Zorg en welzijn opnieuw vaakst in beeld met datalekken

do 11 mei 2017 - 11:55
Nieuws

Het gaat nog niet goed met de beveiliging van data in de sector zorg en welzijn. Dat blijkt uit cijfers van de Autoriteit Persoonsgegevens (AP) over het aantal gerapporteerde datalekken in het eerste kwartaal van 2017. Zorg en welzijn staat met 27 procent van het totaal ruim bovenaan, gevolgd door se sectoren financiele dienstverlening (21%) en openbaar bestuur (20%).

De meldplicht datalekken werd in januari 2016 ingevoerd. Organisaties zijn verplicht de AP direct op de hoogte te stellen van ernstige datalekken. Bijvoorbeeld als het gaat om het verlies van grote hoeveelheden gegevens of zeer gevoelige informatie. Dit kan gaan om een verloren laptop of usb-stick, maar ook om een webportal dat niet goed genoeg is afgeschermd. Ook verkeerd bezorgde brieven en e-mails kunnen een datalek zijn.

De AP startte in het eerste kwartaal 135 onderzoeken naar beveiliging en datalekken. Dit gaat ook om mogelijke datalekken bij organisaties die deze niet hebben gemeld. Een deel van de onderzoeken loopt nog in het tweede kwartaal. De toezichthouder  gaf het merendeel van de onderzochte organisaties een waarschuwing. Over het algemeen leidde dat tot beëindiging van de overtreding. Er zijn in het eerste kwartaal van 2017 geen boetes uitgedeeld.

Datalekken in 2016

In 2016 werden er in totaal 5.500 meldingen van datalekken gedaan. De meeste meldingen waren ook vorig jaar afkomstig uit de sectoren gezondheid & welzijn (zorgverzekeraars, ziekenhuizen), financiële dienstverlening (banken, verzekeraars) en openbaar bestuur (gemeenten). 4.000 gevallen zijn onderzocht. De toezichthouder heeft ruim honderd waarschuwingen gegeven en enkele tientallenzaken in onderzoek. Er zijn nog geen straffen uitgedeeld.

Gezondheid en welzijn was vorig jaar zoals aangegeven de grootste categorie, met 29 procent van alle meldingen. Financiële dienstverleners en overheid volgden met 17 procent, respectievelijk 15 procent. De ict-sector had 11 procent van de meldingen gedaan. Alle in2016 opgedane ervaring wordt gebruikt om bedrijven en organisaties advies te geven. De AP stelt dat het bewustzijn over datalekken is gegroeid in 2016. In mei 2018 wordt de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Datalekken kunnen dan beboet worden met maximaal 4 procent van de jaaromzet van een organisatie.

In november berichtte dagblad Trouw dat er elke dag sprake was van en datalek bij ziekenhuizen. Het ging toen om 304 meldingen. De Nederlandse Vereniging van Ziekenhuizen vond het toen nog te vroeg om over een zorgelijke situatie te spreken en stelt dat de alertheid van de circa 134 Nederlandse ziekenhuizenhoog is en de bereidheid om datalekken te melden groot.

Handreiking meldplicht

Koepelorganisaties KNMG, NHG, LHV en KNMP hebben in december 2016 een handreiking gepubliceerd waarmee ze hun achterban willen ondersteunen in de omgang met de Meldplicht Datalekken. In juli vorig jaar besloten de organisaties om aan deze handreiking te gaan werken. De praktische handreiking voor apothekers, huisartsen, huisartsenposten, gezondheidscentra en zorggroepen, geeft onder meer aan hoe een datalek te melden en beantwoordt veelgestelde vragen, zoals wanneer er sprake is van een datalek en welke acties dan zijn aan te raden.

Vaker privacyproblemen

De privacytoezichthouder tikt organisaties uit de zorg wel vaker op de vingers. Zo bleek in juni 2016 dat bijna de helft van de Nederlandse ziekenhuizen informatie van bezoekers van hun websites door geeft aan derde partijen via tracking cookies. Dit is in strijd met de geldende privacywetgeving, concludeerde de autoriteit na onderzoek. De AP wees 39 ziekenhuizen en de brancheorganisaties van de ziekenhuizen NVZ en NFU op de overtredingen.