Privacy en security

Een ernstig datalek in je zorginstelling. Wat nu?

© Monika Wisniewska / stock.adobe.com

Het is een nachtmerrie voor iedere zorginstelling: gevoelige data zoals medische gegevens die in verkeerde handen belanden. In zo’n geval zijn adequate procedures van levensbelang. 7 tips voor het beperken van de schade.

Datalekken in de zorg zijn helaas geen zeldzaamheid. De Autoriteit Persoonsgegevens (AP) verwerkte in 2018 niet minder dan 20.881 meldingen. 29 procent daarvan was afkomstig uit de zorgsector. Daarmee komt deze branche de twijfelachtige eer toe van sector met de meeste meldingen van datalekken.

__________________________________________________________________________________________

Abonneer u nu op de nieuwsbrief van QruxxTech. En krijg daarmee iedere maandag een update van alle artikelen, blogs en nieuwsberichten.

___________________________________________________________________________________________

In veel gevallen gaat het om medische gegevens. Volgens de Algemene verordening gegevensbescherming (AVG) zijn dit ‘bijzondere persoonsgegevens’, vertelt Sander Hofman van securityspecialist Mimecast. “Daarmee mogen organisaties ze enkel onder zeer strenge voorwaarden verwerken. Ze hebben bovendien de wettelijke en morele plicht de data goed te beschermen middels allerlei preventieve securitymaatregelen.”

Ondanks alle verplichtingen en securityinspanningen is een risico op een datalek nooit helemaal uit te sluiten. Volgens Hofman moet je deze stappen nemen in het geval van een ernstig datalek.

 1. Controleer of het daadwerkelijk om een datalek gaat

Niet ieder geval waarbij data in verkeerde handen terechtkomen, is een datalek. Bij een datalek moet er sprake zijn van een ongeoorloofde verwerking van, toegang tot of diefstal van persoonsgegevens. Dat zijn alle gegevens die herleidbaar zijn naar specifieke personen. Zijn er bijvoorbeeld financiële gegevens gelekt? Of gaat het om ongeoorloofde inzage in een vertrouwelijk document over een herstructurering? Dan is dat weliswaar een beveiligingsincident, maar is er geen sprake van een datalek.

“Is er bijvoorbeeld een laptop gestolen met patiëntinformatie, maar is die laptop goed beveiligd en zijn de data versleuteld? Dan mag je ervan uitgaan dat de data niet in verkeerde handen terechtkomen. In dat geval is er dus geen sprake van een datalek”, aldus Hofman. “Is de laptop zelf beveiligd, maar staan de data onversleuteld op de harde schijf? Dan is er wel degelijk sprake van een datalek.”

2. Dicht het datalek zo snel mogelijk

In sommige gevallen is het datalek nog actief. Bijvoorbeeld als aanvallers nog altijd toegang hebben tot de privacygevoelige gegevens, of zelfs nieuwe data kunnen buitmaken. Maar ook medewerkers kunnen permanent toegang hebben tot gegevens, terwijl ze daar niet toe zijn bevoegd. Ook dan is sprake van een actief datalek.

Snel handelen is in alle gevallen cruciaal om de schade te beperken, benadrukt Hofman. “Dicht het lek zo snel mogelijk. Bijvoorbeeld door accounts te blokkeren, of data te verplaatsen naar een veilige locatie. Schakel externe hulp in wanneer de eigen IT-afdeling dit niet voor elkaar krijgt.”

3. Onderzoek wat er precies is gebeurd

Is het datalek zo goed mogelijk geneutraliseerd, dan is het zaak te achterhalen wat er precies heeft plaatsgevonden. “Welke persoonsgegevens zijn precies gelekt, en om hoeveel data gaat het? Minstens zo belangrijk is antwoord op de vraag hoe het lek heeft kunnen plaatsvinden. Betrek in het onderzoek de functionaris voor de gegevensbescherming en/of de CISO.”

Het is in die reconstructie goed een soort tijdspad te schetsen. “Wie had wanneer toegang tot welke data, en wat deed deze persoon hiermee? Logs kunnen veel helderheid verschaffen. Daarin staat wie toegang had tot welke data en welke wijzigingen en verplaatsingen zijn gedaan.”

 Maak van alle bevindingen een gedetailleerd rapport. “Zo’n verslag helpt niet alleen herhaling te voorkomen, maar kan ook nodig zijn bij eventueel forensisch onderzoek”, legt Hofman uit. “Bovendien is het een teken voor de Autoriteit Persoonsgegevens (AP) dat de organisatie het lek serieus heeft behandeld.”

4. Meld het datalek, ook bij twijfel

Niet ieder datalek hoef je te melden bij de AP. Volgens de regels is dat alleen verplicht bij datalekken als het lek ‘leidt tot een risico voor de rechten en vrijheden van betrokkenen’. Een dergelijk datalek moet je binnen 72 uur melden na het ontdekken ervan, via het meldloket van de AP.

“Overschrijd die deadline niet: je riskeert daarmee een boete wegens nalatigheid”, waarschuwt Hofman. “Wie het lek later meldt, moet goed kunnen uitleggen waarom meer tijd nodig was. Twijfel je of er daadwerkelijk sprake is van een datalek, dan is het goed de melding toch te maken. Deze kun je namelijk altijd weer intrekken. Blijkt een datalek ernstiger dan gedacht en (dus) onterecht achtergehouden, dan stijgt de kans op een boete aanzienlijk.”

5. Registreer het lek in een datalekregister

Datalekken moet je ongeacht de ernst of omvang altijd intern registeren in een datalekregister. Ook als het niet gaat om een ernstig geval. “Hierin vermeld je wat er is gebeurd, en wat gedaan is om herhaling te voorkomen. Besluit je het datalek niet te melden bij de AP, dan is het verstandig de overwegingen in het datalekregister te vermelden.”

6. Meld het datalek bij betrokkenen

Heeft een datalek mogelijk een grote invloed op de levenssfeer van de betrokken personen? Dan moet je het incident ook altijd melden bij hen. Die betrokkenheid moet je ruim opvatten: het kan gaan om bijvoorbeeld imagoschade, financiële schade of inbreuk in de persoonlijke levenssfeer.

“Een dergelijke melding zal vrijwel altijd een negatief effect hebben op het imago van je zorginstelling”, zegt Hofman. “Dat mag echter geen reden zijn om het datalek achter te houden. Houd betrokkenen bovendien op de hoogte van de ontwikkelingen. Zeker als het een datalek betreft dat nog niet is opgelost.”

7. Neem maatregelen om herhaling te voorkomen

“Verklein het risico op herhaling met gerichte maatregelen”, adviseert Hofman. “Scherp waar nodig het privacybeleid aan en neem het digitale hang- en sluitwerk onder de loep.”

Een veel voorkomende bron van datalekken is e-mail. Via hackpogingen en phishing proberen cybercriminelen via dit medium gevoelige data te ontfutselen. Ook is het een bron van veel ‘vergissingen’ door medewerkers. “Denk aan het per ongeluk versturen van gevoelige informatie naar onbevoegde contactpersonen. Het loont dan ook in veel gevallen de moeite de e-mailomgeving zo goed als mogelijk ‘datalekbestendig’ te maken. Met een oplossing voor veilige opslag en archivering van e-mail sluit je incidenten niet uit, maar verklein je de kans op een ernstig lek aanzienlijk.”

Reacties