Op 1 januari 2016 is de Wet meldplicht datalekken in werking getreden, waarbij organisaties verplicht worden gesteld direct een melding te maken bij een ernstig datalek.
28 December heeft de Autoriteit Persoonsgegevens bekendgemaakt dat er het afgelopen jaar bijna 5500 datalekken zijn gemeld. Veruit de meeste meldingen kwamen van organisaties uit de gezondheids- en welzijnssector, zoals ziekenhuizen en zorgverzekeraars (29%), gevolgd door organisaties uit de financiële dienstverlening, zoals banken en verzekeraars (17%,) en het openbaar bestuur, zoals gemeenten (15%).
Een datalek is een incident waarbij gevoelige, beschermde en/of vertrouwelijke data mogelijk is bekeken, gestolen, gekopieerd of gebruikt – door een individu of partij zonder bevoegdheden voor deze acties.
Datalekken in gezondheidszorg schrikbarend hoog
Het is zowel opvallend als schrikbarend dat een derde van de meldingen vanuit de gezondheidszorg kwamen, vaak mogelijk gemaakt door onbeveiligde verbindingen en menselijke fouten.
Op 6 december meldde de Gelderlander nog dat door een foutief geadresseerde email de gegevens van 6.000 jeugdige GGZ-cliënten was gelekt. Deze trend van datalekken in de gezondheidszorg is niet alleen in Nederland waar te nemen; een jaar geleden publiceerde Forbes dat in 2015 bijna 35% van de Amerikaanse populatie slachtoffer is geworden van een datalek in de gezondheidszorg.
Gezondheidsgegevens waardevoller dan creditcardinformatie
Gezondheidsgegevens zijn op de zwarte markt vaak waardevoller dan financiële informatie (zoals creditcard informatie). De gegevens die ziekenhuizen en zorgverzekeraars in hun bezit hebben (zoals namen, geboortedata en bankgegevens) zijn ideaal voor identiteitsvervalsing.
En anders dan gestolen financiële informatie kunnen slachtoffers weinig doen om de waarde van de gestolen gegevens te verminderen: een gestolen creditcard kun je blokkeren, je geboortedatum niet.
Gezondheidsinstellingen nemen onvoldoende maatregelen
Gezondheidsinstellingen zijn zich niet altijd bewust van de risico’s die zij digitaal lopen. Ze zijn, in hun beleving, geen ‘high-targeted’ bank en hebben zodoende vaak geen of onvoldoende adequate maatregelen getroffen om de data van hun patiënten te beschermen.
Een combinatie van bovenstaande factoren (waardevol en relatief makkelijk aan te komen) heeft ertoe geleid dat gezondheidsgegevens een steeds populairder doel is geworden voor hackers en criminelen – een trend waarvan wij voorspellen dat deze doorzet.
Onbeveiligde verbindingen en menselijke fouten uitsluiten
Het is een illusie om te denken dat we criminaliteit, op straat of digitaal, volledig kunnen uitbannen. Tegelijkertijd neem je thuis ook voorzorgsmaatregelen, door je huis af te sluiten bij vertrek.
Gebrek aan inzicht, kennis en expertise vormt voor veel organisaties een struikelblok in adequate bescherming van persoonsgegevens. KPMG biedt diverse mogelijkheden om organisaties hierbij te helpen, in de gezondheidszorg en daarbuiten.
Bron: KPMG
