Privacy en security

Zo voorkom je verkeerd geadresseerde e-mails

© Fabrice Michaudeau / panthermedia

Door een fout van een medewerker verspreidde zorggroep Parnassia per ongeluk honderden e-mailadressen van patiënten met autisme. “Maar het is te makkelijk om dit af te doen als een persoonlijke blunder”, vindt Sander Hofman van security specialist Mimecast. “Zoiets kan elke zorginstelling overkomen.”

Het datalek bij Parnassia is geen incident. Het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger is al enkele jaren met afstand het meest voorkomende type datalek. Volgens cijfers van de Autoriteit Persoonsgegevens (AP) ging het in 2018 zelfs om maar liefst 63 procent van de datalekmeldingen. Dat kan bijvoorbeeld een  e-mail met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen.

In het geval van Parnassia plakte de verzender circa 450 e-mailadressen in het normale ‘to’-veld, in plaats van het bcc-veld. In de mail werden geadresseerden uitgenodigd voor hun eerste afspraak op de nieuwe locatie van Parnassia’s autismecentrum. De NOS kwam het datalek op het spoor na een melding van een anonieme tipgever, die zelf bij het centrum op de wachtlijst staat.

Gevoelige gegevens

“In de zorg is al snel sprake van een ernstig datalek dat je moet melden bij de AP”, aldus Sander Hofman. “Medische gegevens zijn per definitie gevoelig en gelden als bijzondere persoonsgegevens. Een verkeerd geadresseerde mail kan dus een grote impact hebben. Niet alleen op de patiënten van wie de privacy geschonden wordt, maar ook op de reputatie van de zorginstelling. Om nog maar te zwijgen over eventuele AVG-boetes.”

Hofman breekt een lans voor de Parnassia-medewerker die de mail heeft verstuurd. “Zorgprofessionals zijn gewoon mensen die hun werk zo efficiënt mogelijk proberen te doen. Het knippen en plakken van contactenlijsten in een e-mailveld is een logische werkwijze. Je kunt het de medewerker bijna niet kwalijk nemen dat zoiets een keer gebeurt. Eén moment van onoplettendheid is genoeg.”

Toch zijn er wel degelijk manieren om de kans op dit soort datalekken te verkleinen, en de schade te beperken als het onverhoopt toch misgaat. Hofman adviseert zorginstellingen om in ieder geval deze vier maatregelen te nemen:

1. Beleid en organisatiecultuur

Het is essentieel dat medewerkers de richtlijnen kennen voor een veilig gebruik van e-mail, zegt Hofman. “Dit geldt vooral bij de communicatie met patiënten, maar ook met collega’s en andere zorgprofessionals. Een helder e-mailbeleid voorkomt bovendien discussie. Iedereen weet wat de regels zijn voor bijvoorbeeld het versturen van persoonsgegevens.”

Minstens zo belangrijk is dat medewerkers meteen naar hun leidinggevende of de IT-afdeling stappen als ze een fout hebben gemaakt. “Want dan kan de zorginstelling zelf maatregelen nemen, zoals het informeren van patiënten. Dat is natuurlijk veel fijner voor de patiënt dan wanneer ze het in de media moeten lezen. Dit vereist een open bedrijfscultuur waarbij fouten niet keihard worden afgestraft.”

2. Awarenesstrainingen

Duidelijke regels zijn een goed startpunt, maar je moet het personeel ook handvatten aanreiken om digitaal weerbaarder te worden, aldus Hofman. “Bewustwordingstrainingen maken medewerkers alerter op riskante situaties. Dat kan het versturen van bijzondere persoonsgegevens zijn, maar ook cyberdreigingen zoals phishingaanvallen en bestanden die schadelijke software bevatten.”

Awarenesstrainingen sorteren echter pas echt effect als ze regelmatig worden aangeboden. “Helaas blijkt uit onderzoek dat slechts 16 procent van de Nederlandse organisaties het personeel continu traint om cyberaanvallen te herkennen. Het wereldwijd gemiddelde ligt op ruim een kwart. Hier is dus zeker ruimte voor verbetering.”

3. Technische hulpmiddelen

Volgens Sander Hofman kan een technische oplossing ook veel ellende besparen. “Er zijn speciale tools die het uitgaande e-mailverkeer scannen voordat het de organisatie verlaat. Dit om te voorkomen dat gevoelige gegevens op de verkeerde plek belanden. Dit noemen we data loss prevention (DLP). Via allerlei regels kun je de verzending van zaken als persoonsgegevens, bedrijfsgeheimen en klantlijsten blokkeren.”

Een goede DLP-oplossing gaat niet ten koste van de productiviteit. “Medewerkers moeten er eigenlijk zo min mogelijk van merken. Pas als zij iets doen dat botst met het e-mailbeleid, wordt de uitgaande e-mail tegengehouden en krijgt de IT-beheerder een melding. Op deze manier beperk je de kans op een datalek via e-mail.”

4. Plan voor incidenten

Tot slot adviseert Hofman zorginstellingen om rekening te houden met het ergste. “Zorg ervoor dat er een plan klaarligt waarin je afspraken maakt over de procedures en taakverdeling. Wie brengt de schade in kaart? Wie gaat het datalek melden bij de Autoriteit Persoonsgegevens? Hoe informeert je de patiënten ? Tijdens een incident wil je daar geen kostbare tijd aan verspillen.”

Ook is het verstandig om dit plan periodiek te toetsen aan de praktijk.. “Simuleer bijvoorbeeld eens per kwartaal een datalek met het gehele crisisteam. Zo wordt duidelijk welke aspecten er prima in zitten en wat eventueel minder goed werkt. Daarmee laat je als organisatie ook zien dat je de privacy van patiënten serieus neemt.”

 

Reacties