17.4.2015 ÄZ: Wie eine Branschutzmauer hat eine Firewall die Aufgabe, das Praxisnetz vor Malware-Attacken und Datendieben zu schützen. Oft sind die Firewalls direkt in den Internet-Router integriert. © weerapat1003 / fotolia.com Ärzte Zeitung / 073a17 / 17.04.2015
Bij de Autoriteit Persoonsgegevens (AP) zijn in 2017 ruim tienduizend datalekken gemeld. Dit is een toename van 70 procent ten opzichte van vorig jaar. Bijna een derde van de meldingen kwam uit de sector zorg en welzijn.
“We zien een flinke toename van het aantal gemelde datalekken”, zegt AP-voorzitter Aleid Wolfsen. “Het lijkt er enerzijds op dat de bekendheid van de meldplicht toeneemt. Anderzijds baart het ons zorgen dat de beveiliging nog vaak niet op orde is.”
De meeste meldingen, 3105 meldingen in totaal, kwamen vorig jaar uit de sector zorg en welzijn, gevolgd door de sectoren openbaar bestuur en financiële dienstverlening. In die sectoren ging het om respectievelijk 2000 en 1984 meldingen. In 2016 kwamen de meeste meldingen ook uit deze drie sectoren. In een kleine 3 procent van de meldingen lekten gegevens van 5000 mensen of meer.
Bij 60 procent van de datalekken in zorg en welzijn die in 2017 zijn gemeld, ging het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. Meldingen van kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers vormen 10 procent van het totale aantal gemelde datalekken. In 3 procent van de meldingen ging het om gevallen van hacking, malware of phishing.
In totaal 772 meldingen in 2017 kwamen van ziekenhuizen en specialistische centra. Apotheken deden 545 keer melding van een datalek.
Onderzoeken
De AP startte vorig jaar rond de 635 onderzoeken naar beveiliging en mogelijke datalekken. Hieronder vielen ook onderzoeken naar mogelijke datalekken bij organisaties die dit niet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden. Over het algemeen leidden de onderzoeken tot een waarschuwing en beëindiging van de overtreding. Een deel van de onderzoeken loopt nog.
Per 25 mei 2018 geldt in de Europese Unie de Algemene verordening gegevensbescherming (AVG). Vanaf dan krijgen alle EU-landen te maken met de meldplicht datalekken. Nederland loopt hierop vooruit. Zorginstellingen hebben sinds 1 januari al de wettelijke verplichting om eventuele datalekken te melden bij de Autoriteit Persoonsgegevens. Dit voorkomt dat incidenten onder de radar blijven en draagt eraan bij dat instellingen van elkaar kunnen leren. De AVG stelt strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes vanaf 25 mei hoger.
Z-CERT
Eerder dit jaar is het zogeheten Zorg-Computer Emergency Respons Team (Z-CERT) van start gegaan, een speciale cybercrime-helpdesk voor de zorg. Ziekenhuizen en ggz-instellingen kunnen daar in het geval van calamiteiten zoals aanvallen met gijzelsoftware en datalekken een beroep op doen. Z-CERT werkt nauw samen met het Nationaal Cyber Security Center (NCSC). Bij de start in januari waren 36 zorginstellingen bij het initiatief aangesloten, waaronder alle academische centra.
“Het bewustzijn van digitale veiligheid is in de zorgsector moet omhoog”, zei Nienke van den Berg, oprichter en directeur van Z-CERT. “Het is een sector waar veel vertrouwelijke gegevens worden vastgelegd en uitgewisseld, en de veiligheid van patiënten afhankelijk kan zijn van de veiligheid van digitale apparatuur.” Z-CERT moet er zo voor zorgen dat vitale systemen in geval van een aanval zo veel mogelijk blijven functioneren, teneinde de veiligheid en continuïteit van de zorg binnen getroffen ziekenhuizen te garanderen.
