De zorgsector staat in toenemende mate onder druk als het gaat om een goede beveiliging van medische en andere gegevens van patiënten of cliënten. Deze week bleek opnieuw uit onderzoek dat websites vaak slecht beveiligd zijn, terwijl online in toenemende mate informatie uitgewisseld wordt.
Door het ontbreken van een beveiligde verbinding worden privacygevoelige informatie zonder vorm van encryptie over het publieke internet verstuurd. Dat maakt het voor hackers en andere cybercriminelen relatief eenvoudig om persoonsgegevens in te zien en te misbruiken voor identiteitsfraude. Medische data blijkt vaak interessant te zijn voor hackers, er gaat meer geld in om dan bij bijvoorbeeld financiële gegevens.In januari 2016 werd de Meldplicht datalekken ingevoerd, die genadeloos blootlegde hoe vaak juist medische gegevens op straat komen te liggen - wat overigens niet gelijk staat aan actief hacken. Vanaf 25 mei 2018 geldt in Nederland de AVG, een nieuwe privacywet in Europees verband die van organisaties een meer actieve bescherming van data vereist en zware sancties mogelijk maakt wanneer een datalek niet tijdig wordt gemeld of wanneer beveiliging niet op orde blijkt. De Autoriteit Persoonsgegevens (AP) krijgt als privacy-toezichthouder extra budget om op naleving van de AVG toe te zien. Hoe is de situatie in de zorgsector? Een klein overzicht
Gebrekkig beschermde websites
In januari 2017 was er meermaals berichtgeving over gebrekkig beschermde websites van huisartsen en ziekenhuizen. Zo zou 30 procent van de huisartsensites die de mogelijkheid van online inschrijven en/of het aanvragen van herhaalrecepten bieden, ingevulde informatie niet of onvoldoende beveiligen.Ook ruim een derde van de websites van ziekenhuizen zou slecht beveiligd zijn. Bij een kwart van de sites ontbreekt een beveiligde verbinding volledig, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd, aldus onderzoek van Women in Cybersecurity (WICS).
Sites met informatie, zelftests onder vuur
Niet alleen zorgverleners beveiligen hun sites slecht. In januari bleek ook uit onderzoek van de Consumentenbond dat websites met medische zelftests slecht beveiligd waren. Volgens een scan van de Consumentenbond wordt ingevulde informatie van gebruikers van de tests vaak onvoldoende beveiligd. Hierdoor kan gevoelige persoonlijke informatie in verkeerde handen komen. De consumentenorganisatie bekeek acht websites die tests aanbieden over gevoelige onderwerpen, zoals depressieklachten, drankgebruik en stress.In juli bracht de bond naar buiten dat websites met informatie over ziekten en verslavingen massaal de wet zouden overtreden. Dat bleek uit een steekproef van de Consumentenbond onder 20 websites. In alle gevallen lieten deze sites zonder toestemming van gebruikers advertentiebedrijven laten meekijken met het zoekgedrag van consumenten. Daarmee overtreden zij volgens de bond de telecomwet. Ook de privacy verklaringen van veel websites deugen niet. Sommige sites werken daarnaast met onbeveiligde verbindingen.
Hacken echt gevaar
Dat hacken geen hypothetisch gevaar is, werd in maart duidelijk. Toen werd een webpagina van het Amsterdams Medisch Centrum (AMC) gehackt. De hacker in kwestie kreeg toegang tot inschrijfgegevens van mensen die via deze pagina een afspraak hebben gemaakt bij het AMC. Het AMC had echter geluk: de hacker wilde geen gegevens stelen, maar alleen de kwetsbaarheid van websites aantonen.Beveiliging nieuwe dimensie met Meldplicht datalekken
Beveiliging van netwerken, IT-systemen en websites kreeg in januari 2016 een nieuwe dimensie. De meldplicht datalekken werd toen ingevoerd. Organisaties zijn sindsdien verplicht de AP direct op de hoogte te stellen van ernstige datalekken. Bijvoorbeeld als het gaat om het verlies van grote hoeveelheden gegevens of zeer gevoelige informatie. Dit kan gaan om een verloren laptop of usb-stick, maar ook om een webportal dat niet goed genoeg is afgeschermd. Ook verkeerd bezorgde brieven en e-mails kunnen een datalek zijn.In 2016 werden er in totaal 5.500 meldingen van datalekken gedaan. De meeste meldingen waren ook vorig jaar afkomstig uit de sectoren gezondheid & welzijn (zorgverzekeraars, ziekenhuizen), financiële dienstverlening (banken, verzekeraars) en openbaar bestuur (gemeenten). 4.000 gevallen zijn onderzocht. De toezichthouder heeft ruim honderd waarschuwingen gegeven en enkele tientallen zaken in onderzoek. Er zijn nog geen straffen uitgedeeld.
Het bleek ook in mei 2017 nog niet goed met de beveiliging van data in de sector zorg en welzijn, volgens cijfers van de AP over het aantal gerapporteerde datalekken in het eerste kwartaal van 2017. Zorg en welzijn stond met 27 procent van het totaal ruim bovenaan, gevolgd door de sectoren financiële dienstverlening (21%) en openbaar bestuur (20%).
Zorg besteedt meer aandacht aan privacy
De meeste zorginstellingen zijn de afgelopen jaren wel meer aandacht gaan besteden aan informatiebeveiliging en privacybescherming. Ook is de bewustwording bij instellingen op beide gebieden toegenomen, zo concludeerde PBLQ eind 2016 in een onderzoek naar de beveiliging van patiëntgegevens.Waterdichte beveiliging van patiëntgegevens is volgens de studie niet mogelijk. Incidenten met het verlies van data – door een hack of door menselijke fouten – zijn niet te voorkomen. Ook staan vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar. Het onderzoek was uitgevoerd in opdracht van inmiddels demissionair minister Schippers van Volksgezondheid, Welzijn en Sport (VWS), nadat verschillende incidenten met patiëntgegevens aan het licht kwamen. Schippers heeft een actieplan aangekondigd om de veiligheid van patiëntgegevens te vergroten.
Het onderzoek van PBLQ komt niet met indicaties dat verdere aanvulling van wet- en regelgeving voor informatiebeveiliging en privacybescherming in zorginstellingen noodzakelijk is. Wel blijkt dat de huidige en komende wet- en regelgeving niet altijd duidelijk is en begrijpelijker kan worden gemaakt. Ook is er behoefte aan een vertaling van wet- en regelgeving naar basisprincipes en concrete handvatten voor de praktijk.