Blog: Interne privacyschendingen voorkomen

Diverse rapporten bevestigen het weer: het zijn vooral de eigen medewerkers die de privacy van patiënten in gevaar brengen. Voor zorginstellingen komt de grootste dreiging niet van cybercriminelen, maar van binnenuit. Hoe druk je die dreiging de kop in?

Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Erik Remmelzwaal
Erik Remmelzwaal, managing director Security Services bij KPN

Wie de recente onderzoeksrapporten van bijvoorbeeld McAfee leest, krijgt de indruk dat fraudeurs vooral binnen de zorg actief zijn. Volgens Verizon is in deze sector 56 procent van de ‘breaches’ het werk van ‘interne actoren’. 43 procent is toe te schrijven aan externe factoren zoals cybercriminelen en vijanden van de staat. In alle andere sectoren zien we een aanzienlijk kleinere interne dreiging. ‘Fouten en misbruik zijn wijdverbreid in de sector gezondheidszorg’, zo meldt Verizon dan ook in zijn 2018 Data Breach Investigations Report.
Die conclusie vraagt wel enige nuance. Uit de rapporten blijkt dat het vooral menselijke fouten zijn die ervoor zorgen dat de interne dreiging zo groot is. Denk aan verkeerd geadresseerde e-mailberichten, een bestand dat per ongeluk is verwijderd of een verloren laptop met daarop persoonlijke gegevens. Van misbruik is hier geen sprake.

Werken met persoonsgegevens

Dat het aantal incidenten in de zorg als gevolg van menselijke fouten zo hoog ligt, kan twee oorzaken hebben: er worden meer fouten gemaakt óf de fouten hebben vaker betrekking op persoonsgegevens. En dat laatste is natuurlijk waar. In geen enkele andere sector wordt op zo’n grote schaal in het primaire proces gewerkt met (bijzondere) persoonsgegevens. Wordt een fout gemaakt, dan is de kans groot dat daarbij persoonsgegevens betrokken zijn. En de misstap komt aan het licht; immers de zorginstantie is verplicht fouten die gevolgen hebben voor de privacy van de patiënt te melden.
Ik wil hiermee de ‘interne dreiging’ zeker niet bagatelliseren. Een fout zoals verkeerde adressering van een e-mail kan binnen de zorg direct grote gevolgen hebben, bijvoorbeeld voor de patiënt. Dat is inherent aan werken met medische gegevens en leidt ook tot de veelgehoorde aanname dat juist in de zorg de bescherming van persoonsgegevens op hoog niveau is. Maar uit de aangehaalde cijfers blijkt dit dus wat tegen te vallen.

Menselijke fouten terugdringen

Ik noem vijf punten van aandacht die kunnen helpen het aantal menselijke fouten terug te dringen:

1. Beveiligingsbeleid
Maak duidelijk wat wel en niet mag. Mogen medische gegevens niet onversleuteld worden gemaild? Dan staat dit in het beveiligingsbeleid. Met een doordacht privacybeleid laat je zowel patiënten als medewerkers zien dat je de bescherming van privacy serieus neemt.

2. Beveiligingsbewustzijn
Laat medewerkers zien welke risico’s kleven aan werken met bijzondere persoonsgegevens en maak duidelijk wat je van hen verwacht in de omgang met data. Zo moet duidelijk zijn dat zonder noodzaak in iemands EPD neuzen een schending van de privacy is. Het bevorderen van het beveiligingsbewustzijn kan middels trainingen, maar ook ‘on the job’ met technische middelen die de gebruikers op fouten wijzen.

3. Classificatie van data
Ken aan je data verschillende labels toe, zoals ‘openbaar’, ‘vertrouwelijk’ of ‘geheim’. Dit wordt ook wel rubriceren genoemd. De classificatie bepaalt de zwaarte van de maatregelen die getroffen worden om gegevens te beschermen en hoe medewerkers met de gegevens om horen te gaan.

4. Data Loss Prevention
Data Loss Prevention (DLP) is een verzamelterm voor technieken die gevoelige data beschermen, bijvoorbeeld door te voorkomen dat gegevens de organisatie per ongeluk verlaten of verwijderd worden. Probeert een medewerker gegevens die als ‘vertrouwelijk’ zijn geclassificeerd onversleuteld te mailen? Dan waarschuwt DLP de gebruiker. Op die manier helpt DLP fouten voorkomen.

5. Voorkomen, detecteren en reageren
Fouten kan je uiteraard ook voorkomen door bijvoorbeeld de toegang tot data te beperken. Ook is het belangrijk om te blijven monitoren op fouten of misbruik, en direct te reageren bij detectie van een ongewenste handeling.

De genoemde punten zijn zeker niet allemaal even eenvoudig. Zo vergt het bevorderen van het beveiligingsbewustzijn een lange adem. En ook beleidsregels worden niet automatisch geaccepteerd als ze in noodgevallen het snelle handelen van de zorgprofessional belemmeren. Daarom is het laatste punt misschien wel het belangrijkste. Door continu kleine stapjes te blijven zetten, wordt de interne dreiging iedere dag een stukje minder.

0
418
Erik Remmelzwaal
Erik Remmelzwaal
Erik Remmelzwaal is Managing Director Security Sevices bij KPN. Hij begon zijn carrière in 2001 bij DearBytes, waarvan hij in 2011 CEO werd. In 2017 werd DearBytes overgenomen door KPN; Erik Remmelzwaal werd er Director Products. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

Geef je reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.