Beeld: Igor Kutyaev / Getty Images / iStock
Begin deze week kreeg een aantal huisartspraktijken, van wie de gegevens in de gelekte database stonden, bericht van PwC over het incident. De gegevens zijn afkomstig van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ). Die organisatie is verantwoordelijk voor het Landelijk Schakelpunt (LSP), dat uitwisseling van medische gegevens tussen zorgorganisaties faciliteert. PwC kreeg de gegevens van aangesloten organisaties versleuteld toegestuurd om de jaarrekening te controleren. Tussen 25 februari en 8 maart zijn die gegevens op de website van PwC toegankelijk geweest voor onbevoegden.
Menselijke fout
“De situatie ontstond door een foutieve instelling als gevolg van menselijk handelen”, zegt Thomas Galestien, woordvoerder bij PwC. “Waar gewerkt wordt, worden fouten gemaakt en helaas is dat hier ook gebeurd.” Volgens Galestien heeft PwC direct actie ondernemen toen de situatie aan het licht kwam. “We hebben meteen alles dicht gezet, security-maatregelen genomen en de situatie in kaart gebracht.”
Nog niet alle slachtoffers op de hoogte
PwC heeft vervolgens betreffende prakijken via een e-mail op de hoogte gesteld, maar nog niet alle slachtoffers zijn over het voorval geïnformeerd. “Dat heeft een technische oorzaak”, zegt Galestien. “We hopen dat vrijdag of anders zaterdag iedereen bericht heeft gehad.”
Aantal getroffenen onbekend
Dat doet vermoeden dat het om een groot aantal slachtoffers gaat. Hoeveel precies willen PwC en VZVZ niet zeggen. “Uit privacy-overwegingen doen we daar geen uitspraken over”, aldus Galestien. “Het is niet aan ons daar wat over te zeggen”, reageert Alf Zwilling, woordvoerder van VZVZ. “We vinden het al erg genoeg dat er een datalek is. We krijgen af en toe vragen of de mail wel echt is: ja, die is echt.”
Meer dan huisartsen alleen
Niet alleen de precieze omvang van het datalek is voorlopig onduidelijk, ook om welk soort instellingen het gaat, willen PwC en VZVZ niet zeggen. Wel laat Zwilling weten dat het “onder andere” huisartsen betreft. Andere zorgaanbieders zijn er dus ook door geraakt. Een breed scala aan zorgaanbieders is op het LSP aangesloten en krijgt daarvoor een vergoeding, waaronder apotheken en ziekenhuizen. Of zij getroffen zijn, blijft voorlopig gissen.
Data in criminele handen?
Nader onderzoek zal moeten uitwijzen of de gegevens in criminele handen zijn gevallen. Als dat het geval is, kunnen zij de data gebruiken bij pogingen de praktijk of instelling digitaal binnen te komen. Dat kan bijvoorbeeld via gerichte phishing-mailtjes, die ransomware of andere criminele activiteiten mogelijk maken.
PwC en VZVZ hebben het incident gemeld bij de Autoriteit Persoonsgegevens (AP). Die wil vooralsnog niet inhoudelijk op de zaak ingaan.
“Waar gewerkt wordt, worden fouten gemaakt en helaas is dat hier ook gebeurd.” Lijkt mij iets te gemakkelijk voor een organisatie waar betrouwbaarheid van vertrouwelijke gegevens en processen een kernwaarde moet zijn. Dus meteen een fundamentele oorzaak- en effectanalyse en structurele verbetermaatregel publiceren lijkt mij het minste wat er nu moet gebeuren. Want de indruk van onbetrouwbaarheid kan verder reiken dan de suffe accountant alleen.