Vijf tips om datalekken in de zorgsector te voorkomen

De meeste zorginstellingen zullen niet snel denken aan een datalek als gevolg van wijziging van een domeinnaam als zij zich met privacy bezighouden. Dit is echter een niet te onderschatten risico. In deze blog vertel ik meer over datalekken in de zorg en de risico’s bij het niet veilig achterlaten van domeinnamen. Daarnaast geef ik u vijf tips om een datalek te voorkomen.

Datalekken in de zorg: het komt vaker voor dan u denkt

Recent kwam aan het licht dat zorginstelling Kenter Jeugdhulp (een organisatie die zich richt op het bieden van gespecialiseerde opvoedhulp en psychische hulp voor jeugdigen) is getroffen door een datalek. Het is geen primeur, al eerder werden diverse zorginstelling hierdoor getroffen. De door de Autoriteit Persoonsgegevens (AP) gepubliceerde cijfers onderstrepen dit. De AP ontving in de zorgsector in 2019 maar liefst 2.000 datalekmeldingen per maand. Het grootste aantal meldingen was afkomstig van ziekenhuizen (23%) op de voet gevolgd door apotheken (22%).

Verwarrend hierbij is dat het begrip “datalek” niet voorkomt in de Avg. Gesproken wordt slechts over een “inbreuk in verband met persoonsgegevens’’. Het gaat hierbij om een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging ongeoorloofde verstrekking of toegang tot doorgezonden, opgeslagen of anderszins verwekte gegevens. Voorbeelden van situaties die kunnen leiden tot een datalek zijn DDoS-aanvallen, verkeerd geadresseerde e-mailberichten, rondslingerende USB-sticks, maar ook het niet veilig achterlaten van domeinnamen. Dit laatstgenoemde voorbeeld vormde ook bij de zorginstelling Kenter Jeugdhulp de reden van het lek.

Wat zijn de risico’s bij het niet veilig achterlaten van domeinnamen?

Het bij Kenter Jeugdhulp gesignaleerde datalek ontstond in 2015 toen Jeugdriagg haar naam veranderde naar Kenter Jeugdhulp. De oude domeinnaam (jeugdriagg.nl) ging drie jaar later offline. Gewoonlijk wordt de domeinnaam in dergelijk geval beveiligd afgesloten of verlengd om misbruik te voorkomen. De zorginstelling liet dit echter na waardoor iedereen de domeinnaam kon overnemen. Uiteindelijk kwam RTL Nieuws (RTL) tot deze ontdekking, en kocht de domeinnaam over, waarna zij niet alleen inzicht kreeg in de persoonlijke gegevens van de kinderen maar zij tevens toegang kreeg tot complete dossiers, en medicatieaanvragen. Via het lek verkreeg RTL daarnaast ook toegang tot de zakelijke cloudomgeving van werknemers van de zorginstelling. Ook kon zij deelnemen aan behandelgesprekken over cliënten, die sinds de coronacrisis via Microsoft Teams gevoerd worden.

Het datalek was echter niet beperkt tot een inzage in de persoonsgegevens van de cliënten van de zorginstelling, maar strekte zich tevens uit tot de polisgegevens van miljoenen zorgverzekerde Nederlanders. Het lek bood RTL namelijk toegang tot de database van Vecozo (hét landelijk communicatiepunt voor de zorg) met daarin de volledige namen, woonadressen en burgerservicenummers van de zorgverzekerden. De toegang tot de Vecozo-database ontstond doordat de zorginstelling de digitale sleutels en leesbare wachtwoorden van deze database onbeveiligd naar oude e-mailadressen stuurde.

Inmiddels heeft de zorginstelling melding gemaakt van het lek bij de AP. Op grond van artikel 33 Avg is een organisatie verplicht een datalek bij de AP melden, mits het waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokken personen.Om dit te vergemakkelijken heeft de AP een standaardformulier op haar website gepubliceerd.

In het onderhavige geval kon daar weinig twijfel over bestaan. De gegevens van zeer jonge kinderen en van tal van zorgverzekerde Nederlands lagen door het lek immers op straat. De AP omschrijft het datalek als een ‘ernstige waarschuwing’ voor organisaties die gevoelige gegevens beheren. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft het datalek daarnaast bestempeld als ‘buitengewoon zorgelijk en ernstig’.

Onvoldoende kennis binnen zorginstellingen

Het is niet voor het eerst dat een datalek ontstond wegens een verlopen domeinnaam. In april 2019 overkwam Jeugdzorg Utrecht nagenoeg hetzelfde. Naar aanleiding van dat incident beloofde het ministerie van VWS destijds om de online beveiliging van zorginstellingen op orde te brengen. De Inspectie Gezondheidszorg en Jeugd (IGJ) is ter uitvoering hiervan een onderzoek gestart.

De belangrijkste conclusie van het onderzoek luidde dat er binnen de jeugdzorg in algemene zin onvoldoende kennis bestaat op het gebied van online veiligheid en informatiebeveiliging. Het ministerie heeft laten weten in december met een handleiding te komen die jeugdzorgorganisaties kan helpen hun online beveiliging te verbeteren. Ik sluit niet uit dat dezelfde conclusie getrokken kan worden voor andere soorten zorginstellingen.

Vijf tips: voorkomen is beter dan genezen

Naar aanleiding van bovengenoemde datalekken en vooruitlopend op de handleiding van het ministerie, heeft Stichting Internet Domeinregistratie Nederland (SIDN) een vijftal praktische tips gepubliceerd. Deze luiden als volgt:

1. Hef uw domeinnaam niet direct op als u naar een nieuwe overstapt.
2. Leg uw domeinnaam en het gebruik daarvan vast.
3. Informeer uw medewerkers.
4. Monitor malafide registraties en inlogpogingen.
5. Gebruik multifactor-authenticatie.

Met in achtneming van deze tips kan een datalek in uw organisatie wellicht voorkomen worden. In alle gevallen geldt immers: voorkomen is beter dan genezen. Mocht u dit stadium echter al gepasseerd zijn dan is het van belang om adequaat met het lek om te gaan door een vast stappenplan te volgen. Denk hierbij aan het in kaart brengen van de feitelijke situatie, het beperken van de schade, het eventueel melden van het lek aan de AP en de betrokkene, en het registreren van het lek in een datalekregister die organisaties op grond van de Avg verplicht moeten bijhouden.

Heeft u naar aanleiding van deze blog vragen over de beveiliging van persoonsgegevens binnen uw zorginstelling, twijfelt u of u uw domeinnaam wel veilig heeft achtergelaten, of heeft u behoefte aan een stappenplan voor het melden van een datalek of begeleiding hierbij? Neem vrijblijvend contact op met één van onze zorgspecialisten of stuur een e-mail naar m.degroot@dehaanlaw.nl. Wij denken graag met u mee!