Door een datalek zijn de gegevens van zeker 200.000 patiënten in Nederland en België ruim een maand lang toegankelijk geweest voor onbevoegden. Pieter Lacroix, Managing Director Sophos Nederland, is niet verbaasd, maar vreest dat ook andere Nederlandse zorginstellingen onvoldoende maatregelen hebben genomen om de gegevens van patiënten te beschermen.
Pieter Lacroix: “Onderzoek door Sophos heeft eerder laten zien dat in een kwart van de gevallen adequate IT-beveiliging ontbreekt, ondanks de meldplicht datalekken die sinds 1 januari dit jaar van kracht is. Gelet op de onderzoeksresultaten, was het eerder een kwestie van tijd dat zoiets aan het licht zou komen, dan dat het de vraag was of een dergelijk datalek zou kunnen gebeuren. Een onbeveiligde webserver draaien met een koppeling naar persoonsgegevens van honderdduizenden patiënten is een doodzonde. Organisaties horen zich ervan te verzekeren dat op het web gerichte diensten afdoende beveiligd zijn.”
“Als het St. Anna Ziekenhuis in Geldrop en het Canisius-Wilhelmina Ziekenhuis in Nijmegen op deze manier tekortschieten in het beveiligen van de internetlink voor de uitwisseling van medische informatie tussen een dienstverlener en de ziekenhuizen, horen de verschillende IT-managers zich achter de oren te krabben. Ook al zijn delen van, of taken die horen bij de IT-infrastructuur, uitbesteed aan derden, dan nog ben je als IT-manager van een ziekenhuis voor deze data verantwoordelijk. Verantwoordelijkheid is niet te outsourcen.”
“Als databeveiligingsspecialist weten we dat verschillende Nederlandse zorginstellingen om meerdere redenen risico lopen. Uit ons eigen onderzoek, dat we in oktober 2015 hebben gepubliceerd, komt niet alleen naar voren dat in een kwart van de gevallen de IT-beveiliging niet op orde is, maar ook dat 40 procent van de ondervraagde IT-managers in de gezondheidszorg aangeeft dat de organisatie geen duidelijk security-beleid heeft. Een goed gecommuniceerd security-beleid is van groot belang, aangezien ook in dit geval is gebleken dat het lekken van gegevens is te wijten aan menselijk handelen. Afgezien daarvan hoort de bescherming van data en persoonsgegevens in de gezondheidszorg de hoogste prioriteit te hebben.”
Met ingang van 1 januari 2016 zijn bedrijven, instellingen en overheden in Nederland verplicht alle inbreuken op de IT-beveiliging die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens, te melden bij de Autoriteit Persoonsgegevens – de nieuwe naam van het College Bescherming Persoonsgegevens (CBP). “Daarbij zijn ze ook verplicht aan te tonen dat ze redelijkerwijs alles hebben gedaan om die inbreuk te voorkomen”, vertelt Lacroix. “Dat kan relatief eenvoudig door gebruik te maken van encryptie, en dat lijkt in dit geval gebeurt te zijn omdat het Belgische scanbedrijf iGuana aangeeft dat de informatie die door twee partijen is gedownload, niet bruikbaar is. Een tweede advies is gebruikmaken van externe security auditing, zodat organisaties zich ervan verzekeren dat nergens een achterdeur blijft openstaan.”
“Dit móét een krachtig signaal zijn naar andere ziekenhuizen om hun beveiliging op orde te brengen. Uitstel van maatregelen om de organisatie voor te bereiden op de meldplicht datalekken is enorm risicovol. Patiënten hebben het recht hun zorgen over de bescherming van hun gegevens kenbaar te maken. De Autoriteit Persoonsgegevens kan al bij geringe verdenking van ziekenhuizen vereisen dat zij de beveiliging van hun IT-infrastructuur inzichtelijk maken. Daarop kan een berisping volgen of bij ernstige tekortkomingen zelfs een boete tot 820.000 euro.”
