Zorgsector: voorkom datalekken!
Afgelopen donderdag 6 februari publiceerde de Autoriteit Persoonsgegevens (“AP”) de jaarcijfers meldplicht datalekken 2019. In de eerste helft van 2019 kwamen wederom, sinds de invoering van de meldplicht datalekken, de meeste datalekmeldingen (31%) uit de zorgsector. Uiteindelijk eindigde de zorgsector met 28% in 2019 op een tweede plaats (na de financiële sector). Wat kunt en moet u doen om datalekken in 2020 te voorkomen?
Allereerst wil ik opmerken dat een verhoogd aantal datameldingen in de zorgsector natuurlijk niet betekent dat de andere sectoren het per definitie ‘beter’ doen met minder datalekken. Dit kan bijvoorbeeld liggen aan een hoger privacy bewustzijn in de zorgsector of het feit dat datalekken eerder gemeld moeten worden doordat meer bijzondere (namelijk medische) persoonsgegevens worden verwerkt. Desalniettemin duidt het hoge aantal datalekmeldingen op ruimte voor verbetering waar het de bescherming van persoonsgegevens betreft.
Datalekken & AVG
Waar hier verwezen wordt naar een datalek, wordt bedoeld een beveiligingsincident waarbij persoonsgegevens zijn betrokken. Op dergelijke datalekken is de Algemene Verordening Gegevensbescherming (“AVG”) van toepassing (voor meer informatie over de AVG verwijs ik u naar onze blogreeks “AVG Uitgediept”). Afhankelijk van het risico dat het datalek vormt voor betrokkenen (bijvoorbeeld cliënten en patiënten), dient het datalek gemeld te worden bij de AP en de betrokkene zelf.
Waar en hoe doen zich de datalekken voor?
De AP analyseerde in haar halfjaar rapportage de 3.747 meldingen die zij in de eerste helft van 2019 uit de zorgsector ontving. Het grootste aantal van deze meldingen is afkomstig van ziekenhuizen (23%), gevolgd door apotheken (22%) en stichtingen die bevolkingsonderzoek uitvoeren (9%). Veel van deze datalekmeldingen betreffen slechts één betrokkene (65%). In ongeveer 1% van de gevallen ging het om meer dan 5.000 betrokkenen.
Veel datalekmeldingen betreffen verkeerd verstuurde of afgegeven persoonsgegevens (62%). U kunt denken aan persoonsgegevens die via brief of post kwijtgeraakt of geopend zijn, het verliezen van een gegevensdrager/apparaat met persoonsgegevens, de onbedoelde publicatie van persoonsgegevens, het via een klantportaal raadpleegbaar zijn van persoonsgegevens door onbevoegden en hacking, malware en/of phishing.
Veel van voornoemde datalekken vloeien voort uit menselijke fouten. Er zijn relatief eenvoudige maatregelen die u kunt nemen om de kans op deze fouten aanzienlijk te verminderen. Ook met kleine investeringen kunt uw organisatie preventieve maatregelen nemen. Hieronder geven wij u tips om het risico op datalekken te minimaliseren.
Tips voor het voorkomen en beperken van datalekken
- Voorkom verkeerde ontvangers. Maak gebruik van de mogelijkheden die IT biedt om menselijke fouten te beperken. Veel e-mailprogramma’s bieden de mogelijkheid om een extra check op te nemen alvorens een e-mail wordt verstuurd aan een onbekend adres of een maximum aantal to- en cc-ontvangers op te nemen (zo voorkom je dat je per ongeluk ontvangers opneemt in de cc in plaats van de bcc). Ook kunt u ervoor kiezen geen gevoelige persoonsgegevens via e-mail te versturen, of om bijlagen te versleutelen. In dit laatste geval dient u de sleutel via een ander medium aan de ontvanger kenbaar te maken.
- Bewustzijn. Het voorkomen van datalekken staat of valt met het bewustzijn van medewerkers. Om nadelige gevolgen van phishing mails te voorkomen, kan een organisatie preventief interne bewustzijnscampagnes (laten) uitvoeren. Dit kan zo uitgebreid als u zelf wenst. U kunt in ieder geval beginnen met het periodiek wijzen van medewerkers op (veel voorkomende en) actuele phishing dreigingen.
- (Privacy)beleid en handhaving. Zorg voor een goed beleid waarin risico’s worden beperkt. Denk aan het verbieden (of beperken) van het meenemen van gevoelige (fysieke) dossiers naar externe locaties, of het gebruik van niet-versleutelde apparaten/gegevensdragers. Denk ook aan een goede autorisatiestructuur en adequate handhaving (controle) van de raadpleging van documenten door medewerkers (logging).
- Beveiliging. Iedere organisatie moet een goede basisbeveiliging hebben. Op basis van de AVG bent u verplicht moderne technieken te gebruiken voor de beveiliging van persoonsgegevens. Hiermee wordt in ieder geval bedoeld dat u een firewall moet hebben, updates tijdig uitgevoerd moeten worden en dat u regelmatig back-ups moet maken. Tevens verwijst de AP voor de beveiliging van persoonsgegevens voor zorgverleners naar de toepasselijke NEN-normen.
- Bereid voor op een datalek. Niet preventief, maar wel heel belangrijk: wanneer sprake is van een datalek moet duidelijk zijn voor de organisatie en haar medewerkers hoe zij moeten handelen. Temeer om een datalek zo snel mogelijk te verhelpen en deze al dan niet te melden. Melden aan de AP moet in beginsel plaatsvinden binnen 72 uur na het ontdekken van het datalek. Beschikt u al over dit datalekprotocol of beleid waarin staat hoe te handelen bij een datalek?
Dit is slechts een greep uit de maatregelen die een organisatie kan nemen. Heeft u vragen over datalekken of andere AVG gerelateerde vragen in de zorg? Neem gerust contact op met Emiel de Joode.