Zorg en welzijn goed voor een derde datalekken in 2017

De meest recente bekend geworden datalekken in zorg en welzijn vond plaats in het Erasmus Medisch Centrum. Bij het versturen van een nieuwsbrief door het Erasmus Medisch Centrum zijn per ongeluk e-mailadressen gelekt van met HIV besmette kinderen, zo meldde RTL Nieuws eerder in maart. Ook in maart maakte het Antoni van Leeuwenhoek ziekenhuis bekend dat in december 2017 een onbeveiligde externe harde schijf is gestolen met gegevens van patiënten. Het totaal aantal meldingen is in 2017 met ruim 70 procent  toegenomen ten opzichte van het jaar ervoor, van 5.849 naar 10.009. De meeste datalekken vonden behalve bij zorg en welzijn plaats bij openbaar bestuur en financiële dienstverlening. Ook in 2016 kwamen de meeste meldingen uit deze drie sectoren.

Zorgen over datalekken

AP-Voorzitter Aleid Wolfsen stelt dat de flinke toename van het aantal gemelde datalekken er enerzijds op wijst dat de bekendheid van de meldplicht toeneemt. “Anderzijds baart het ons zorgen dat de beveiliging nog vaak niet op orde is.” De toezichthouder benadrukt wel dat de hoeveelheid lekken niets zegt over de impact ervan. Bij bijna de helft van de datalekken (47%) die in 2017 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. Meldingen van kwijtgeraakte persoonsgegevens door  bijvoorbeeld een verloren of gestolen laptop, usb-stick of tas met dossiers vormen 15% van het totale aantal gemelde datalekken. Het gaat in de meeste gevallen om NAW-gegevens, geslacht, geboortedatum en BSN. De AP startte vorig jaar circa 635 onderzoeken naar beveiliging en mogelijke datalekken. Hieronder vielen ook onderzoeken naar mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Het komende jaar gaat de AP daar meer aandacht aan besteden. Over het algemeen leidden de onderzoeken tot een waarschuwing en beëindiging van de overtreding. Een deel van de onderzoeken loopt nog.

AVG: strengere meldplicht

Vanaf 25 mei 2018 geldt in de Europese Unie de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de gemelde datalekken. Daarnaast zijn de boetes vanaf 25 mei hoger (tot 4% van de jaaromzet). Vanaf 25 mei 2018 krijgen alle EU-landen te maken met de meldplicht datalekken. Nederland heeft al sinds 1 januari 2016 de meldplicht datalekken ingevoerd. Meer over wat de AVG  wel en vooral niet voor de zorg betekend leest u in de aankomende editie ICT&health. Deze verschijnt op 17 april.