Voorkomen is beter dan genezen: incidenten in de media

De zorg was afgelopen half jaar veel in het nieuws. Dat ging hoofdzakelijk over corona, maar toch haalden verschillende incidenten rondom informatiebeveiliging en privacy de media. Cliënten en patiënten verwachten dat hun informatie veilig is; dit geldt even goed voor iedereen die een coronatest af heeft laten nemen. In deze blog zetten we een aantal recente nieuwsberichten op rij en vatten we een aantal belangrijke lessen samen. Hopelijk voorkomt dit boetes in de zorgsector, want dat is zonde van het geld.

Datadiefstal bij de GGD

Het meest in het oog springende incident betrof de verkoop van persoonsgegevens door medewerkers van de GGD. Dit kwam aan het licht na onderzoek door RTL (25 januari 2021). Het bleek dat privégegevens van miljoenen Nederlanders illegaal op internet worden verhandeld. Inmiddels zijn er diverse (ex-)medewerkers aangehouden door de politie.

De belangrijkste lessen:

• beperkt toegang van medewerkers tot informatie;
• zet exportfunctionaliteiten uit voor reguliere medewerkers.

Medewerkers konden makkelijk op een knop drukken om grote hoeveelheden gegevens te exporteren. Natuurlijk horen medewerkers deze gegevens niet te verkopen, maar op deze manier wordt het kwaadwillenden wel erg makkelijk gemaakt.

Slechte beveiliging teststraat

Vlak voordat de GGD in opspraak kwam rondom datadiefstal, was het raak bij een commerciële teststraat die coronatesten afneemt. Gegevens van tienduizenden Nederlanders die een test hadden afgenomen bij U-Diagnostics waren onvoldoende beveiligd.

De belangrijkste lessen uit dit nieuwsbericht (21 januari 2021):

• deel geen persoonsgegevens in Whatsapp-groepen (al helemaal niet als hier 300 mensen in zitten);
• beveilig databases met BSN, zorginformatie etc. met een tweede factor.

Boete voor ziekenhuis

De Autoriteit Persoonsgegevens (AP) heeft een boete van 440.000 euro opgelegd aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen.

De belangrijkste lessen uit dit boetebesluit (11 februari 2021):

• er moet logging zijn geïmplementeerd volgens NEN7513 én deze logging moet regelmatig worden gecontroleerd;
• zorginformatie moet met twee factoren zijn beveiligd.

Deze boete is de tweede die de AP aan een ziekenhuis oplegt voor het niet voldoen aan beveiligingsverplichtingen. Eerder gaf de AP een boete van 460.000 euro aan het HagaZiekenhuis (16 juli 2019), hier schreven we ook al over in ons eerdere nieuwsoverzicht. Het valt te verwachten dat hier meer controles voor gaan volgen.

Kortom: zorg voor informatiebeveiliging, ook in de zorg. Meer weten? Neem contact op of lees hier meer over NEN7510. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Image credit: @jpvalery via Unsplash