Op 1 januari gaat de meldplicht voor datalekken in. Partijen die beschikken over of toegang hebben tot persoonsgegevens van cliënten moeten deze persoonsgegevens actief behoeden voor diefstal of verlies. Mocht er een datalek optreden, dan is het bedrijf of de instelling waar het lek heeft plaatsgevonden verplicht om melding te maken van het incident, zowel bij de autoriteiten als bij de personen van wie informatie gelekt is.
GData stelt dat niet melden van een lek riskant is: het College Bescherming Persoonsgegevens (per 1 januari: Autoriteit Persoonsgegevens) is namelijk geautoriseerd om hoge boetes (tot € 810.000 of 10 procent van de jaaromzet1) op te leggen, als blijkt dat een partij zich niet aan deze meldplicht heeft gehouden terwijl een ernstig lek heeft plaatsgevonden.
Het nalaten van het informeren van de autoriteit enerzijds en de slachtoffers anderzijds geldt als twee incidenten en kan dus een dubbele boete opleveren. Maar het melden van een lek is ook niet zonder gevaar. Om te beginnen levert het imagoschade op als bekend wordt dat een instelling persoonsgegevens heeft gelekt of heeft laten lekken. Verder kan er een onderzoek worden ingesteld naar de beveiliging die de instelling heeft toegepast om zijn gegevens te beschermen.
Hierbij wordt uiteraard gekeken in hoeverre de normen (ISO27001 en NEN7510) op het gebied van informatiebeveiliging zijn nageleefd. Maar er zal ook worden gekeken naar aanvullende beveiligingsmaatregelen, zoals wachtwoordbeleid en beveiliging tegen malware. Mocht het onderzoek uitwijzen dat er zaken niet goed op orde waren ten tijde van het lek, kan het CPB ook weer een hoge boete opleggen.
In de afgelopen jaren zijn er verschillende incidenten van malwarebesmettingen en datalekken bij Nederlandse ziekenhuizen aan het licht gekomen. Het bekendste en omvangrijkste probleem vond in 2012 plaats bij het Groene Hart Ziekenhuis. De medische dossiers van enkele tientallen patiënten en de adresgegevens van meer dan 493.000 patiënten waren gestolen. De gegevens waren slechts beveiligd door een kort en simpel wachtwoord.
Maar hier bleef het niet bij. De hacker die het datalek blootlegde, installeerde ook malware op het netwerk van het ziekenhuis, dat door geen enkele beveiligingslaag werd tegengehouden of gedetecteerd. Eerder, in 2010, zorgde malware ook al voor grote problemen bij het Westfries Gasthuis, dat dagenlang zo goed als platgelegd was door een malware-infectie.
Het blijft een uitdaging om systemen veilig te houden, onder andere door medische apparaten die niet geüpdatet (kunnen) worden en daarmee een wezenlijk gevaar voor het netwerk vormen. Maar, mede door de genoemde incidenten is er bij ziekenhuizen in ieder geval een groot bewustzijn voor het gevaar van datalekken en malware5.
Datzelfde kan (nog) niet in dezelfde mate worden gesteld voor andere zorgverlenende ondernemingen. Denk bijvoorbeeld aan thuiszorginstellingen, verpleegtehuizen en huisartsenpraktijken. Vanwege de veel kleinere schaal van dergelijke instellingen, zijn er geen grote schandalen bekend van datalekken, maar het is ondenkbaar dat die niet zouden hebben plaatsgevonden. Alleen al als we kijken naar het gebruik van antimalware-software, zien we veel problemen.
Veel instellingen gaan ervan uit dat hun zorgsysteem en zorgnetwerk hun eigen pc malware-vrij houden, terwijl dat niet het geval is. Als er al een antimalware-programma is geïnstalleerd, blijkt dat vaak een gratis product te zijn, dat bedoeld is voor consumenten. In de gebruiksvoorwaarden staat duidelijk vermeld dat deze oplossingen niet mogen worden ingezet voor professioneel gebruik. Wanneer dat toch gebeurt en een datalek vindt plaats, is dat een overtreding en reden voor een boete. Zorginstellingen moeten zich dan ook snel verdiepen in de beveiliging van hun eigen systemen, om dit gevaar te kunnen afwenden.
