Interview met Peter Vlaanderen – Datalekken in de zorg: hoe ga je daar mee om?

Begin dit jaar legde de Autoriteit Persoonsgegevens (AP) een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had volgens de AP tussen 2018 en 2020 onvoldoende maatregelen genomen om onrechtmatige toegang tot medische dossiers te voorkomen. Ook het HagaZiekenhuis kreeg in de zomer van 2019 een forse boete opgelegd door de AP. 460.000 euro moest er betaald worden vanwege de onzorgvuldige omgang met patiëntgegevens.

 

Daarnaast legde de AP eind maart van dit jaar een boete van 475.000 euro op aan Booking.com omdat het een datalek te laat meldde. Criminelen bemachtigden van meer dan 4.000 klanten persoonsgegevens en van bijna 300 slachtoffers werden de creditcardgegevens gestolen. Dat onze samenleving informatiebeveiliging serieus neemt, is een understatement geworden. Dat bleek ook afgelopen januari toen een groot datalek bij de GGD aan het licht kwam. Gegevens van miljoenen Nederlanders raakten daarbij in criminele handen. De AP onderzoekt op dit moment hoe dit is gebeurd.

 

Om het risico op herhaling van een boete voor andere ziekenhuizen te verkleinen heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) samen met de Nederlandse Federatie van Universitair Medische Centra (NFU) een implementatiebeleidsplan ontwikkeld, genaamd: de NVZ-Routekaart. Met bewustwording als een van de grootste inhoudelijke pijlers. Maar is alleen bewustwording genoeg? En wat zijn de grootste risico’s omtrent datalekken? Om antwoord te krijgen op deze vragen gingen we in gesprek met Digivit’s Peter Vlaanderen.

 

Datalekken: waar spreken we over?

“Het is niet alleen het onvrijwillig beschikbaar stellen van data, zeg maar het lekken van data, maar ook het onvrijwillig verwijderen van data. Daarnaast spreken we ook van een datalek wanneer de medische gegevens in het EPD corrupt raken – dus niet meer kloppen. Ook bij onbeschikbaarheid van systemen spreken we van een datalek. Bijvoorbeeld bij uitval door een ICT-storing of stroomstoring, veroorzaakt door een technische storing of ransomware virus. Het meest bekende voorbeeld is de usb-stick met medische data die in de trein wordt achtergelaten, maar het is natuurlijk veel breder dan dat dus. Zo kan ik me een situatie herinneren waarbij er een zorgmedewerker geweest die een filmpje had gemaakt op het werk en vervolgens op Facebook zette, maar in dat filmpje waren per ongeluk ook medische gegevens te zien. Geen kwaad in de zin dus, maar het kan zo maar gebeuren.”

 

Een datalek: hoe handel je als zorgorganisatie?

“Het ligt aan de aard en de ernst van het datalek, maar in de kern zijn er twee dingen van belang. Ten eerste dien je het datalek binnen 72 klokuren te rapporteren aan de AP. En ten tweede moeten de desbetreffende getroffen personen geïnformeerd worden, maar ook de personen die mogelijk getroffen worden. Dat is enorm belangrijk. Zij hebben het recht om te weten dat hun data verdwenen is, of op straat ligt. Maar realiseer je dat niet ieder datalek gerapporteerd hoeft te worden. Ga anders naar de website van de AP voor meer informatie en bij twijfel, “niet inhalen” en toch rapporteren uiteraard.

 

Vervolgens kan het evalueren per organisatie verschillende vormen hebben. Het is daarnaast ook erg belangrijk om het incident in het datalekregister op te nemen. Het zijn veel stappen die je moet nemen als organisatie, maar zeker essentieel. Er komt steeds meer bewustwording in de samenleving omtrent databeveiliging en dit zorgt ook voor meer druk bij de AP zelf. Steeds meer organisaties melden hun datalekken en dit moet allemaal verwerkt worden.”

 

Datalek bij Booking.com te laat gemeld: hoe kan dat gebeuren?

“Dat is heel lastig om te verklaren. Ik ken de details natuurlijk niet, maar het kan heel goed zijn dat het gewoon nog niet in de juiste processen in de organisatie van Booking.com is opgenomen. Het is ook mogelijk dat binnen zo’n grote organisatie niet duidelijk is wie er verantwoordelijk voor is. Als dat niet helder is, dan gaat het niet goed. Daarom verplicht de Algemene Verordening Gegevensbescherming (AVG) organisaties om een Functionaris Gegevensbescherming (FG) in dienst te hebben.

 

Heel recent was er de datalek bij Allekabels.nl, deze heeft mij ook persoonlijk geraakt. In 2015 heb ik ooit wat besteld bij ze en vorig jaar augustus zijn al hun klantgegevens gehackt, dus ook die van mij. Ik kreeg eerst een mailtje van ze dat mijn gegevens gehackt waren, maar gelukkig niet mijn wachtwoord. Ondertussen las ik een aantal tweets van een techjournalist, die een paar dagen eerder wereldkundig had gemaakt dat alle wachtwoorden wel degelijk op straat lagen. Enige uren later kreeg ik een mail van Allekabels.nl dat mijn wachtwoord toch gehackt was. Zo’n hack is heel gevaarlijk omdat mensen vaak hetzelfde wachtwoord gebruiken voor verschillende websites en deze (te) weinig wijzigen.

Dit betekent dat zij ook onvoldoende wisten wat de risico’s van deze hack waren. Daarnaast hebben ze deze datalek in augustus wel aan de AP hebben gemeld, maar niet aan ons als klanten. Wat dus wel had gemoeten. Booking.com en Allekabels.nl zijn beide internetbedrijven, die zouden dit allemaal op orde moeten hebben zou je zeggen. Nou, niet dus.”

 

Worden datalekken vooral bewust of onbewust veroorzaakt?

“Veruit de meeste medewerkers hebben uiteraard geen kwaad in de zin. Vaak vindt een datalek onbewust plaats, maar het gebeurt natuurlijk ook dat medewerkers dit bewust doen. Ik kan me nog een verhaal herinneren van een student die alle profielen van zijn hele familie ging bekijken in het EPD. Dat is ook wat ik soms tegenkom binnen de zorgwereld. Medewerkers zijn er beducht op geworden dat collega’s data van anderen binnen hun directe omgeving inzien. Bijvoorbeeld een collega die de data van zijn of haar buurvrouw inkijkt.

 

De meest gebruikte voorbeelden zijn die van bekende Nederlanders en die van Samantha ‘Barbie’ de Jong in het bijzonder. Dat is ook deels onbewust gegaan. Het zijn allemaal voorbeelden van datalekken, maar ik denk toch dat het grootste deel onbewust plaatsvindt. De personen in kwestie dachten waarschijnlijk dat men er niet achter zou komen, maar dat gebeurde dus wel. Alle handelingen in het EPD worden namelijk gelogd, oftewel vastgelegd. Dat is maar goed ook.”

 

Op welke factor(en) zou de focus moeten liggen?

“De vier pijlers van de NVZ-routekaart geven mijns inziens voldoende focus. Een van de belangrijkste pijlers in de NVZ-routekaart is, zoals gezegd, bewustwording. Dan heeft de NVZ het niet alleen over kennis omtrent informatiebeveiliging, maar ook over gedragsverandering met betrekking tot informatiebeveiliging. Dat is dus breder dan datalekken, maar gaat bijvoorbeeld ook over allerlei vormen rondom phishing.

 

Goed voorbeeld hiervan is de casus van Universiteit van Maastricht, die groot in het nieuws was begin vorig jaar. Twee medewerkers klikten een phishingmail aan waardoor er ransomware gedownload werd op de systemen van de universiteit, waar vervolgens gevoelige data mee werd gegijzeld. Ze zijn daarna, zo ik heb vernomen, met 150 man bezig geweest om het op te lossen. Dit kost ontzettend veel tijd, geld en middelen, om nog niet te spreken over de imagoschade. Het is niet alleen de datalek-variant, maar ook die rondom security. Dat je dus zorgt dat je medewerkers veilig kunnen omgaan, en werken, met de systemen die je gebruikt als organisatie.

 

Bewustwording is dus heel belangrijk, maar daarnaast ook de digitale vaardigheden van je medewerkers. En in het bijzonder op het gebied van informatieveiligheid, privacy en security. Om een voorbeeld te noemen, zorgmedewerkers zetten soms informatie in de verkeerde velden. Het kan dus zelfs zo zijn dat de gegevens van patiënt A bij patiënt B wordt geregistreerd. In zo’n geval speelt onvoldoende bekwaamheid vaak een grote rol. Er is dan feitelijk sprake van een datalek, maar het moet ook rechtgebreid worden. Kortom, er is waarschijnlijk specialistische kennis nodig van een externe partij om het recht te zetten. Bewustwording van de risico’s en goed gebruik kunnen maken van alle verschillende applicaties zijn dus de twee belangrijkste factoren.”

 

Wordt het belang van goede applicatievaardigheden onderschat dan?

“Gebrek aan kennis rondom applicatiegebruik komt veel voor. Een grote groep zorgmedewerkers heeft een behoorlijk niveau aan basale digitale vaardigheden, hoewel er op een aantal vlakken bij hen zeker nog wel een aantal slagen gemaakt kunnen worden, zoals op informatieveiligheid. Maar echt de hele basale dingen, zoals gebruik van de voor de hand liggende mailfunctionaliteit, die zitten er wel goed in. In-the-end is het een veelkoppig monster, waarbij de ene gebruiker zeker niet de andere is. De een weet bijvoorbeeld veel meer dan de ander over het gebruik van Google en hoe je online moet zoeken. De ander weet weer meer van de Office 365 applicaties, zoals Word en Excel. Het varieert enorm, maar de applicatievaardigheden vragen vaak wel de meeste aandacht.”

 

Benieuwd hoe je de applicatievaardigheden van jouw medewerkers verbetert? Neem gerust contact op.