De meeste zorginstellingen zullen niet snel denken aan een datalek als gevolg van wijziging van een domeinnaam als zij zich met privacy bezighouden. Dit is echter een niet te onderschatten risico. In deze blog vertel ik meer over datalekken in de zorg en de risico’s bij het niet veilig achterlaten van domeinnamen. Daarnaast geef ik u vijf tips om een datalek te voorkomen.
Recent kwam aan het licht dat zorginstelling Kenter Jeugdhulp (een organisatie die zich richt op het bieden van gespecialiseerde opvoedhulp en psychische hulp voor jeugdigen) is getroffen door een datalek. Het is geen primeur, al eerder werden diverse zorginstelling hierdoor getroffen. De door de Autoriteit Persoonsgegevens (AP) gepubliceerde cijfers onderstrepen dit. De AP ontving in de zorgsector in 2019 maar liefst 2.000 datalekmeldingen per maand. Het grootste aantal meldingen was afkomstig van ziekenhuizen (23%) op de voet gevolgd door apotheken (22%).
Verwarrend hierbij is dat het begrip “datalek” niet voorkomt in de Avg. Gesproken wordt slechts over een “inbreuk in verband met persoonsgegevens’’. Het gaat hierbij om een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging ongeoorloofde verstrekking of toegang tot doorgezonden, opgeslagen of anderszins verwekte gegevens. Voorbeelden van situaties die kunnen leiden tot een datalek zijn DDoS-aanvallen, verkeerd geadresseerde e-mailberichten, rondslingerende USB-sticks, maar ook het niet veilig achterlaten van domeinnamen. Dit laatstgenoemde voorbeeld vormde ook bij de zorginstelling Kenter Jeugdhulp de reden van het lek.
Het bij Kenter Jeugdhulp gesignaleerde datalek ontstond in 2015 toen Jeugdriagg haar naam veranderde naar Kenter Jeugdhulp. De oude domeinnaam (jeugdriagg.nl) ging drie jaar later offline. Gewoonlijk wordt de domeinnaam in dergelijk geval beveiligd afgesloten of verlengd om misbruik te voorkomen. De zorginstelling liet dit echter na waardoor iedereen de domeinnaam kon overnemen. Uiteindelijk kwam RTL Nieuws (RTL) tot deze ontdekking, en kocht de domeinnaam over, waarna zij niet alleen inzicht kreeg in de persoonlijke gegevens van de kinderen maar zij tevens toegang kreeg tot complete dossiers, en medicatieaanvragen. Via het lek verkreeg RTL daarnaast ook toegang tot de zakelijke cloudomgeving van werknemers van de zorginstelling. Ook kon zij deelnemen aan behandelgesprekken over cliënten, die sinds de coronacrisis via Microsoft Teams gevoerd worden.
Het datalek was echter niet beperkt tot een inzage in de persoonsgegevens van de cliënten van de zorginstelling, maar strekte zich tevens uit tot de polisgegevens van miljoenen zorgverzekerde Nederlanders. Het lek bood RTL namelijk toegang tot de database van Vecozo (hét landelijk communicatiepunt voor de zorg) met daarin de volledige namen, woonadressen en burgerservicenummers van de zorgverzekerden. De toegang tot de Vecozo-database ontstond doordat de zorginstelling de digitale sleutels en leesbare wachtwoorden van deze database onbeveiligd naar oude e-mailadressen stuurde.
Inmiddels heeft de zorginstelling melding gemaakt van het lek bij de AP. Op grond van artikel 33 Avg is een organisatie verplicht een datalek bij de AP melden, mits het waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokken personen.Om dit te vergemakkelijken heeft de AP een standaardformulier op haar website gepubliceerd.
In het onderhavige geval kon daar weinig twijfel over bestaan. De gegevens van zeer jonge kinderen en van tal van zorgverzekerde Nederlands lagen door het lek immers op straat. De AP omschrijft het datalek als een ‘ernstige waarschuwing’ voor organisaties die gevoelige gegevens beheren. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft het datalek daarnaast bestempeld als ‘buitengewoon zorgelijk en ernstig’.
Het is niet voor het eerst dat een datalek ontstond wegens een verlopen domeinnaam. In april 2019 overkwam Jeugdzorg Utrecht nagenoeg hetzelfde. Naar aanleiding van dat incident beloofde het ministerie van VWS destijds om de online beveiliging van zorginstellingen op orde te brengen. De Inspectie Gezondheidszorg en Jeugd (IGJ) is ter uitvoering hiervan een onderzoek gestart.
De belangrijkste conclusie van het onderzoek luidde dat er binnen de jeugdzorg in algemene zin onvoldoende kennis bestaat op het gebied van online veiligheid en informatiebeveiliging. Het ministerie heeft laten weten in december met een handleiding te komen die jeugdzorgorganisaties kan helpen hun online beveiliging te verbeteren. Ik sluit niet uit dat dezelfde conclusie getrokken kan worden voor andere soorten zorginstellingen.
Naar aanleiding van bovengenoemde datalekken en vooruitlopend op de handleiding van het ministerie, heeft Stichting Internet Domeinregistratie Nederland (SIDN) een vijftal praktische tips gepubliceerd. Deze luiden als volgt:
Met in achtneming van deze tips kan een datalek in uw organisatie wellicht voorkomen worden. In alle gevallen geldt immers: voorkomen is beter dan genezen. Mocht u dit stadium echter al gepasseerd zijn dan is het van belang om adequaat met het lek om te gaan door een vast stappenplan te volgen. Denk hierbij aan het in kaart brengen van de feitelijke situatie, het beperken van de schade, het eventueel melden van het lek aan de AP en de betrokkene, en het registreren van het lek in een datalekregister die organisaties op grond van de Avg verplicht moeten bijhouden.
Heeft u naar aanleiding van deze blog vragen over de beveiliging van persoonsgegevens binnen uw zorginstelling, twijfelt u of u uw domeinnaam wel veilig heeft achtergelaten, of heeft u behoefte aan een stappenplan voor het melden van een datalek of begeleiding hierbij? Neem vrijblijvend contact op met één van onze zorgspecialisten of stuur een e-mail naar m.degroot@dehaanlaw.nl. Wij denken graag met u mee!
Neemt u gerust contact met ons op. Wij helpen u graag verder!
Meldt u zich vrijblijvend aan voor onze nieuwsbrief.
Download het bestand.
Dehaanlaw.nl maakt gebruik van cookies
Als u kiest voor ’Nodige cookies’ plaatsen wij slechts functionele en analytische cookies met weinig tot geen gevolgen voor uw privacy. Indien u kiest voor ‘Alle cookies’ plaatsen wij ook tracking cookies waarmee wij informatie over u verzamelen om u gepersonaliseerde content aan te kunnen bieden. U geeft hiermee tevens toestemming voor het verwerken van de middels deze cookies verkregen persoonsgegevens conform ons Privacy Statement en Cookie Statement.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
Undefined cookies are those that are being analyzed and have not been classified into a category as yet.