Bijna één op de drie meldingen van datalekken bij de Autoriteit Persoonsgegevens (AP) komt uit de zorg. Daarmee blijft de zorg de financiële sector (20 procent) en het openbaar bestuur (19 procent) opnieuw ruim voor.
In de eerste helft van 2019 ontving de AP 3.747 meldingen van datalekken in de zorgsector. Dit is een stijging van 1,1 procent ten opzichte van het aantal meldingen dat de AP in het laatste half jaar van 2018 uit de zorgsector ontving. In totaal kreeg de privacy-waakhond in de eerste helft van dit jaar bijna 12.000 meldingen. Op basis van deze getallen houdt de AP voor dit jaar rekening met een over all stijging van 14 procent.
Deelsectoren
Opgesplitst naar deelsectoren is het het grootste aantal datalekmeldingen binnen de zorgsector is afkomstig van ziekenhuizen (23 procent) en apotheken (22 procent). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24 procent), maatschappelijke dienstverlening (15 procent) en tandartsen (6 procent) melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.
Nare voorbeelden
Vicevoorzitter Monique Verdier van de AP benadrukt dat “zorgvuldige omgang met persoonsgegevens onlosmakelijk verbonden is met goede zorg”. Verdier: “We hebben de afgelopen periode een aantal nare voorbeelden gezien van datalekken, die ontzettend vervelende gevolgen kunnen hebben voor de mensen om wie het gaat. Ziekenhuizen en andere zorginstellingen moeten daarom van privacybescherming een prioriteit maken.”
Omvang
De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63 procent). In ruim de helft van alle meldingen gaat het om gegevens van één persoon (58 procent). Gemelde datalekken die 5.000 of meer personen raken, worden in bijna de helft van de gevallen veroorzaakt door hacking, malware en/of phishing.
Bij ruim 500 datalekmeldingen heeft de AP actie ondernomen bij organisaties die een datalek hebben gemeld. In de meeste gevallen (84 procent) wordt telefonisch contact opgenomen voor aanvullende informatie. In andere gevallen geeft de AP de organisatie normuitleg via een brief of dringt zij via een gesprek aan op maatregelen.
Verzwijgen
Uit signalen en tips maakt de AP op dat niet alle datalekken die gemeld moeten worden daadwerkelijk dan wel tijdig worden gemeld. De AP beschouwt dit als een ernstige zaak. De AP heeft 17 onderzoeken in uitvoering bij organisaties die (mogelijk) een meldplichtig datalek niet hebben gemeld. Er zijn vier onderzoeken gestart naar aanleiding van een te laat gemeld datalek. Deze onderzoeken kunnen mogelijk leiden tot een sanctie. In de tweede helft van 2019 start de AP meer (kortlopende) onderzoeken naar niet gemelde datalekken en te laat gemelde datalekken.
