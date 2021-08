“Digitale veiligheid is een groot goed, zeker in de zorg, en heeft voortdurend onze aandacht”, aldus Mark Janssen, lid Raad van Bestuur bij het Radboudumc in een reactie. “We vinden het enorm vervelend dat we er desondanks niet in geslaagd zijn dit incident te voorkomen. Onze welgemeende excuses aan alle collega’s en partnerorganisaties die overlast ervaren als gevolg van deze situatie.”

Gegevens op internet

Door menselijk handelen binnen de ICT-organisatie kwamen accountgegevens van mensen met een Radboudumc-werkplek op internet terecht. Het gaat om medewerkers van het Radboudumc zelf, maar ook om medewerkers van partnerorganisaties.

De gelekte persoonsgegevens omvatten (inlog)namen, e-mailadressen en telefoonnummers. Er zijn geen patiëntgegevens of andere bijzondere persoonsgegevens openbaar geworden, benadrukt het ziekenhuis. Applicaties van de ICT-omgeving, zoals het elektronisch patiëntendossier, zijn niet in gevaar geweest.

Datalek direct gedicht

Na de ontdekking heeft het Radboudumc het lek onmiddellijk gedicht. Ook zijn er niet nader omschreven maatregelen genomen om herhaling en verdere schade te voorkomen. Het datalek is – zoals verplicht is onder de AVG – gemeld bij de Autoriteit Persoonsgegevens.

Het onderzoek naar de precieze toedracht, impact en getroffen personen loopt nog. Alle getroffen personen ontvangen hier de komende dagen persoonlijk bericht over.

Regelmatig datalek in zorg

Datalekken vinden relatief vaak plaats in de gezondheidszorg. Dat stelde het CBS afgelopen mei in een meerjarig overzicht van onderzoek over het ICT‐gebruik van bedrijven in de Cybersecuritymonitor 2020. Ook in mei presenteerde zorgbeveiliger Z-Cert met VWS een handreiking om de kans op een datalek door een verlopen domeinnaam zo klein mogelijk te maken.

In 2019 meldde 6 procent van de organisaties uit de zorgsector een ‘dataonthullingsincident’ met een interne oorzaak, aldus de CBS-studie. Bij 1 procent van zorgorganisaties werd een onthulling veroorzaakt door een aanval van buitenaf. Met name op het eerste gebied steekt de zorgsector met kop en schouders boven andere sectoren uit. De ICT-sector staat met 4 procent organisaties met datalekken door interne oorzaak op de tweede plek.

Menselijk handelen

In januari 2021 stelde de Autoriteit Persoonsgegevens (AP) de GGD onder ‘verscherpt toezicht’. Aanleiding was een grootschalige diefstal van persoonsgegevens uit twee informatiesystemen van de GGD. Uit onderzoek van RTL Nieuws bleek destijds dat een kwetsbaarheid in beide systemen was misbruikt door twee medewerkers, die persoonsgegevens hebben verkocht. Het downloaden van deze gegevens bleek al sinds april 2020 mogelijk te zijn.

Datalekken worden ook vaak veroorzaakt door niet crimineel menselijk handelen. Zo had vorig jaar maart een medewerker van het Flevoziekenhuis tegen de regels in, patiëntgegevens op een USB-stick gekopieerd. Vervolgens verloor diezelfde medewerker deze USB-stick verloren op een parkeerterrein in de buurt van het ziekenhuis. Daardoor lagen de gekopieerde patiëntgegevens letterlijk even op straat.