image

Zorg meldt meeste datalekken bij Autoriteit Persoonsgegevens

donderdag 19 september 2019, 11:59 door Redactie, 5 reacties

Zorginstellingen hebben dit jaar de meeste datalekken bij de Autoriteit Persoonsgegevens gemeld, net zoals vorig jaar het geval was. De privacytoezichthouder ontving in de eerste zes maanden van dit jaar bijna 12.000 datalekmeldingen. Als deze trend zich doorzet verwacht de Autoriteit Persoonsgegevens een stijging van het aantal gemelde datalekken van 14 procent ten opzichte van 2018.

Vorig jaar werden er 21.000 datalekken bij de toezichthouder gemeld. Mogelijk worden dat er dit jaar zo'n 24.000. De laatste maanden lijkt het aantal meldingen enigszins te stabiliseren, aldus de autoriteit. Ruim 3700 van de datalekmeldingen (31 procent) die werden gedaan zijn afkomstig van de zorgsector, gevolgd door de financiele sector (20 procent) en het openbaar bestuur (19 procent). De voorgaande jaren waren deze drie sectoren ook voor de meeste meldingen verantwoordelijk.

Het aantal meldingen van zorginstellingen steeg met 2 procent ten opzichte van 2018. Binnen de zorgsector zijn de meeste meldingen afkomstig van ziekenhuizen (23 procent) en apotheken (22 procent.). De gemelde datalekken doen zich vooral voor na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24 procent), maatschappelijke dienstverlening (15 procent) en tandartsen (6 procent) melden vaker datalekken door "hacking", malware of phishing dan grotere zorginstellingen.

Type datalekken

Bij de meeste datalekken zijn persoonsgegevens naar de verkeerde ontvanger gestuurd (63 procent). Ook vorig jaar was dit het meest gemelde datalek. Daarnaast komt het voor dat personen hun eigen gegevens opvragen bij organisaties, maar door een administratieve fout vervolgens ook persoonsgegevens van anderen ontvangen. Datalekken door gestolen of verloren apparatuur doen zich vooral in de zorgsector voor (27 procent). Het lekken van gegevens door malware en phishing wordt voornamelijk door de sector zakelijke dienstverlening gemeld.

Tien procent van de datalekken wordt veroorzaakt door poststukken met gevoelige gegevens die bij de verkeerde persoon terechtkomen en geopend retour worden gestuurd. De onjuiste ontvanger heeft dan de inhoud van de brief kunnen lezen. Dit soort datalekken komt het meeste voor in de sector zorg (42 procent), zakelijke dienstverlening (19 procent) en openbaar bestuur (14 procent).

De cijfers van de Autoriteit Persoonsgegevens laten verder zien dat de meeste datalekken (58 procent) één persoon betreffen, gevolgd door datalekken waar twee tot tien personen het slachtoffer van werden. Datalekken met 5000 tot 100.000 (1 procent) en meer dan 100.000 mensen (<1 procent) komen veel minder vaak voor. Dergelijke datalekken worden vaak (47 procent) door "hacking", malware of phishing veroorzaakt.

Niet gemeld

De toezichthouder laat weten dat nog altijd niet alle meldplichtige datalekken worden gemeld. In de eerste helft van dit jaar zijn zeventien onderzoeken ingesteld naar organisaties die (mogelijk) een meldplichtig datalek niet hebben gemeld. De Autoriteit Persoonsgegevens is ook vier onderzoeken gestart naar organisaties die een datalek te laat hadden gemeld. Deze onderzoeken kunnen tot sancties leiden.

Image

Reacties (5)
19-09-2019, 13:24 door Erik van Straten
"Datalek" is m.i. een slecht gekozen woord, het gaat om PII-incidenten (PII = Personally Identifiable Information).

Ik vermoed dat zeer veel mensen ongeautoriseerd wijzigen/verwijderen of onbedoeldeld corrupt raken/geheel niet meer beschikbaar zijn (denk aan verouderende opslagmedia maar ook nat geworden papier) van persoonsgegevens en/of daaraan gerelateerde informatie, niet interpreteren als een "datalek". Terwijl dergelijke incidenten (met voldoende omvang) wel degelijk en bijtijds aan de AP moeten worden gemeld.

Ik vraag me dan ook af wat de waarde is van de getoonde statistische informatie, en in hoeverre het risico bestaat dat we beveiligingsmaatregelen als gevolg hiervan verkeerd gaan prioriteren. Bijvoorbeeld de dreiging van ransomware moet m.i. niet worden onderschat. Zodra we de schade daarvan weten te beperken middels betrouwbare back-ups, voorspel ik dat dezelfde criminelen vertrouwelijke gegevens (waaronder PII) vaker zullen gaan exfiltreren en ons daarmee zullen chanteren.

M.a.w. focus niet alleen op "per ongeluk aan de verkeerde onthulde informatie", maar zet ook sloten op je binnendeuren (voorkom dat aanvallers, zodra ze 1 computer hebben gecompromitteerd, binnen de kortste keren domain admin kunnen worden - niet zelden zonder dat de tussenstappen worden opgemerkt). Patchen moet natuurlijk, maar alleen patchen is niet genoeg!
19-09-2019, 14:00 door Anoniem
In ziekenhuizen moeten alle techniek "fool proof" zijn, want de meeste medewerkers weten er niet veel van.
Ze zijn aangenomen voor hetgeen ze goed moeten kunnen, en daarbij staat ICT-kennis en techniek niet voorop.
19-09-2019, 15:48 door Anoniem
Door Anoniem: In ziekenhuizen moeten alle techniek "fool proof" zijn, want de meeste medewerkers weten er niet veel van.
Ze zijn aangenomen voor hetgeen ze goed moeten kunnen, en daarbij staat ICT-kennis en techniek niet voorop.

Waarop baseer je deze uitspraak, nu komt het als ongefundeerd en ongenuanceerd over.

Graag een onderbouwing dus!
19-09-2019, 18:37 door karma4
Het ap heeft wel een rare prioriteit bij privacy.
Het is belangrijker dat een zorg aanvrager ook bij spoed naar niets persoonlijk ongewild kan openbaren.
Bij overlijden is het ap gevrijwaard van claims wegens inbreuk op de privacy van personen. Mogelijk is het ap wel aansprakelijk voor het veroorzaken van levensbedreigende situaties.
19-09-2019, 18:50 door Anoniem
Door Anoniem:
Door Anoniem: In ziekenhuizen moeten alle techniek "fool proof" zijn, want de meeste medewerkers weten er niet veel van.
Ze zijn aangenomen voor hetgeen ze goed moeten kunnen, en daarbij staat ICT-kennis en techniek niet voorop.

Waarop baseer je deze uitspraak, nu komt het als ongefundeerd en ongenuanceerd over.

Graag een onderbouwing dus!

Ok, ik heb eens een instrument moeten ontwerpen voor een ziekenhuis en mijn baas zei het tegen mij toen ik daarbij een "extra knopje" overwoog. Volgens hem was dit een extra risco op problemen door onwetendheid over waar het knopje precies voor dient en verkeerd gebruik van het knopje met alle mogelijk kwalijke gevolgen van dien, dus vermijden van bijvoorbeeld een instelling is altijd beter als je het ook zo kunt maken dat het apparaat het uit zichzelf doet.

Hier zit ook best wel een redelijke gedachte achter:
mensen zijn i.h.a. goed in waar ze voor geleerd hebben en ervaring mee hebben.
Daarbuiten wordt het al snel een probleem, vooral als er nauwelijks raakvlakken zijn.
En veel echte zorgtaken hebben nu eenmaal weinig met techniek te maken. (hoewel tegenwoordig wel meer dan vroeger)
Een hartoperatie vereist hele andere vaardigheden dan een relatief onbekend technisch apparaat bedienen.
Het blijkt daarom in veel gevallen lastig om ze op het gebied van techniek iets nieuws aan te leren.
Vooral als ze er niet dagelijks mee werken, of bijv. moeten invallen omdat de ervaren persoon die het normaalgesproken bedient er niet is.

Daarbij hoewel het naar mijn ondervinding onmisbare en vaak zeer waardevolle mensen zijn,
is het ondertussen wel zo dat het verzorgende personeel meestal voor hun vak hebben gekozen omdat er weinig kans van slagen was dat ze op een "geleerder" gebied iets zouden kunnen bereiken.

Ik denk dat deze aspecten er bijv. ook toe bijdragen dat er vooral vanuit de zorgsector nogal wat data lekt.
Daarbij is het ook nog eens een behoorlijk grote sector met veel data (van veel mensen).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.