AppleMark
Bijna een derde van de in totaal 21.000 datalekken, die in 2018 zijn gemeld bij privacywaakhond AP, komt uit zorg en welzijn. Daarmee is de sector koploper op het gebied van datalekken. Ook naar aard en ernst van de datalekken springen de meldingen uit zorg en welzijn eruit; vaker dan elders is er sprake van datalekken door hacking en phishing.
Eén en ander blijkt uit een jaarlijkse inventarisatie van de Autoriteit Persoonsgegevens (AP). In totaal zijn er vorig jaar 20.881 datalekken gemeld bij de AP. Dit is
meer dan een verdubbeling ten opzichte van 2017. Ruim 29 procent kwam voor rekening van de sector zorg en welzijn, gevolgd door financiële dienstverlening (26 procent) en openbaar bestuur (17 procent).
In ruim twee derde van alle datalekken (63 procent) gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. De meest gelekte gegevens zijn naam, geslacht en contactgegevens. Meestal gaat het hier om kleine datalekken; in 58 procent van de gevallen raakt het slechts één persoon.
Naast het verkeerd versturen van persoonsgegevens noteerde de AP in 2018 ruim zesduizend meldingen ontvangen over gelekte medische gegevens (6.526) en het BSN (6.056). Datalekken met burger-servicenummers (BSN) komen met name voor in de zorg (37 procent) en in de sector openbaar bestuur (33 procent).
De overige meldingen hebben betrekking op onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, fishing of malware. Het gaat in de meeste gevallen om NAW-gegevens, gegevens over geslacht, medische gegevens en BSN.
Phishing
Uit de meldingen valt op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bijna één op de vijf meldingen uit zorg en welzijn (18 procent) gaan hierover. Bij phishing kan het gaan nep e-mails die afkomstig lijken van een betrouwbare partij. Wanneer op de link wordt geklikt of een bijlage wordt geopend kan een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dit is een type malware dat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.
Anders dan bij slordige omgang met persoonsgegevens veroorzaken hacking, malware en phishing grote datalekken die meer dan vijfduizend personen raken. Drie procent van datalekken in 2018 wordt door de AP als zodanig aangemerkt.
Opsplitsing
Wordt de sector zorg en welzijn opgesplitst dan komen de meeste meldingen bij de apotheken en huisartsen (27 procent) en ziekenhuizen (24 procent) vandaan. Zorgstichtingen en bevolkingsonderzoek zijn goed voor 9 procent van de meldingen. Zorgverzekeraars, jeugdzorg en ggz-instellingen en verslavingszorg volgen met ieder 6 procent. De overige 22 procent komt van maatschappelijke dienstverlening, verpleeghuizen, psychiaters, psychologen en fysiotherapeuten.
Dataveiligheid
Uit het hoge aantal meldingen uit de zorg- en welzijnssector kan niet worden afgeleid dat de zorg de dataveiligheid niet op orde heeft, benadrukt AP-woordvoerder Inger Sanders. “Binnen de zorg, de financiële sector en het openbaar bestuur worden grote hoeveelheden bijzondere persoonsgegevens verwerkt, dus zal er vaker sprake zijn van datalekken. Het is ook niet verrassend dat deze drie sectoren de afgelopen jaren stuivertje hebben gewisseld qua aantal meldingen.” Dit laat onverlet dat zorgaanbieders die gegevens beheren verplicht zijn om werk te maken van dataveiligheid. “Dataveiligheid is tegenwoordig inherent aan goede zorg”, stelt Sanders.
Hardere opstelling
In 2018 heeft de AP in veel gevallen uitleg gegeven aan organisaties over te nemen beveiligingsmaatregelen. Ook zijn brieven gestuurd om organisaties te wijzen op hun verantwoordelijkheid en zijn er norm-overdragende gesprekken gevoerd. Overtredingen van de meldplicht datalekken zullen in 2019 vaker leiden tot sancties. Met het oog hierop zal de AP de personele capaciteit uitbreiden. Bijzondere aandacht zal in 2019 uitgaan naar het niet melden van datalekken aan betrokkenen of aan de AP en aan het te laat melden van een datalek. In lijn met deze hardere opstelling heeft de AP in november 2018 vervoersdienst Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek.
