Datalekken in de zorg: meer dan alleen verkeerd verzonden e-mail

Datalekken in de zorg meer dan alleen verkeerd verzonden e-mail

De Autoriteit Persoonsgegevens (hierna: “AP”) heeft recentelijk het jaarverslag van 2019 gepubliceerd op haar website. Het jaarverslag geeft een goed inzicht van de activiteiten van de AP in dat jaar. De AP staat in het jaarverslag wederom uitgebreid stil bij de datalekken in 2019, iets wat ook in de zorg een heikel punt blijft. In dit artikel wordt inzichtelijk gemaakt hoe een datalek kan worden herkend en hoe de (zorg)organisatie daarop moet reageren.

Cijfers jaarverslag

De AP staat in het jaarverslag stil bij het aantal (gemelde) datalekken in 2019. Dit aantal is met 29% gestegen tot bijna 27.000 datalekmeldingen. De AP heeft in slechts 1.180 gevallen daadwerkelijk actie ondernomen na een melding. Uit het rapport blijkt dat de zorgsector het op één na hoogste aantal datalekmeldingen heeft gedaan. In de zorg ontstaan de meeste (gemelde) datalekken doordat persoonsgegevens naar de verkeerde ontvanger worden gestuurd. Dit soort datalekken brengen juist in de zorg de nodige risico’s met zich mee voor betrokkenen (de cliënten), aangezien het vaak gaat om hun medische gegevens. Medische gegevens zijn van gevoelige aard, waardoor een goede bescherming daarvan nog belangrijker is om te voorkomen dat deze in verkeerde handen terechtkomen.

Soorten datalekken

Datalekken kunnen zich voordoen in verschillende soorten en maten. Er kan een onderscheid worden gemaakt tussen verschillende categorieën datalekken:

  1. Datalekken die een “inbreuk op de vertrouwelijkheid” veroorzaken: hiervan is sprake indien data in handen is gekomen van een onbevoegde. Dit kan bijvoorbeeld het geval zijn als een e-mail met persoonsgegevens naar een verkeerde ontvanger wordt verstuurd.
  2. Datalekken die een “inbreuk op de integriteit” veroorzaken: hiervan is sprake indien data (onbedoeld) is aangepast of niet meer compleet is. Hierbij kan bijvoorbeeld worden gedacht aan het (per ongeluk) overschrijven van persoonsgegevens.
  3. Datalekken die een “inbreuk op de beschikbaarheid” veroorzaken: hiervan is sprake als data (onbedoeld) niet meer bestaat of indien de data niet langer onder de controle is doordat er geen toegang mogelijk is. Hierbij kan worden gedacht aan het (per ongeluk) verwijderen van persoonsgegevens.

Het bovengenoemde overzicht laat zien dat een datalek lang niet alleen bestaat uit verkeerd verstuurde e-mails, maar dat datalekken zich op veel verschillende manieren kunnen voordoen. Het is dus van belang om een datalek tijdig te herkennen, zodat daarop actie kan worden ondernomen.

Acties

Nadat een datalek is geconstateerd, is het allereerst van belang om – waar mogelijk – schadebeperkende maatregelen te nemen. Indien er bijvoorbeeld sprake is van verlies van een laptop met persoonsgegevens, is het wellicht mogelijk om deze gegevens op afstand te wissen. Daarnaast dient het datalek doorgaans gemeld te worden bij de AP en (aanvullend) in bepaalde gevallen ook aan de betrokkenen zelf. Zo moet een datalek binnen 72 uur na ontdekking van het lek, worden gemeld bij de AP tenzij het lek geen risico meebrengt voor de ‘rechten en vrijheden’ van betrokkenen. Het uitgangspunt is dus dat datalekken moeten worden gemeld aan de AP. Daarbij moet het lek ook worden gemeld aan betrokkenen indien het een hoog risico meebrengt voor deze rechten en vrijheden.

Het kan lastig zijn om te beoordelen of sprake is van een dergelijk (hoog) risico. De guideline ‘Meldplicht datalekken’ kan hierbij helpen. Zo dient een datalek vanwege verzending van gegevens naar een verkeerde ontvanger bijvoorbeeld niet altijd gemeld te worden als het gaat om een ‘betrouwbare ontvanger’ (denk aan ontvangers met een beroepsgeheim).

Daarnaast dient een datalek altijd geregistreerd te worden in het datalekregister. Dit is ook het geval indien het datalek niet gemeld hoeft te worden bij de AP en/of de betrokkenen.

Voorkomen

Er kunnen diverse maatregelen worden genomen om het risico op een datalek te verkleinen. Bewustwording in de organisatie is daarbij essentieel, zodat men (i) weet wat een datalek is en (ii) hier alert op is. Daarin speelt de Functionaris Gegevensbescherming een grote rol. Een andere tip is het versleuteld opslaan van persoonsgegevens. Indien deze versleutelde persoonsgegevens in de verkeerde handen terechtkomen, is het risico beperkt als de gegevens niet toegankelijk zijn vanwege de versleuteling. Andere tips zijn het regelmatig ‘verschonen’ van opgeslagen persoonsgegevens en het actualiseren van software om bijvoorbeeld hacks te voorkomen.

Tot slot

De wettelijke definitie van een datalek is ruim geformuleerd. Hieronder valt niet enkel de situatie dat (bijzondere) persoonsgegevens in de verkeerde handen vallen. Ook het per abuis verwijderen of overschrijven van gegevens kan een datalek opleveren. Een datalek sluipt er daardoor sneller in dan wellicht aanvankelijk gedacht. Het is daarom van belang dat organisaties zich goed voorbereiden en weten wat ze moeten doen. Juist in de zorg is het van belang om het aantal datalekken, waar mogelijk, terug te dringen zodat gevoelige gegevens van cliënten niet in gevaar komen.

Opleiding Functionaris Gegevensbescherming

fg-opleiding

Wilt u de juiste handvatten om bovengenoemde onderwerpen ook daadwerkelijk goed op orde te krijgen?

Meld u dan aan voor onze opleidingsdag Functionaris Gegevensbescherming van 23 september 2020.

Specialisten over dit onderwerp

Gerelateerde items