Voor datalekken geldt vanaf 1 januari ook voor de zorg een meldplicht. Persoonsgegevens moeten dan actief worden behoed voor diefstal of verlies. Mocht er namelijk een datalek optreden, is de organisatie van waar het lek heeft plaatsgevonden verplicht om melding te maken van het geval, zowel bij de autoriteiten als bij de personen wier informatie gelekt is.
Wat betekent deze wet voor zorginstellingen? En hoe kunnen datalekken worden voorkomen? Eén ding is duidelijk: het niet melden van een lek is riskant. Het College Bescherming Persoonsgegevens (CBP) is namelijk geautoriseerd om hoge boetes (tot 810.000 euro of 10 procent van de jaaromzet) op te leggen als blijkt dat een partij zich niet aan deze meldplicht heeft gehouden.
Maar het melden van een lek is ook niet zonder gevaar. Om te beginnen levert het imagoschade op als bekend wordt dat een instelling persoonsgegevens heeft gelekt of laten lekken. Verder kan er een onderzoek worden ingesteld naar de beveiliging van de gegevens. Hierbij wordt niet alleen gekeken naar de naleving van de geldende ISO- en NEN-normen op het gebied van informatiebeveiliging, maar ook naar aanvullende beveiligingsmaatregelen, zoals wachtwoordbeleid en beveiliging tegen malware. Mocht het onderzoek uitwijzen dat er zaken niet goed op orde waren ten tijde van het lek, kunnen slachtoffers de instellingen aansprakelijk stellen voor hun schade.
Groene Hart Ziekenhuis
In de afgelopen jaren zijn er verschillende incidenten van malware-besmettingen en datalekken aan het licht gekomen bij Nederlandse ziekenhuizen. Het bekendste en omvangrijkste probleem vond in 2012 plaats bij het Groene Hart Ziekenhuis. De medische dossiers van enkele tientallen patiënten en de adresgegevens van meer dan 493 duizend patiënten waren gestolen. De gegevens waren slechts beveiligd door een kort en simpel wachtwoord. De hacker die het datalek blootlegde, installeerde ook malware op het netwerk van het ziekenhuis, dat door geen enkele beveiligingslaag werd tegengehouden of gedetecteerd. Eerder, in 2010, zorgde malware ook al voor grote problemen bij het Westfries Gasthuis, dat dagen lang zo goed als platgelegd was door een malware-infectie .
Het blijft een uitdaging om ziekenhuissystemen veilig te houden, onder andere door medische apparaten die niet geüpdatet (kunnen) worden en daarmee een wezenlijk gevaar voor het netwerk vormen. Maar er is bij ziekenhuizen in ieder geval wel een groot bewustzijn voor het gevaar van datalekken en malware.
Veel problemen
Datzelfde kan (nog) niet worden gezegd over andere zorgverlenende ondernemingen, zoals thuiszorginstellingen, verpleegtehuizen en huisartsenpraktijken. Vanwege de veel kleinere schaal van dergelijke instellingen, zijn er geen grote schandalen bekend van datalekken, maar het is ondenkbaar dat die niet zouden hebben plaatsgevonden. Alleen al als we kijken naar het gebruik van antimalware-software, zien we veel problemen. Veel instellingen geloven dat hun zorgsysteem en zorgnetwerk hun eigen pc malware-vrij houden, terwijl dat niet het geval is.
Als er al een antimalware-programma is geïnstalleerd, blijkt dat vaak een gratis product te zijn, dat bedoeld is voor consumenten. In de gebruiksvoorwaarden staat duidelijk vermeld dat deze oplossingen niet mogen worden ingezet voor professioneel gebruik. Wanneer dat toch gebeurt en een datalek vindt plaats, vormt deze overtreding reden voor een boete. Zorginstellingen moeten zich dan ook snel verdiepen in de beveiliging van hun eigen systemen, om dit gevaar te kunnen afwenden.
Pr-manager Benelux
G DATA stelt via Skipr.nl een gratis whitepaper beschikbaar. ‘Zorg, Malware en de Meldplicht Datalekken’ geeft meer informatie over datalekken en de rol die malware daarin speelt. Ook krijgt de lezer praktische tips om gegevens veiliger te houden.