Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

Datalekken indammen

Bij veel grote datalekken ligt de oorzaak in nalatigheid en dat is moeilijk te voorkomen. Neem bijvoorbeeld het datalek onlangs in het Antoni van Leeuwenhoek ziekenhuis in Amsterdam.
1. Van Duuren.Natascha.jpg

Toch kunnen maatregelen helpen. Dat betogen Jan Willem de Lange en Natascha van Duuren.

Wat is er gebeurd?
Begin maart werd een externe harde schijf gestolen met daarop medische gegevens van 781 kankerpatiënten die deelnamen aan een wetenschappelijk onderzoek. Een medewerker van het ziekenhuis had de onderzoeksgegevens meegenomen op een onbeveiligde informatiedrager. In het informatiebeveiligingsbeleid van het ziekenhuis staat dat geen patiëntgegevens op onbeveiligde informatiedragers mogen worden gezet. Een regel waar het personeelslid zich niet aan heeft gehouden. Het contract met de medewerker is niet verlengd en andere medewerkers zijn opnieuw op de regels gewezen, maar het datalek wordt er niet meer mee voorkomen.

Meldplicht
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat zowel bedrijven als overheden een ernstig datalek direct moeten melden bij de Autoriteit Persoonsgegevens. In sommige gevallen moet het datalek ook worden gemeld aan de betrokken personen van wie de gegevens zijn gelekt. De term datalek ziet niet alleen op het lekken van data, maar op iedere onrechtmatige verwerking van persoonsgegevens. Hierbij kan het gaan om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.

Gevolgen
Sinds de invoering van de meldplicht datalekken is meer aandacht in het nieuws voor verlies van data. Veelal komen de betrokkenen in het nieuws die geïnformeerd zijn over een datalek. Het lijkt vaak geen indruk op “slachtoffers” te maken dat hun gegevens op straat liggen. De wetgever vindt het echter wél belangrijk, want die is vooral bezorgd over de nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen die misbruikte persoonsgegevens kunnen hebben. Hierbij valt te denken aan chantage met kennis over de gezondheid. Ook neemt de kans op identiteitsdiefstal en -fraude toe als criminelen meer persoonsgegevens bezitten. Om die reden leveren in het criminele circuit medische gegevens aanzienlijk meer geld op dan bijvoorbeeld creditcard gegevens.

Juridische verplichtingen
De Wet bescherming persoonsgegevens verplicht de verantwoordelijke om een datalek binnen 72 uur na ontdekking van het lek te melden bij de Autoriteit Persoonsgegevens. Wanneer derde partijen worden ingeschakeld bij de verwerking van persoonsgegevens begint deze termijn te lopen op het moment dat de derde partij het datalek ontdekt. De verantwoordelijke moet daarom zowel op het gebied van beveiliging als over de meldplicht datalekken afspraken maken met de partijen die worden ingezet bij de verwerking van persoonsgegevens.

Lekken voorkomen
Om datalekken te kunnen voorkomen moet worden gekeken naar het complete vakgebied van informatiebeveiliging. Dit vakgebied dekt verschillende domeinen af, zoals fysieke beveiliging, communicatie- en netwerkbeveiliging, beleid en procedures, toegangscontrole, beveiliging van software en functiescheiding. Weinig organisaties hebben kennis beschikbaar in al deze domeinen. Hierdoor blijkt het lastig om de informatie zó te beveiligen dat optimaal gebruik wordt gemaakt van de mogelijkheden in de verschillende domeinen. Dit resulteert vaak in een suboptimale oplossing.

Beveiliging
Neem het voorbeeld van het Antoni van Leeuwenhoek-ziekenhuis. Er wordt geleund op een informatiebeveiligingsbeleid. Op zich is dit een prima aanpak. Als het beleid zich beperkt tot een instructie aan werknemers is dit echter risicovol. Mensen maken fouten, dus zal het een keer fout gaan. Wat valt hier aan te doen?

Stapelen
Het begint door meerdere maatregelen te stapelen, bij voorkeur uit verschillende domeinen. Deze aanpak wordt ook wel “verdediging in de diepte” genoemd. In het genoemde voorbeeld heeft de medewerker een externe harddisk gebruikt waar de data niet versleuteld op staat. Het ziekenhuis had ook harddisks of USB sticks kunnen leveren waar de data standaard versleuteld wordt opgeslagen. Op een ander niveau had het ziekenhuis er ook voor kunnen kiezen om de bestanden met onderzoeksgegevens versleuteld op te slaan op de computersystemen van het ziekenhuis. Verder kan het ziekenhuis kijken waarom de medewerker de behoefte had om de gegevens op mee te nemen. Wellicht had hij veel liever vanaf huis direct met de gegevens op de server in het ziekenhuis willen werken.

Conclusie
Over de specifieke omstandigheden van dit geval is te weinig bekend om een oordeel te kunnen vellen. Wel is van belang alle mogelijkheden te benutten die tot de beschikking staan en zich niet op een domein te focussen. Iets wat het ziekenhuis op het eerste gezicht lijkt te hebben gedaan. Menselijke fouten kunnen worden teruggedrongen, maar niet weggenomen. We moeten er altijd van uitgaan dat mensen fouten blijven maken. Als informatiebeveiliging echt serieus wordt genomen, wordt de bestaande beveiliging aangevuld met bestaande oplossingen uit andere domeinen.

Jan Willem de Lange is directeur van UL Software & Security en Natascha van Duuren is advocaat/partner Tech, Data & Innovation bij De Clercq Advocaten Notarissen.

Dossier juridische zaken
De zorg is aan verandering onderhevig wat onduidelijkheid en conflicten met zich meebrengt. De oplossing komt dan vaak uit het juridische circuit. In het dossier juridische zaken leest u over juridische kwesties, rechtszaken en het scheidsgerecht.



Foto

  • Jan Willem de Lange

Jan Willem Delange en Natascha van Duuren

Gerelateerde tags

Eén reactie

  • Rick Goud

    Goede tips! Tot nu toe zie je dat het voorkomen van 'fouten' van eigen medewerkers als bron bij het voorkomen van datalekken weinig tot geen goede aandacht krijgt. Zoals Verizon'€™s 2016 Data Breach Investigations Report van een paar dagen geleden laat zien, is dit echter wel de grootste oorzaak van datalekken. Oplossingen die op een intelligente manier menselijke fouten helpen voorkomen hebben de toekomst in CyberSecurity!

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden