Nederlandse ziekenhuizen melden bijna elke dag een datalek bij de Autoriteit Persoonsgegevens (AP). Zo’n melding wordt alleen gemaakt als er gevoelige informatie over patiënten op straat ligt. Dat bevestigt de AP na berichtgeving door Trouw.

In totaal zijn er sinds 1 januari van dit jaar 4700 datalekken, waarvan bijna een kwart uit de zorgsector, bij de Privacyautoriteit gemeld. Dat is sinds dit jaar voor bedrijven en organisaties verplicht: wie een incident niet binnen 72 uur bij de AP meldt, kan een boete krijgen van maximaal 820.000 euro. De plicht om fouten te rapporteren moet organisaties vooral stimuleren persoonsgegevens goed te beschermen.

Onvoldoende menselijke kennis

De Privacy Autoriteit wil niet specifiek ingaan op de ziekenhuizen, maar meldt dat ‘onvoldoende menselijke kennis’ voor het gros van de datalekken zorgt. “Dan kun je denken aan onversleutelde usb-sticks en smartphones die kwijtraken”, zegt een woordvoerder van de toezichthouder.
Het Amsterdamse Antoni van Leeuwenhoek Ziekenhuis kwam eerder in het nieuws wegens een datalek: het ziekenhuis verloor in maart dit jaar een harde schijf met onversleutelde gegevens van bijna 800 kankerpatiënten.
Naast het kwijtraken van onversleutelde apparaten behoren ook hacks, slecht geconfigureerde dataservers of een e-mail met gevoelige data die naar een verkeerd adres wordt gestuurd tot datalekken.

Wat kunnen criminelen met deze data

Christiaan Beek, die bij Intel Security onderzoek doet naar cybercrime, bracht in oktober een rapport uit over gestolen ziekenhuisdata en wat criminelen ermee kunnen.
Met de gegevens wordt vooral identiteitsfraude gepleegd, zo stelt Beek: “Ziekenhuizen weten je adresgegevens, burgerservicenummer en polisinformatie. Met die gegevens kun je je als iemand anders voordoen.” Ook worden de gegevens misbruikt om mensen af te persen, bijvoorbeeld SOA-patiënten.
“De infrastructuur van ziekenhuizen is open”, stelt Beek. “Patiëntgegevens moeten snel met andere afdelingen en specialisten kunnen worden gedeeld. Dat is tevens de zwakke schakel. Je hoeft als hacker meestal maar achter één wachtwoord te komen om toegang te krijgen tot grote databases met gevoelige informatie.”

Onvoldoende onderzoek

Dat er nog weinig onderzoek gedaan is naar de ernst van het lekken van persoonlijke gegevens, concludeerde RTL Z al in mei van dit jaar. Minder dan 5 procent van alle gemelde datalekken in Nederland wordt nader onderzocht. Dat werd bevestigd door de AP na berichtgeving van de NOS. Dan vraagt de Privacyautoriteit bijvoorbeeld welke versleuteling is gebruikt en of de getroffen klanten op de hoogte zijn gesteld. En daar blijft het dan ook bij.
Toch vond de vicevoorzitter van de AP, Wilbert Tomesen, het aantal meldingen laag en hij vreesde dat lang niet alle datalekken worden gemeld. Hij dacht dat als er 130.000 organisaties zijn in Nederland die persoonsgegevens verwerken, ‘het bijna niet anders kan zijn’ dat er meer datalekken voorkomen.
De AP pleit al geruimde tijd voor meer budget. Eind vorig jaar zei de Privacywaakhond dat ze te weinig medewerkers hebben om de nieuwe nationale en Europese taken uit te kunnen voeren.

Bron: RTL Z.nl