De zorgsector blijft koploper als het gaat om het aantal gemelde datalekken. In de eerste helft van 2019 ontving de verantwoordelijke Autoriteit Persoonsgegevens (AP) 11.906 meldingen van datalekken, ongeveer 2.000 meldingen per maand. Als deze trend doorzet, dan verwacht de privacytoezichthouder voor heel 2019 een stijging van 14 procent ten opzichte van 2018, toen er bijna 21.000 datalekken gemeld werden.
De meeste datalekken worden opnieuw gemeld door de zorgsector: 31 procent. Dit is voor de AP aanleiding deze sector extra uit te lichten in de datalekkenrapportage. De toezichthouder geeft zorginstellingen daarnaast in een apart gepubliceerd document vijf tips om een aantal veel voorkomende typen datalekken te voorkomen, zoals het creëren van bewustwording bij medewerkers om phishing te voorkomen.
Monique Verdier, vicevoorzitter van de AP, benadrukt dat zorgvuldige omgang met persoonsgegevens onlosmakelijk verbonden is met goede zorg. "We hebben de afgelopen periode een aantal nare voorbeelden gezien van datalekken, die ontzettend vervelende gevolgen kunnen hebben voor de mensen om wie het gaat. Ziekenhuizen en andere zorginstellingen moeten daarom van privacybescherming een prioriteit maken."
Vooral meldingen ziekenhuizen, apotheken
Het grootste aantal datalekmeldingen binnen de zorgsector is afkomstig van ziekenhuizen (23%) en apotheken (22%). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24%), maatschappelijke dienstverlening (15%) en tandartsen (6%) melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.
De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63%), vaak per mail. In ruim de helft van alle meldingen gaat het om gegevens van 1 persoon (58%). Gemelde datalekken die 5.000 of meer personen raken, worden vaak (in 47% van de gevallen) veroorzaakt door hacking, malware en/of phishing.
Datalekken via devices
De meeste datalekken vinden plaats via verkeerd gestuurde mails. Het komt ook voor dat mobiele apparaten of gegevensdragers zoals laptops, tablets, smartphones en USB-sticks waarop persoonsgegevens zijn opgeslagen, kwijtraken of worden gestolen. Dit type datalek komt het meest voor in de zorgsector (27%), gevolgd door de sector openbaar bestuur (18%) en de sector onderwijs (13%).
Datalekken door hacking, malware, phishing
Vier procent van de meldingen die de AP ontving ging over datalekken met hacking, malwaren en/of phishingincidenten. Dit type datalek komt het meest voor in de sector zakelijke dienstverlening (16%) gevolgd door de zorgsector (13%), de sectoren ICT-dienstverlening en onderwijs (beiden 11%), en de sector Handel en autobranche (9%).
Actie ondernomen
Bij ruim 500 datalekmeldingen heeft de AP actie ondernomen bij organisaties die een datalek hebben gemeld. In de meeste gevallen (84%) wordt telefonisch contact opgenomen voor aanvullende informatie. In andere gevallen geeft de AP de organisatie normuitleg via een brief of dringt zij via een gesprek aan op maatregelen.
Uit onder meer signalen en tips van betrokkenen merkt de AP op dat niet alle datalekken die gemeld moeten daadwerkelijk worden gemeld worden of op tijd (binnen 72 uur na ontdekking) worden gemeld. De AP beschouwt dit als een ernstige zaak. De AP heeft 17 onderzoeken in uitvoering bij organisaties die (mogelijk) een meldplichtig datalek niet hebben gemeld. Er zijn vier onderzoeken gestart naar aanleiding van een te laat gemeld datalek. Deze onderzoeken kunnen mogelijk leiden tot een sanctie. In de tweede helft van 2019 start de AP meer (kortlopende) onderzoeken naar niet gemelde datalekken en te laat gemelde datalekken.
Boete HagaZiekenhuis
Het HagaZiekenhuis kreeg in juli van dit jaar een boete omdat het de interne beveiliging van patiëntendossiers niet op orde had. Dat was de conclusie van onderzoek van de AP. Dit onderzoek volgde toen bleek dat tientallen medewerkers van het ziekenhuis in 2018 onnodig het medisch dossier van een bekende Nederlander hadden ingezien. De AP legde het HagaZiekenhuis voor de onvoldoende beveiliging een boete op van 460.000 euro.
In juni 2019 kwam het Haagse ziekenhuis opnieuw in het nieuws wegens een mogelijk datalek. In september werd er een nieuwe melding gedaan. Ditmaal omdat er een dienstoverdracht met gegevens van 19 patiënten was blijven liggen in een winkelwagen van een supermarkt.
Datalekken voorgaande jaren
In 2018 werden er 20.881 datalekken gemeld, een ruime verdubbeling ten opzichte van 2017. De meeste datalekken werden zoals in de voorgaande jaren gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Op dit gebied is er de afgelopen jaren niets veranderd. Zorg & Welzijn was vorig jaar goed voor 29 procent van alle gemelde datalekken. Dat is iets minder dan de 31 procent uit 2017.
Sinds de invoering van privacywet AVG in mei 2018, heeft de toezichthouder ook een aantal onderzoeken uitgevoerd naar de naleving ervan in sectoren zoals de zorg. Zo bleek in augustus 2018 dat veel ziekenhuizen en zorgverzekeraars niet voldeden aan wettelijke eisen omtrent de functionaris gegevensbescherming (FG). In oktober 2018 bleek uit een tweede controle dat de problemen verholpen waren.
Minister Bruins (Medische Zorg) liet afgelopen mei weten dat hij mogelijk dit najaar een onderzoek laat uitvoeren naar welke acties nodig zijn om risico’s op ICT-storingen en/of datalekken in ziekenhuizen te mitigeren. SP-Kamerlid Hijink had kort ervoor Kamervragen gesteld naar aanleiding van een langdurig datalek bij het Amsterdamse ziekenhuis OLVG.