bij een ernstig datalek. Een datalek is een incident waarbij gevoelige, beschermde en/of vertrouwelijke data mogelijk is bekeken, gestolen, gekopieerd of gebruikt – door een individu of partij zonder bevoegdheden voor deze acties.

Eind december liet de AP weten dat er het afgelopen jaar bijna 5500 datalekken zijn gemeld. Veruit de meeste meldingen kwamen van organisaties uit de gezondheids- en welzijnssector, zoals ziekenhuizen en zorgverzekeraars (29%), gevolgd door organisaties uit de financiële dienstverlening, zoals banken en verzekeraars (17%,) en het openbaar bestuur, zoals gemeenten (15%).

Opvallend en schrikbarend

Het is volgens consultancyorganisatie KPMG zowel opvallend als schrikbarend dat een derde van de meldingen vanuit de gezondheidszorg kwamen, vaak mogelijk gemaakt door onbeveiligde verbindingen en menselijke fouten. Deze trend van datalekken in de gezondheidszorg is niet alleen in Nederland waar te nemen; een jaar geleden publiceerde Forbes dat in 2015 bijna 35% van de Amerikaanse populatie slachtoffer is geworden van een datalek in de gezondheidszorg.

Gezondheidsgegevens blijken op de zwarte markt tegenwoordig vaak waardevoller dan financiële informatie (zoals creditcard informatie). De gegevens die ziekenhuizen en zorgverzekeraars in hun bezit hebben (zoals namen, geboortedata en bankgegevens) zijn bijvoorbeeld ideaal voor identiteitsvervalsing- en andere vormen van fraude. Anders dan bij gestolen financiële informatie kunnen slachtoffers weinig doen om de waarde van de gestolen gegevens te verminderen: een gestolen creditcard is te blokkeren, een geboortedatum niet.
 

Niet altijd bewust

Gezondheidsinstellingen zijn zich volgens KPMG niet altijd bewust van de risico’s die zij digitaal lopen. Ze zijn, in hun beleving, geen ‘high-targeted’ bank en hebben zodoende vaak geen of onvoldoende adequate maatregelen getroffen om de data van hun patiënten te beschermen. Overigens, aldus de eerdergenoemde studie van PBLQ, neemt de bewustwording over de gevaren van datalekken wel toe.

Een combinatie van bovenstaande factoren (waardevol en relatief makkelijk aan te komen) heeft ertoe geleid dat gezondheidsgegevens een steeds populairder doel is geworden voor hackers en criminelen – een trend waarvan KPMG voorspelt dat deze doorzet.