AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar

De Nederlandse zorgsector was in de eerste helft van dit jaar verantwoordelijk voor het hoogste aantal meldingen van datalekken. De zorgsector doet sinds de inwerkingtreding van de datalekkenmeldplicht steevast de meeste meldingen, stelt de Autoriteit Persoonsgegevens.

In de eerste helft van 2019 kreeg de privacytoezichthouder 11.906 meldingen van datalekken. De gehele zorgsector was goed voor een aandeel van 31 procent, wat neerkomt op ongeveer 3690 meldingen. Daarmee gaat de zorgsector ruimschoots aan kop; andere sectoren volgen op gepaste afstand, zoals de financiële sector met 20 procent en het openbaar bestuur met 19 procent.

Van die 3690 meldingen uit de zorgsector gedurende het eerste halfjaar was 23 procent afkomstig van ziekenhuizen, gevolgd door apotheken met 22 procent en bevolkingsonderzoeksstichtingen met 9 procent. Volgens het onderzoek van de Autoriteit Persoonsgegevens ging het bij twee derde van de meldingen uit de zorgsector om een datalek met één betrokkene. Bij de financiële sector kwam 54 procent van de meldingen van incassobureaus. Bij het openbaar bestuur hadden vooral zelfstandige bestuursorganen, gemeenten en de Rijksoverheid een aandeel in het aantal meldingen, in respectievelijk 37, 34 en 26 procent van de gevallen.

De meeste meldingen betreffen gevallen waarbij persoonsgegevens aan een verkeerde ontvanger zijn verstuurd of afgegeven; dit was in 63 procent van de gevallen. Het gaat dan bijvoorbeeld om een e-mail met gevoelige informatie die naar een verkeerde ontvanger wordt gestuurd of door een typefout bij een verkeerde ontvanger zijn beland. Een ander voorbeeld is dat van personen die hun eigen gegevens opvragen bij organisaties, maar door een administratieve fout ook de persoonsgegevens van iemand anders ontvangen.

Datalekken met mobiele apparatuur, waaronder usb-sticks, smartphones, tablets en laptops, kwamen met 27 procent het meest voor in de zorgsector. Het gaat dan vooral om kwijtgeraakte of gestolen apparaten. Hacking, malware of phishing waren in vier procent van het totale aantal meldingen de oorzaak van een datalek. Dit type kwam het meest voor in de zakelijke dienstverlening, gevolgd door de zorgsector. Als het echter gaat om datalekken die 5000 of meer personen raken, betreft het in 47 procent van de gevallen hacken, malware of phishing.

Als de huidige trend aanhoudt, is het aantal gemelde datalekken aan het einde van het dit jaar met 14 procent gestegen ten opzichte van 2018, verwacht de toezichthouder. De Autoriteit Persoonsgegevens meldt dat ze in totaal bij 502 meldingen actie heeft ondernomen, waarbij in verreweg de meeste gevallen de meldende organisatie telefonisch is benaderd met aanvullende vragen over het datalek.

Door Joris Jansen

Redacteur

Feedback • 19-09-2019 13:55 42

19-09-2019 • 13:55

42

Lees meer

De toekomst van het wachtwoord

21 okt 2019

De toekomst van het wachtwoord

Er moet iets veranderen aan authenticatie

259
Blokker waarschuwt onbekend aantal klanten voor datalek
Blokker waarschuwt onbekend aantal klanten voor datalek Nieuws van 17 januari 2020
Privacywaakhond berispt ggz-onderzoeksinstantie voor verwerken persoonsgegevens
Privacywaakhond berispt ggz-onderzoeksinstantie voor verwerken persoonsgegevens Nieuws van 16 december 2019
Nederlandse overheid publiceert op website hoe overheidsdiensten data verwerken
Nederlandse overheid publiceert op website hoe overheidsdiensten data verwerken Nieuws van 11 december 2019
Pretpark dreigt met aangifte tegen ontdekker van datalek die om kaarten vraagt
Pretpark dreigt met aangifte tegen ontdekker van datalek die om kaarten vraagt Nieuws van 15 oktober 2019
Gegevens van alle huidige en ex-werknemers van Strukton Rail zijn gestolen
Gegevens van alle huidige en ex-werknemers van Strukton Rail zijn gestolen Nieuws van 9 oktober 2019
AP doet geen onderzoek naar bedrijf dat medische gegevens bij Google bewaart
AP doet geen onderzoek naar bedrijf dat medische gegevens bij Google bewaart Nieuws van 30 september 2019
Betaalvereniging Nederland: Aantal phishing-sms'jes verdubbelde sinds begin 2019
Betaalvereniging Nederland: Aantal phishing-sms'jes verdubbelde sinds begin 2019 Nieuws van 27 september 2019
Datalek bij Chinese slimmecamerafabrikant treft 14.000 exemplaren in Nederland
Datalek bij Chinese slimmecamerafabrikant treft 14.000 exemplaren in Nederland Nieuws van 21 september 2019
Autoriteit Persoonsgegevens deelt AVG-boete van 460.000 euro uit aan ziekenhuis
Autoriteit Persoonsgegevens deelt AVG-boete van 460.000 euro uit aan ziekenhuis Nieuws van 16 juli 2019
Medewerkers Menzis hadden onterecht toegang tot medische dossiers
Medewerkers Menzis hadden onterecht toegang tot medische dossiers Nieuws van 4 april 2019
Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018
Autoriteit Persoonsgegevens ontvangt 21.000 meldingen van datalekken in 2018 Nieuws van 29 januari 2019
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken Nieuws van 29 maart 2018
'Nederlandse ziekenhuizen meldden dit jaar 304 datalekken'
'Nederlandse ziekenhuizen meldden dit jaar 304 datalekken' Nieuws van 24 november 2016
Meer producten en artikelen
Beveiliging en antivirus Privacy Autoriteit Persoonsgegevens Datalek

Reacties (42)

-Moderatie-faq
42
42
20
1
0
20
Wijzig sortering

Sorteer op:

Weergave:
Zynth 19 september 2019 14:01
Er zijn dus 11.906 meldingen van datalekken in de eerste helft van 2019.
Waarvan 3690 uit de zorgsector.
Je kan dus volgens mij wel concluderen dat gegevens bij derden niet-veilig zijn; zelfs met medische gegevens loop je een groot risico.

Ik maak me zorgen over hoe je je als consument hier tegen kan beschermen.
CAPSLOCK2000
@Zynth19 september 2019 14:50
Ik maak me zorgen over hoe je je als consument hier tegen kan beschermen.
Ik probeer mijn gegevens zo veel mogelijk zelf in de hand te houden en vooral niet te delen met organisaties als Google en Facebook die zijn gericht op het verzamelen van data.
Ten tweede probeer ik altijd zo min mogelijk informatie te geven bij het invullen van (bestel)formulieren. De winkelier hoeft mijn telefoonnummer niet te hebben om een USB-kabeltje van 3 euro te bezorgen. Desnoods lieg ik, ook al vind ik dat eigenlijk maar niks. Ik probeer vooral te bestellen bij bedrijven die het wel goed doen, maar dat is niet altijd mogelijk.
Ten derde stem ik op politieke partijen (en vooral politici) die het probleem lijken te begrijpen en er iets mee doen.

Owja, over de zorgsector zelf maak ik me niet heel veel zorgen, ook al hebben ze heel veel bijzonder gevoelige informatie. Ik geloof dat ziekenhuizen en dergelijken echt het beste met de mensen voor hebben, ook al schieten de middelen vaak te kort.
Ik maak me meer zorgen over andere sectoren waar ze misschien minder gevoelig informatie hebben en meer geld voor veiligheid, maar ook een stuk minder scrupules en geen inherente missie om mensen te helpen.
Zynth @CAPSLOCK200019 september 2019 14:58
Mijn probleem zit hem juist in wat je zegt;
ziekenhuizen en dergelijke hebben echt het beste met de mensen voor.
Maar desondanks zijn ze totaal niet in staat zorgvuldig met gegevens om te gaan.

De vraag rijst dan; hoe verder?
CAPSLOCK2000
@Zynth19 september 2019 17:52
Mijn probleem zit hem juist in wat je zegt;
ziekenhuizen en dergelijke hebben echt het beste met de mensen voor.
Maar desondanks zijn ze totaal niet in staat zorgvuldig met gegevens om te gaan.

De vraag rijst dan; hoe verder?
Wetgeving en geld.
Er moet wetgeving komen die meer verantwoordelijkheid bij de leveranciers van software ligt. Nu wordt alle verantwoordelijkheid bij de klanten neergelegd. Die investeren veel geld in een stuk software, maar als er iets mis mee is draaien ze zelf op voor de gevolgen. Zo'n beetje alle softwareleveranciers stellen hun contract zo op.
Ze moeten wel, want anders zouden ze veel te duur lijken in verhouding tot hun concurrenten die geen verantwoordelijkheid nemen. Wettelijke eisen kunnen helpen om de lat voor iedereen hoger te leggen.
Uiteraard zal dat niet gratis zijn. Momenteel betalen we de kale software vooraf, en moeten achteraf bijbetalen om de (beveiligings)problemen op te lossen. Het zou beter zijn om die kosten in de aanschafprijs te stoppen.

De softwarehuizen zullen dan genoodzaakt zijn om veel meer aandacht aan veiligheid te geven in plaats van vooral te focussen op nieuwe features. Nieuwe features zijn leuk, maar ook een financieel risico. Dat zal de software-industrie wel een tijdje afremmen. We zullen een aantal dingen opnieuw moeten doen om dat de huidige software gewoon te brak is om mee verder te gaan. Uiteindelijk worden we daar beter van. De eindeloze stroom bugs waar we nu mee te maken hebben kost ook bakken geld.
Ik zou ook willen dat softwareleveranciers zich moeten gaan verzekeren voor (de gevolgen van) bugs en lekken, zodat ze niet de tent failliet kunnen laten gaan om onder de kosten uit te komen.

Verder denk ik dat we het geld in Nederland anders moeten gaan verdelen. Dit is misschien niet de beste plek voor sociaal-economische discussies, maar de afgelopen decennia zijn bedrijven steeds minder belasting gaan betalen en burgers steeds meer, vooral aan de financiële onderkant van de maatschappij. Als de mensen met het minste geld moeten opdraaien voor de meeste kosten krijg je nooit draagvlak om meer geld te investeren. Als we dat kunnen veranderen is er meer geld beschikbaar voor sociale projecten zoals zorg.
BCC @Zynth19 september 2019 15:24
Dit lijkt mij stap 1: bewust onbekwaam.
m_snel @CAPSLOCK200019 september 2019 17:04
Wacht maar tot jij in het ziekenhuis ligt, en ipv je teen iets anders amputeren, omdat een hacker een grap uithaalt.

Dit is gewoon zielig, iedereen had iets tegen het patiënten dossier, maar als ik het zo hoor, was het misschien beter om alles daar op te slaan en niet in een gebrekkig systeem van een huisarts.

Natuurlijk is dat een hele opgave, maar nu kunnen ziekenhuizen niet eens bij de gegevens van een patiënt, maar het aantal data lekken neemt toe.
CAPSLOCK2000
@m_snel19 september 2019 17:28
Wacht maar tot jij in het ziekenhuis ligt, en ipv je teen iets anders amputeren, omdat een hacker een grap uithaalt.
Je begrijpt me verkeerd. Die data moet goed beveiligd worden, maar ik maak me geen zorgen dat een ziekenhuis mijn data aan Facebook verkoopt, of bewust niet beveiligd omdat ze niet geven om de privacy van hun klanten. Bij sommige andere bedrijven hou ik daar wel rekening mee.
The Zep Man
@Zynth19 september 2019 14:05
Ik maak me zorgen over hoe je je als consument hier tegen kan beschermen.
Het enige dat je zelf kan doen is zelf zoveel mogelijk controle houden over je gegevens. Schrijf je je in bij een nieuwe zorgverlener? Haal dan zelf de data op bij je oude zorgverlener en lever die persoonlijk af bij de nieuwe. Geef verder nooit toestemming om je gegevens te delen, zoals via het LSP.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 13:13]

Bensimpel @Zynth19 september 2019 14:59
Tegenwoordig worden gelukkig wel dit soort zaken gemeld. Dat is al beter dan het maar onder een tapijt stoppen en doen alsof er niks aan de hand is.

Ik vind ook dat er meer geld naar de toezichthouder mag om zo beter te handhaven en de instellingen/bedrijven die nogsteeds alles on het tapijt te stoppen zwaar te bestraffen.

Met de meldingen moet natuurlijk ook wat gedaan worden. Ik ben benieuwd of dezelfde instellingen ook verbetering laat zien?
WPN @Zynth19 september 2019 20:58
Deze meldingen zijn deels ook te danken aan post bezorging (of eigenlijk het falen daarvan).

Het komt helaas voor dat wanneer er een postcodegebied uitgenodigd wordt dat de postbezorger een deel van of het hele gebied niet bezorgd om welke reden dan ook. Het is dan niet meer bekend waar de brieven zijn gebleven en dat levert dus een melding op, immers staan er client gegegevens op de brief die niet bezorgd is...
Vice Dellos @Zynth20 september 2019 10:14
Ik heb het gevoel dat je een veel te sterke conclusie trekt uit deze cijfers.

Ten eerste is de zorg een van de grootste branches van Nederland (16% van de beroepsbevolking in 2016 blijkbaar? https://app.zwdz.nl/sectoren.html) en gaat practisch iedereen erin om met veel persoonsgegevens dus is er per werknemer ook nog eens een groter risico dan bijvoorbeeld handel die in dezelfde bron met 15%.

Ten tweede is er meldingsbereidheid. Gebeurt het in de zorg meer of melden ze het gewoon beter?

Het is belangrijk om hier verder naar te kijken, maar niet direct de zorgsector te veroordelen als de slechtste sector, want misschien doens ze het juist realtief goed.
Zynth @Vice Dellos20 september 2019 10:55
Wat je zegt is waar.
Maar stel; ik ben zeer zorgvuldig met mijn gegevens, en ik wil niet dat ze in verkeerde handen vallen.

Ik krijg een ongeluk, en moet een ambulance bellen.
Wat dan? Ik kan geen kant op, maar loop wel een aardig risico qua gegevens.
Bottom-line heb ik geen keus, en ben ik overgeleverd aan anderen die naar blijkt regelmatig mijn gegevens laten lekken. Er is niets wat ik kan doen.
En dat vind ik zorgelijk.

Er hoeft maar 1 idioot mijn gegevens te hebben, en hij kan mijn leven aardig ruineren.
Dat geldt voor bijna iedereen.

[Reactie gewijzigd door Zynth op 23 juli 2024 13:13]

i-chat 19 september 2019 14:05
Gokje, dit komt waarschijnlijk omdat andere partijen gewoon hun waffel houden en doen of er niets aan het handje is?

Datahoarding is een groot ding dus iedereen doet het, die paar organisaties die daar ook nog valide redenen toe hebben moet je niet lastig vallen met dit soort BS, die moet je ver............ helpen om hun systemen op orde te krijgen.

Sinds het afschieten van het EPD (in plaats van het te verbeteren naar een wél acceptabel plan) en het in private handen laten komen van lokale projectjes is het er ook niet erg veel beter op geworden voor de privacy van patiënten.

Pas las ik nog dat de AP een of ander ziekenhuis een flinke boete had opgelegd.
Iedere zichzelf respecterende jurist weet echter dat de AP ook bestuursdwang had kunnen toepassen. Het resultaat zou zijn dat de AP eigenhandig de situatie kon verbeteren op kosten van het betreffende ziekenhuis. Dan was er tenminste niet alleen een financiële strop, maar ook feitelijke verbetering!

[Reactie gewijzigd door i-chat op 23 juli 2024 13:13]

Bitfreakie @i-chat19 september 2019 14:09
De meldingsbereidheid is in de zorg erg groot (men is nogal plichtsgetrouw, ligt ook onder een vergrootglas), dan scoor je automatisch relatief hoog t.o.v. andere sectoren.
i-chat @Bitfreakie19 september 2019 14:20
Dat geloof ik graag,

Dat is het hele punt bij zorg, mensen willen graag helpen, bovendien is er in de zorgsector hoe dan ook al gewenning aan het idee dat je fouten moet melden.
Vroeger wellicht alleen medische, nu ook organisatorische.

Dat neemt geenszins weg dat dit soort datalekken enorm problematisch zijn en grote (negatieve) gevolgen kunnen hebben voor de patiënt. Maar laten we niet vergeten dat er de de afgelopen 10 jaar enorme bezuinigingen hebben plaatsgevonden, dat er bovendien een hele nieuwe middle-ware (met winstmaximalisatie) is geïntroduceerd (in de zin van de verzekeringswereld) om dan nu, nu we er de wrange vruchten van plukken, te gaan janken over allerlei problematiek.

Ik krijg daar een behoorlijk nare smaak van in de mond.

Het idee dat ziekenhuizen maar aanmodderen omdat niemand echt begrijpt hoe je zoiets, goed, veilig, eventueel decentraal, traceerbaar en reguleerbaar moet neerzetten is schokkend. En dit geld evengoed voor de zorg, als voor het onderwijs, als voor de rechtspraak als voor talloze andere (semi-)overheidstaken.
MrMonkE @i-chat19 september 2019 14:35
Ik heb bij een werkgever in de zorg gezeten waar ze gecertificeerd waren voor een ISO norm van ICT veiligheid. Was een heel project. Het is me echt een raadsel hoe ze die hebben gekregen als ik denk aan de encrypted wachtwoorden in een bepaalde applicatie. (dus geen hashing!!) Er zit heel veel mensen die willen helpen, inderdaad. Maar er zitten ook veel mensen op 'Peter principle' posities dus upward management is soms noodzakelijk.

Zie ook: https://en.wikipedia.org/wiki/Peter_principle

NB: De genoemde applicatie is inmiddels offline, maar ten tijde van het traject en certificering draaide hij nog vrolijk mee.

[Reactie gewijzigd door MrMonkE op 23 juli 2024 13:13]

janbaarda @MrMonkE19 september 2019 14:41
ISO (b.v. 9000:2000) zegt niets over kwaliteit. Je moet aantonen dat wat je zegt over een proces ook overeenkomt met wat je in werkelijkheid doet. Op deze wijze kan een slecht proces een ISO certificering krijgen.
MrMonkE @janbaarda19 september 2019 14:48
Okay. Dus als mensen niet weten hoe iets werkt en ze in de database een wachtwoord zien dat niet herleidbaar is voor hun denken ze misschien dat het gehashed is terwijl het encrypted is. En dus herleidbaar als je de key hebt. Is ook moeilijk, er draaien echt heel veel systemen in een ziekenhuis.

@CAPSLOCK2000
Ja, het is ook bijna onmogelijk eigenlijk om een echte goede audit te doen zonder de kosten exponentieel te zien stijgen. Geen ISO gehaal is er iets fout. Goede insteek!
K-aroq @janbaarda19 september 2019 15:02
Het zegt juist wel wat over kwaliteit: kwaliteit is immers dat je een proces hebt dat zorgt voor een voorspelbaar resultaat. Als je in een proces beschrijft dat een kastdeur na 10 keer openen er uit moet flikkeren en hij doet dat ook altijd heb je kwaliteit geleverd. Als het na 100 keer gebeurt heb je een slechte kwaliteit (als het doel was om het na 10 keer te hebben).
CAPSLOCK2000
@MrMonkE19 september 2019 14:43
Ik heb bij een werkgever in de zorg gezeten waar ze gecertificeerd waren voor een ISO norm van ICT veiligheid.
De meeste certificeringen, standaarden en audits zijn heel nauw, ze kijken maar naar een beperkt aantal aspecten, niet naar het hele systeem, en zijn niet meer dan het absolute minimum.

Zo kreeg ik tijdens een audit ooit de vraag "Worden er backups gemaakt?". Ik begon mijn antwoord met "Ja, maar ....". In de 'maar' was men niet geïnteresseerd, voor het slagen van de audit was alleen van belang dát er backups worden gemaakt. Niet hoe vaak, niet hoe lang ze bewaard worden, niet of ze ooit getest worden, niet of ze beveiligd zijn, etc...

Een ISO-normering of certificaat geeft geen garanties dat het goed is. Je moet het omgekeerd zien: als je niet door de test komt, dan weet je vrijwel zeker dat er iets fout is. Net zoals geen enkele arts ooit gaat zeggen dat je gezond bent, alleen dat ze geen sporen van ziekte X hebben kunnen vinden.
m_snel @i-chat19 september 2019 17:12
ICT heeft natuurlijk niet direct met zorg te maken, en ik kan me voorstellen dat daar een heel andere cultuur heerst.

Wat ik helaas hoor (van diverse mensen uit de zorg) over de zorg, is dat er veel competitie is tussen afdelingen.

En ik kan me daar iets van voorstellen. Mijn moeder liep al een jaar van huisarts naar specialist, omdat ze helemaal opgezwollen was. Toen ze op weg naar de huisarts is gevallen en naar het ziekenhuis moest voor een nieuwe heup, zeiden ze daar toen wij begonnen over haar toestand (waardoor ze bewusteloos raakte en viel) daar is ze hier niet voor.

Paar maanden later was ze dood door een gezwel dat haar slagader blokkeerde.
migchiell @i-chat19 september 2019 14:52
Pas las ik nog dat de AP een of ander ziekenhuis een flinke boete had opgelegd.
Iedere zichzelf respecterende jurist weet echter dat de AP ook bestuursdwang had kunnen toepassen. Het resultaat zou zijn dat de AP eigenhandig de situatie kon verbeteren op kosten van het betreffende ziekenhuis. Dan was er tenminste niet alleen een financiële strop, maar ook feitelijke verbetering!
Naast de boete is er een voorwaardelijke boete opgelegd om die verbetering af te dwingen.
meestertje @i-chat19 september 2019 16:22
Bestuursdwang is natuurlijk niet zo handig. Het is helemaal niet praktisch als daar morgen een mannetje van de AP die de hele organisatie niet ment op een bureaustoel gaat zitten dingen aanpassen. Bestuursdwang is veel praktischer bij simpele zaken, zoals een bult afval verwijderen oid. Wat wel zou kunnen is een last onder dwangsom opleggen, maar ook dat is hier niet het meest voor de hand liggend. Ook een boete is een prima prikkel om te zorgen dat het niet weer gebeurt.
The Zep Man
19 september 2019 14:00
Het gaat dan bijvoorbeeld om een e-mail met gevoelige informatie die naar een verkeerde ontvanger wordt gestuurd of door een typefout bij een verkeerde ontvanger zijn beland.
Tenzij die e-mails voorzien zijn van encryptie en verificatie (S/MIME, PGP, ...) is dat op zich al een datalek als ze over het Internet gaan.
Als de huidige trend aanhoudt, is het aantal gemelde datalekken aan het einde van het dit jaar met 14 procent gestegen ten opzichte van 2018, verwacht de toezichthouder.
Fixed.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 13:13]

zonoskar 19 september 2019 14:09
Dat wordt wat als er een centraal patiënten dossier komt....
rik86 @zonoskar19 september 2019 14:29
dat zou juist een winstpunt zijn, als het merendeel van de lekken komt omdat gevoelige communicatie per mail/post gaat, waar een tikfout in adressering natuurlijk snel gemaakt is.

Wanneer die communicatie via een patiëntendossier gaat waarbij gerechtvaardigde overdracht aan andere partijen ook via die weg gaat, dan vermindert dat het aantal datalekken enorm.
CivLord @zonoskar19 september 2019 15:29
Dat betekent minder gezeul met dossiers en USB-sticks. Minder email en post.
Dus ja, dat zal op dit gebied een hele verbetering zijn.
maratropa 19 september 2019 14:56
wat ik me nog afvroeg, als je een laptop kwijtraakt tjokvol met persoonsgegevens, maar deze is bijv. beveiligd met encryptie en 2fa etc, is dat dan een datalek? Als in principe niemand er bij kan komen? ( ik ga er van uit dat de beveiliging in kwestie op dat moment als betrouwbaar gezien wordt)
Trank00l @maratropa19 september 2019 15:07
Dat is dan geen data lek, gezien er geen toegang is tot de data.
stok @Trank00l19 september 2019 15:22
Onjuist.
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Van AP.
feep @stok19 september 2019 15:42
Door goede encryptie is er geen toegang tot de data en dus geen schade voor de personen in kwestie. Ik zou dus geen melding maken. De meeste bedrijven melden dit dus ook denk ik niet anders zouden er veel meer meldingen binnen komen bij de AP.
Trank00l @stok19 september 2019 16:08
Wel juist. Er is geen toegang tot de data. Je verliest dus de gegevens in feite niet, want niemand kan er bij.

Dat het gemeld moet worden kan best, maar heeft verder geen consequenties.
multikoe @stok19 september 2019 16:36
Ik lees verliezen als "kwijtraken".
Dat betekent dat je een laptop, die ge-encrypt is, niet hoeft te melden als je de gegevens gewoon nog hebt.
Hoewel, als ik daar over nadenk: je kunt wel zeggen of denken dat je gegevens ge-encrypt zijn, maar kun je ook hard maken dat niemand never nooit niet bij die gegevens kan komen? Lijkt me stug.
Dus: melden.
BCC @maratropa19 september 2019 15:25
Geen lek, maar moet je wel melden aan de AP. Dit is volgens mij 1 van de voorbeeld cases van het AP.

[Reactie gewijzigd door BCC op 23 juli 2024 13:13]

netmeester 19 september 2019 14:31
Tjsa, databeveiliging is niet de core business van zorgverleners. Chirurgen die hun systeem niet locken als ze patiënten een paar minuten alleen in de ruimte laten is niks geks bijvoorbeeld.
Volgens mij boeit het veel zorgverleners gewoon niet, die zijn er om zorg te verlenen en niks anders.
Ik zeg niet dat ze dit bewust doen, en wat mij betreft is het ook niet hun schuld: de enige manier is om de automatisering aan de zorgverleners aan te passen in plaats van dat de zorgverleners zich aan de automatisering aan moeten passen (wat nu volgens mij het geval is).
Ircghost @netmeester19 september 2019 15:44
Bij welk bedrijf is databeveiliging wel de core business? Op data centra en managed hosting partijen na zijn er denk ik niet zoveel bedrijven die dat kunnen zeggen.

Wat betreft de oplossing zul je het inderdaad (groten)deels moeten zoeken in afdwingende technieken maar zeker ook in bewustwording / cultuurverandering. Want ondanks dat je dingen nog zo goed dicht zet, gebruikers vinden altijd, maar dan ook altijd, een weg naar buiten.

Wat dat betreft is het dus ook belangrijk dat niet alleen het MT/de board aangeeft dat beveiliging en privacy belangrijk is, je wilt ook eigenlijk constant bewust en onbewust aandacht vragen voor dit onderwerp door bijvoorbeeld doorlopende campagnes / reminders & ludieke acties.
Yoshi @netmeester19 september 2019 15:49
neen, maar databeveiliging zou wel de corebusiness moeten zijn van de IT afdeling van die chirurgen ;-) .

zo kan je perfect met een algemeen windows account zonder rechten werken, en dan een invidueel epd account die er na 1 minuut inactiviteit een lock overgooit.

Dit laatste is wel niet wenselijk tijdens een operatie btw ;-), maar aangezien er toegangscontrole is naar een ok, en de zorgvrager er het meeste van de tijd niet alleen ligt lijkt me dat ook minder een probleem.
netmeester @Yoshi19 september 2019 16:00
Maar dat is dus niet het geval in het lokale ziekenhuis hier, de applicaties waren geminimaliseerd en en ingelogd (dat laatste bleek toen de chirurg weer binnenkwam). Ik heb er een voorzichtige opmerking over gemaakt; volgens de chirurg was minimaliseren voldoende want locken was te veel werk. M'n mond viel open...
Er zijn meerdere oplossingen te bedenken, maar ik had niet het idee dat er ook maar één fatsoenlijke oplossing gebruikt werd. Ik heb dan ook m'n twijfels bij de IT-afdeling daar, en tevens vraag ik me af of de goede man zich wel bewust is van wat hij verkeerd doet in mijn ogen.

Hoewel dit maar één geval is, heb ik niet het idee dat dit een uitzondering op de regel is, juist omdat er niks zichtbaar was qua beveiliging. De man gaat zitten, maximaliseert z'n vensters en begint gewoon.

Dit betrof een pre-operatief gesprek - ik denk dat je gelijk hebt dat het in de OK minder van belang is.
Helox-in-a-box 19 september 2019 15:29
Volgende stap: jaarlijks overzicht van datalekken per persoon opsturen? Wil wel weten of mijn data is gelekt ergens.
Ircghost @Helox-in-a-box19 september 2019 15:40
Als jouw data ergens gelekt is en het is als zodanig ingeschat dat dit een risico heeft voor jouw rechten dan zal je ook geïnformeerd moeten worden tenzij de instelling hard kan maken dat dit een onevenredige effort betekent voor hen. Als dat zo is dan moeten zij o.a. wel op hun website duidelijk aangeven wat er gebeurd is, maar je mag je natuurlijk wel afvragen of je in de praktijk überhaupt op zo'n website komt.

Echter gezien de grote risico's voor betrokkenen, kan ik mij bijna niet voorstellen dat een ziekenhuis zich eronderuit kan lullen dat ze een individuele meldingsplicht hebben aan getroffen personen.
Yarisken 19 september 2019 16:24
Mijn ziekenhuis had bepaalde gegevens van mij in de cloud staan .... . Heb dit snel laten stoppen maar het kwaad is geschied.
kodak
19 september 2019 17:04
Fijn dat ze melden. Maar nemen ze daarna ook de oorzaken waardoor de lekken konden ontstaan weg? Als keer op keer goederen als usb sticks met persoonsgegevens verdwijnen, adressen niet goed gecontroleerd worden en medische gegevens verkeerd worden geselecteerd kan het niet zo zijn dat daar geen oplossingen voor doorgevoerd worden in de hoop dat het ooit spontaan niet meer zal voorkomen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq