Datalekken in de zorg: een zorgwekkend probleem

Onze gezondheid en ons lichaam behoren tot de meest privacygevoelige en persoonlijke onderwerpen. Het is dan ook zeer pijnlijk wanneer medische data op straat beland of zelfs in verkeerde handen terechtkomt. Het is dan ook een pijnlijk feit dat in geen enkele andere sector het aantal datalekken zo hoog ligt als in de gezondheidszorg.

Lees Blog

Opvallend en schrikbarend. Met die woorden spraken security-experts over datalekken in de zorg. Daar hebben ze alle reden toe, want de cijfers zijn veelzeggend. Maar liefst 29 procent van alle datalekken vond volgens de Autoriteit Persoonsgegevens (AP) in de zorgsector plaats. AP registreerde sinds 1 januari 2016 niet minder dan 5.500 meldingen van verloren, verkeerd verwerkte of gestolen gegevens in deze branche.

Een ongekend groot aantal. Pijnlijk bovendien: medische persoonsgegevens behoren tot de meest privacygevoelige gegevens. Niet voor niets heeft medische data een aparte status in de Nederlandse wetgeving. Het zijn zogeheten ‘bijzondere persoonsgegevens’, wat inhoudt dat organisaties deze data alleen mogen gebruiken als aan allerlei speciale voorwaarden wordt voldaan. Iedereen die met medische gegevens in aanraking komt, heeft een strikte geheimhoudingsplicht.

Datalekken in de zorg spelen niet alleen gezondheidsinstellingen in de Benelux parten. Ook in de Verenigde Staten is bij 35 procent van alle gegevenslekken sprake van verlies van medische persoonsgegevens. Er is een aantal duidelijk aanwijsbare oorzaken voor het grote aandeel van deze branche in het totale aantal gegevenslekken.

Hoge kosten

Datalekken leiden doorgaans tot hoge kosten, maar in de zorg ligt het gemiddelde schadebedrag nog hoger dan in andere sectoren. Dat komt omdat de zorgsector valt onder allerlei strenge wet- en regelgeving. De Autoriteit Persoonsgegevens kan momenteel boetes opleggen van maximaal 825.000 euro of 10% van de jaaromzet. Wanneer in 2018 de GDPR van kracht gaat, wordt dat bedrag nog eens verveelvoudigd. Daar komen in de zorgsector vaker dan gemiddeld kosten voor het herstellen en indammen van het probleem, het informeren van betrokkenen en kosten voor bijvoorbeeld forensisch onderzoek bij.

Maar zelfs al die kosten bij elkaar zijn volgens onderzoek van het Ponemon Insititue nog maar goed voor 34 procent van de werkelijke schade. Het overgrote deel van de kosten van datalekken in de zorg bestaan uit indirecte kosten. Bijvoorbeeld door verloren tijd, maar ook misgelopen omzet door imagoschade. Patiënten blijven weg wanneer blijkt dat onzorgvuldig met hun medische gegevens is omgesprongen. Geef ze eens ongelijk.

Niet altijd foute bedoelingen

Het is overigens niet zo een datalek altijd betekent dat gegevens in handen van kwaadwillenden terecht zijn gekomen. Zeker in de zorg gaat het vaak om lekken waarbij gegevens korte of langere tijd zichtbaar zijn geweest voor mensen die daar niet toe bevoegd zijn. Ook bij zoekgeraakte usb-sticks en laptops met medische gegevens is er sprake van een datalek.

Er zijn een aantal oorzaken voor dat datalekken relatief vaak in de zorgsector plaatsvinden:

1. Verouderde apparatuur

Een deel van de lekken wordt veroorzaakt door de voor de vaak erbarmelijke staat van medische apparatuur. Veel zorgsectoren werken nog met apparatuur waarop verouderde besturingssystemen zijn geïnstalleerd. Dat terwijl deze apparaten en systemen wel via een netwerkverbinding aan het internet gekoppeld zijn. Hackers hebben op deze systemen zo goed als vrij spel.

2. Digitalisering van de sector

De zorgsector digitaliseert in rap tempo. Patiëntgegevens worden steeds vaker digitaal opgeslagen, in bijvoorbeeld het elektronisch patiëntendossier (EPD). Dat maakt efficiëntere uitwisseling van medische gegevens mogelijk, maar zorgt ook voor nieuwe risico’s. Omgang met EPD’s vereist grote zorgvuldigheid, want digitale data hebben de natuurlijke eigenschap dat ze zich razendsnel en zonder fysieke beperkingen kunnen verspreiden.

3. Gebrek aan goede afspraken

Juist aan die bij het vorige punt genoemde zorgvuldigheid ontbreekt het nogal eens. Zo was er in 2016 sprake van een lek van een lijst met namen en gegevens van psychiatrische patiënten. Simpelweg doordat de e-mail met deze lijst naar een aantal verkeerde adressen werd gestuurd. Dergelijke ‘onhandigheden’ met desastreuze afloop kunnen ontstaan doordat harde afspraken en dichtgetimmerde procedures voor de omgang met dergelijke gegevens ontbreken. Daardoor leeft het onderwerp bij het personeel te weinig en dat verhoogt het risico op dergelijke onoplettendheid.

Iedere medewerker van een zorginstelling zou zich volledig bewust moeten zijn van de risico’s die het verwerken van gevoelige medische gegevens met zich meebrengen. Daarnaast zouden zij van het belang en de spelregels van het geldende privacy- en ICT-gebruiksbeleid volledig op de hoogte moeten zijn.

Beheer EPD’s uitbesteed

Veel zorgorganisaties hebben het technische beheer van de elektronische patiëntendossiers uitbesteed aan een derde partij, zoals een hoster of ICT-leverancier. Dat betekent echter niet dat de organisatie niet meer verantwoordelijk is voor de veiligheid en privacy van deze gegevens. In een voor de privacywetgeving verplichte bewerkersovereenkomst moeten duidelijke afspraken worden gemaakt over de bescherming, verwerking en opslag van deze data. Maar ook over wat er moet gebeuren wanneer er ondanks alle voorzorgsmaatregelen zich toch datalekken voordoen.

Bewerkersovereenkomst niet voldoende

Overigens is een bewerkersovereenkomst, in tegenstelling tot wat vaak wordt beweerd, bij lange na niet voldoende voor compliance met de privacywetgeving. Deze wetgeving is complex en vereist een brede waaier van technische en organisatorische maatregelen. Zeker voor zorginstellingen, aangezien zij bijzondere persoonsgegevens verwerken met een verhoogd privacyrisico.

Ook versleuteling van de gevoelige patiëntgegevens wordt vaak ten onrechte neergezet als een groot deel van de oplossing. Ook dat is simpelweg niet waar. Encryptie is in veel gevallen een goede maatregelen en soms zelfs verplicht, maar encryptie an sich in niet zaligmakend. Wie past die versleuteling toe? Onder welke voorwaarden gebeurt dat? Wie heeft de beschikking over de sleutels? Dergelijke vraagstukken moeten stuk voor stuk grondig beantwoord kunnen worden.

Die complexiteit neemt verder toe vanaf medio 2018. Dan gaat de GDPR van kracht, ofwel de General Data Protection Regulation. Deze Europese privacywetgeving vervangt in een keer alle nationale privacywetgevingen en zal ook in Nederland gelden. De GDPR telt maar liefst 99 artikelen. Toch is een goede voorbereiding van de organisatie op deze wetgeving cruciaal, want de maximale boetes bij datalekken zijn nog vele malen hoger dan nu het geval is.

Bereidheid tot melden

Anders dan in het bedrijfsleven is in de zorgsector de bereidheid een lek te melden doorgaans erg groot. Men beseft klaarblijkelijk dat medische gegevens zeer privacygevoelig zijn, en neemt vervolgens de verantwoordelijkheid.

Uiteraard is die verantwoordelijkheid niets op af te dingen, maar natuurlijk toont een organisatie pas echte verantwoordelijkheid als het ook bereid is maatregelen te nemen om datalekken tegen te gaan. Iedere zorgorganisatie verwerkt medische persoonsgegevens, en dus is ook iedere zorgorganisatie verplicht een waterdicht privacybeleid te voeren. Precies daar wringt de schoen, want bij nog teveel zorgorganisaties heeft dit nog onvoldoende prioriteit. Dat moet dringend veranderen.

Hardmaken voor preventie

YourSafetynet maakt zich hard voor de preventie van datalekken in de zorgsector. Dat doen we niet middels dure consultancy, maar een echte ‘turn-key’ softwareoplossing. Hiermee leg je als zorginstelling alles in huis voor de uitrol van een compliant privacy- en ICT-gebruiksbeleid, inclusief alle procedures, reglementen en (voorbeeld)documenten. Met overzichtelijke dashboards houdt de organisatie een oogje in het zeil. Want voorkomen is nog altijd beter dan genezen, dat geldt niet alleen voor de gezondheid van patiënten.

Meldplicht datalekken: creëer een veilige meldcultuur

Sinds de Meldplicht Datalekken van kracht is gegaan, heeft de Autoriteit Persoonsgegevens tal van meldingen verwerkt. Toch is het zeer waarschijnlijk slechts het topje van de ijsberg. Veel in potentie ernstige datalekken worden onder de pet gehouden, met alle risico’s van dien. Onverstandig: organisaties zijn niet gebaat bij een zwijgcultuur. Maar hoe verander je dat?

GDPR: deze misvattingen staan compliance in de weg

In mei 2018 is het zover: dan gaat de General Data Protection Regulation (GDPR), ofwel Algemene Verordening Gegevensbescherming (AVG), van kracht. Vanaf dat moment moeten organisaties die persoonsgegevens verwerken aan nog strengere wet- en regelgeving voldoen dat nu het geval is. Toch reageren veel organisaties nog laconiek en wordt het onderwerp omgeven door de nodige misverstanden. Deze 5 bemoeilijken het compliancetraject.

Voldoen aan de privacywetgeving: meer dan encryptie en een bewerkersovereenkomst

Het zijn twee veelgehoorde aanbevelingen in de discussie rondom de privacywetgeving: stel een bewerkersovereenkomst op en versleutel gevoelige data. Volgens sommige instanties is dat zelfs voldoende voor compliance. Niets is minder waar: dit zijn slechts twee elementen uit een veel groter pakket aanbevolen of zelfs verplichte maatregelen.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!