Zorg vaker slordig met privégegevens

Datalekken De zorg is verantwoordelijk voor een groot deel van de datalekken. Meestal blijven die kleinschalig, maar data kunnen geld waard zijn.

Foto Michelle Gibson

Jeugdzorgorganisatie Save liet duizenden dossiers van cliënten onbeheerd, bleek deze week. Niet voor het eerst bleken zorggegevens niet veilig.

1 Wat ging er mis bij Save in Utrecht?

Save (Samen Veilig) heette tot 2015 Jeugdzorg Utrecht. Maar de oude domeinnaam op internet bleef bestaan en daar gingen geregeld nog e-mails naar toe met complete dossiers. In totaal ging het om dossiers van 2700 cliënten van wie driekwart onder de achttien jaar. De dossiers bevatten informatie over psychiatrische diagnoses en behandelingen, mishandeling en misbruik. Volgens RTL Nieuws kochten twee klokkenluiders de oude domeinnaam in oktober 2018. Ze lieten de redactie zien dat gevoelige dossiers daarheen werden gestuurd.

Lees ook: Duizenden dossiers van jeugdzorginstelling gelekt

Directeur van Save, Paul Janssen, zei in een reactie: „Deze domeinnaam was vanaf december 2017 niet meer bij Samen Veilig in beheer. Naar nu blijkt zijn de ICT-consequenties hiervan onvoldoende ingeschat. Wij zijn direct een onderzoek gestart om te analyseren hoe dit heeft kunnen gebeuren.”

2 Zijn zulke dossiers niet beschermd?

In theorie wel. Sinds 25 mei vorig jaar heeft elke publieke organisatie verplicht een functionaris gegevensbescherming. Die ziet erop toe dat de organisatie de bescherming van privacygevoelige gegevens goed regelt. Hij moet erop letten dat het personeel computers goed afsluit, geen mailtjes opent van onbekende afzenders of naar de verkeerde persoon stuurt en usb-sticks of papieren dossiers niet laat slingeren. Gebeurt zoiets wel, dan moet de functionaris dat lek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens (AP).

3 Hoe vaak gaat het fout?

Vorig jaar werden 20.800 datalekken gemeld. Bijna tweederde van de meldingen betrof persoonsgegevens die naar de verkeerde persoon werden verstuurd, blijkt uit het jaarverslag over 2018 van de AP.

De zorg is de sector die de meeste lekken meldt (29 procent), gevolgd door banken en verzekeraars (26 procent). In de zorgsector melden huisartsen, apotheken en ziekenhuizen veruit de meeste lekken. Slechts 6 procent (van de 29 procent) van de meldingen komt van de jeugdzorg.

4 Wat doet de Autoriteit Persoonsgegevens daartegen?

Bij ongeveer tweederde van de meldingen deed AP nader onderzoek. In 1,5 procent van alle gevallen ging de AP over tot actie: dat leidde meestal tot een waarschuwing. Taxibedrijf Uber kreeg eind vorig jaar een boete van 600.000 euro, omdat het een datalek veel te laat had gemeld.

5 Zijn er ook grotere datalekken?

Ja. In 4 procent van de gemelde gevallen ging het om phishing Met nepmails kan gepoogd worden ransomware te installeren, waarmee gegevens worden versleuteld die pas na betaling worden vrijgegeven. Ook is bekend dat hackers medische dossiers uit ict-systemen van ziekenhuizen pogen te bemachtigen. Als ze dat op grote schaal doen, kunnen ze die data verkopen aan farmaceutische bedrijven.