Door het recente datalek bij het Antoni van Leeuwenhoek is er nu een concreet voorbeeld dat voor ondernemingen de ogen kan openen hoe het mis kan gaan bij een gebrek aan alertheid op privacybescherming en IT-beveiliging.
Al eerder had ik het op deze plaats over de nieuwe Meldplicht Datalekken, die op 1 januari 2016 is ingegaan. Eigenlijk is de wet niet nieuw: persoonlijke data moesten altijd al goed beschermd worden volgens de Wet bescherming persoonsgegevens (Wbp) en ook gold altijd al een meldplicht. Nieuw is dat het in strijd handelen met de wet direct kan leiden tot een sanctie, die kan worden opgelegd door de Autoriteit Persoonsgegevens (AP).
Het beoogde effect van de wijziging is dat instellingen die persoonsgegevens verzamelen, opslaan, beheren of bewerken een belangrijke financiële prikkel hebben om datalekken te melden. Onlosmakelijk daaraan verbonden is de vergrote wens om geen datalekken te laten plaatsvinden, aangezien het voor de reputatie van een onderneming schadelijk is als een datalek aan het licht komt. Dat zou moeten leiden tot een beter beleid ten aanzien van de bescherming van persoonsgegevens.
Dat strengere wetgeving nodig is, bleek al snel na het in werking treden van de aangepaste wet. In maart besteedden verschillende nieuwsmedia aandacht aan een zaak bij het Antoni van Leeuwenhoekziekenhuis (AvL). Een onderzoeker bleek de medische gegevens van 780 patiënten onversleuteld te hebben gekopieerd naar een harde schijf. Vervolgens is deze uit zijn auto gestolen. Het AvL deed melding van het datalek bij de AP en lichtte de nog levende patiënten in.
Nalatigheid
Iedereen kan zich voorstellen dat er geen sprake is geweest van opzet in deze zaak. Maar nalatigheid kan niet worden ontkend. Ten eerste is het niet toegestaan om patiëntgegevens te kopiëren naar wat voor persoonlijk medium dan ook. Verder is het niet toegestaan om gevoelige persoonsgegevens onversleuteld te bewaren. Het AvL heeft deze overtredingen niet zelf begaan. Toch vermoed ik dat – zou deze zaak voor een rechter komen – het bestuur van het ziekenhuis aansprakelijk zou worden gesteld.
De beleidsregels die de AP heeft opgesteld ter interpretatie van de nieuwe meldplicht zijn hier duidelijk over: de verantwoordelijkheid voor de bescherming van de persoonsgegevens ligt bij de partij die de persoonsgegevens heeft verzameld en niet bij de bewerker van de gegevens, zelfs niet als deze van kwade wil zou zijn (denk aan een hacker of een malwareschrijver die het netwerk heeft weten te infecteren). De verantwoordelijke wordt geacht contracten op te stellen met (alle) bewerkers van de gegevens waarin strenge afspraken worden gemaakt over beveiliging van de gegevens en een interne meldplicht.
Ook is het van groot belang dat verantwoordelijken hun eigen IT-beleid en infrastructuur goed op orde hebben. Hiertoe behoren bijvoorbeeld inlogprocedures, het al dan niet toestaan van USB-sticks en externe harde schijven, verplichte versleuteling van gegevens en het beveiligen van alle pc’s, smartphones en tablets tegen hackers en malware. Het is duidelijk dat het hier bij het AvL aan schort(te). Het feit dat patiëntgegevens, nota bene onversleuteld, konden worden gekopieerd naar een externe harde schijf (iets wat vrij gemakkelijk met beveiligingssoftware kan worden voorkomen), geeft aan dat de beveiliging van de patiëntgegevens niet optimaal was ten tijde van het incident.
Meldplicht datalekken
Het AvL valt te prijzen voor het feit dat het zich heeft gehouden aan de meldplicht datalekken. Voor zover bekend zijn de patiëntgegevens nergens opgedoken en er was een kans dat het lek nooit in de media was gekomen zonder de melding. Door het integere handelen van het bestuur van het ziekenhuis, hebben we nu een concrete zaak, die voor heel veel ondernemingen de ogen kan openen voor hoe het mis kan gaan bij een gebrek aan alertheid op privacybescherming en IT-beveiliging: een goed voorbeeld van een ernstig datalek.
Pr-manager bij IT-beveiliger G DATA Software
