Meeste melding van datalekken uit zorgsector

Privacy

Dit jaar zijn er zo’n 5.500 gevallen van datalekkage gemeld. Niet alle gevallen hoeven schadelijk te zijn voor de privacy.

iStock

Het afgelopen jaar is in totaal zo’n 5.500 keer gemeld dat privacygevoelige informatie van organisaties per ongeluk is gelekt.

Vooral in de sector zorg- en welzijn is regelmatig sprake van het lekken van vertrouwelijke inlichtingen: bijna een derde van de meldingen kwam uit die hoek. Er wordt daar juist met zeer privacygevoelige informatie gewerkt, bijvoorbeeld gegevens over ziektes of geestelijke problemen.

Dat soms onzorgvuldig met dat soort gegevens wordt omgegaan is „heel zorgelijk”, zegt de voorzitter van toezichthouders Autoriteit Persoonsgegevens (AP) Aleid Wolfsen. Zo lekte een lijst met namen en gegevens van duizenden mensen die worden behandeld voor psychiatrische problemen doordat een e-mail naar een aantal verkeerde adressen werd gestuurd. „Dat is verschrikkelijk”, aldus Wolfsen.

Onbeveiligde laptops en zoekgeraakte of besmette usb-sticks; zo worden gegevens gelekt. “Bedrijven hopen simpelweg dat een hack nooit ontdekt wordt.”

Ruim honderd waarschuwingen

Na de sector zorg- en welzijn meldde de sectoren financiële dienstverlening – zoals banken en verzekeraars – (17 procent) en openbaar bestuur (15 procent) zich het vaakst met datalekken. Meer dan honderd organisaties kregen afgelopen jaar een waarschuwing van de AP over slechte informatiebeveiliging.

Lekken worden vaak bewust onder de pet gehouden.

De sector zorg- en welzijn is vermoedelijk relatief snel geneigd om datalekken te melden, omdat het besef groot is dat met gevoelige gegevens wordt gewerkt, zegt Wolfsen. Beveiligingsexperts weten uit de praktijk dat commerciële bedrijven veel minder happig zijn om datalekken te melden, uit angst voor imagoschade.
Lekken worden vaak bewust onder de pet gehouden. Het komt ook regelmatig voor dat een organisatie niet in de gaten heeft dat derden bij persoonsgegevens kunnen. Mede om die redenen viel het aantal datalekken vermoedelijk veel lager uit dan van te voren werd ingeschat, toen nog werd gesproken over jaarlijks zestigduizend lekken.

Gijzelen van computers

Een datalek wil niet per definitie zeggen dat er gegevens in handen zijn gekomen van mensen die kwaad willen met die informatie. Het gaat bij meldingen vaak om gestolen of zoekgeraakte usb-sticks of laptops. Regelmatig waren het ook brieven met gevoelige informatie die geopend terugkwamen bij de afzender, of verkeerd verstuurde e-mails met gevoelige informatie. Computercriminaliteit valt ook onder een datalek, zoals ransomware, waarbij alle bestanden in een computer worden gegijzeld voor losgeld.

In sommige gevallen zijn lekken wel heel schadelijk, bijvoorbeeld als blijkt dat persoonlijke gegevens worden aangeboden op online zwarte markten om fraude mee te plegen.