Datalekken en privacyincidenten in de zorg- en overheidssector: inzichten en maatregelen

Inleiding

In de digitale maatschappij van vandaag is de bescherming van persoonsgegevens van groot belang. De Algemene Verordening Gegevensbescherming (AVG) stelt strengere eisen aan organisaties die gegevens verwerken, en dit geldt met name voor de zorg- en overheidssector. De beschikbare bronnen tonen aan dat ook in deze sectoren datalekken en privacyincidenten voor kunnen komen, en dat deze incidenten vaak het gevolg zijn van menselijke fouten of kwetsbaarheden in de IT-infrastructuur.

Deze artikelen geven een overzicht van een aantal recente datalekken en privacyincidenten, waarbij zowel interne als externe oorzaken een rol spelen. Daarnaast wordt ingegaan op de gevolgen van dergelijke incidenten en de maatregelen die genomen zijn om herhaling te voorkomen. Het artikel richt zich op een brede lezersgroep, waaronder (toekomstige) woningeigenaren, vastgoedinvesteerders en professionals in de vastgoedsector, om hen een overzicht te bieden van het thema datalekken en privacy in de context van overheids- en zorgorganisaties.

Datalekken in de zorgsector: Samen Veilig Midden-Nederland

Een van de bekendere gevallen van datalekken in de zorgsector betreft het jeugdzorgbedrijf Samen Veilig Midden-Nederland. In 2019 kwam er een groot lek aan het licht waarbij 3.278 dossiers van 2.702 kinderen openbaar werden gemaakt. Dit incident werd gevolgd door meerdere kleinere datalekken in latere jaren. Deze incidenten omvatten het versturen van e-mails met persoonlijke informatie naar onbedoelde ontvangers.

Het bedrijf erkent dat de meeste lekken het gevolg zijn van menselijke fouten, zoals onjuiste e-mailadressering of slecht opgeborgen gegevens. De Autoriteit Persoonsgegevens houdt het bedrijf extra in de gaten vanwege de herhaalde incidenten. Daarom is het bedrijf hard aan het werken om procedures te verbeteren en trainingen te geven aan medewerkers om dergelijke fouten in de toekomst te voorkomen.

Consequenties en maatregelen

De gevolgen van dergelijke lekken zijn omvangrijk. Betrokkende families kunnen emotioneel en psychologisch in de steigers worden gezet. Daarnaast kunnen er ook juridische gevolgen ontstaan, aangezien het bedrijf in strijd komt met de AVG. In dit geval is het bedrijf onder toezicht van de Autoriteit Persoonsgegevens gesteld, en worden maatregelen genomen om het risico op verdere incidenten te beperken.

De AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. Voor zorgorganisaties is dit extra belangrijk, omdat zij vaak gevoelige informatie bewerken, zoals medische gegevens van kinderen en jongeren. Het feit dat deze incidenten meestal het gevolg zijn van menselijke fouten benadrukt ook de noodzaak van uitgebreide training en een duidelijke procedure voor het beheren van persoonsgegevens.

Cyberaanval op Zorgbalans

Een ander geval betreft Zorgbalans, een VVT-organisatie die in 2021 te maken had met een cyberaanval. In dit geval was er sprake van een afpersingspoging waarbij dreigend werd gemaakt om cliëntgegevens van de organisatie openbaar te maken. De afperser beweerde over cliëntgegevens te beschikken en dreigde deze op het dark web te verkopen als er geen losgeld zou worden betaald.

Het incident werd ontdekt toen medewerkers een opvallend bericht ontvingen via een contactformulier op de website. Uit onderzoek door Hoffmann Security bleek dat de data afkomstig waren van een werknemer van een IT-leverancier van Zorgbalans. Gelukkig kon de politie in samenwerking met het OM een verdachte aanhouden, en werden de cliëntgegevens niet verspreid.

Oorzaken en gevolgen

Het incident toont aan dat cyberaanvallen niet alleen het gevolg zijn van interne fouten, zoals bij Samen Veilig Midden-Nederland, maar ook het gevolg kunnen zijn van externe actoren. In dit geval was de kwetsbaarheid in de IT-infrastructuur van een leverancier het uitgangspunt voor de aanval. Dit benadrukt de noodzaak voor organisaties om ook aandacht te besteden aan de beveiliging van hun keten van leveranciers.

De AVG legt ook verplichtingen op aan derden zoals IT-leveranciers. Organisaties moeten ervoor zorgen dat hun partners voldoen aan de AVG-eisen, inclusief passende beveiligingsmaatregelen. De gevolgen van dergelijke aanvallen kunnen aanzienlijk zijn, niet alleen voor de organisatie zelf, maar ook voor de betrokken cliënten, wier gegevens in het gevaar komen.

Toeslagenschandaal en datalek bij de Belastingdienst

Een derde geval betreft de Belastingdienst, die te maken had met een datalek in het kader van het toeslagenschandaal. De Belastingdienst gebruikte een systeem genaamd Fraude Signalering Voorziening (FSV), dat gegevens van 244.273 burgers en 30.000 ondernemers bevatte, waaronder gevoelige informatie zoals etniciteit en gezondheid. Het systeem werd gebruikt voor het signaleren van mogelijke fraude.

De Autoriteit Persoonsgegevens stelde vast dat de Belastingdienst de AVG heeft geschonden op vier punten. De overtredingen werden als ernstig beschouwd, vooral omdat de gegevens van honderden minderjarigen werden verwerkt en de gevolgen voor de getroffen burgers aanzienlijk waren. Daarom heeft de Autoriteit Persoonsgegevens een boete van 3,7 miljoen euro opgelegd.

Verwerking van gegevens en AVG

De AVG stelt duidelijke eisen aan de verwerking van persoonsgegevens, waaronder het vereiste van een wettelijke grondslag voor de verwerking. In het geval van de Belastingdienst bleek dat er geen duidelijke wettelijke grondslag was voor de verwerking van de gegevens in het FSV-systeem. Bovendien bevatte de lijst verouderde en onjuiste informatie, wat leidde tot verkeerde beslissingen en onnodig toezicht op burgers.

De AVG benadrukt ook de noodzaak van betrouwbaarheid, juistheid en tijdsbepaalde verwerking van persoonsgegevens. In dit geval is de Belastingdienst niet in staat geweest om aan deze eisen te voldoen, wat heeft geleid tot een aanzienlijke boete en een herbeoordeling van de procedures rondom de verwerking van persoonsgegevens.

Datalek bij zorgaanbieder Fier

Een ander incident dat gerapporteerd is, betreft het zorgaanbieder Fier. Een klokkenluider, bekend vanwege het aankaarten van seksueel misbruik in de danswereld, heeft een klacht ingediend over een datalek bij Fier. Het behandelcentrum had een te groot aantal medewerkers onbeperkt toegang tot patiëntendossiers. Tijdens een bepaalde periode hadden meerdere werknemers toegang tot het dossier van de klokkenluider, terwijl slechts een klein deel van hen een directe behandelrelatie had.

Er waren ook inconsistenties in de logbestanden en onduidelijkheden over welke delen van het dossier werden geopend. De klokkenluider en haar juridisch adviseur benadrukken het gebrek aan toezicht en zorgvuldigheid bij de zorgaanbieder.

Toegangsbeheer en toezicht

Dit incident benadrukt het belang van goed toegangsbeheer bij zorgaanbieders. De AVG stelt dat organisaties ervoor moeten zorgen dat alleen de juiste personen toegang hebben tot persoonsgegevens. Bovendien moeten logbestanden worden bijgehouden en beoordeeld om mogelijke lekken of ongeoorloofde toegang te ontdekken.

Het feit dat er geen duidelijk toezicht was op wie welke gegevens raadpleegde, leidde tot een potentieel risico op vertrouwensbreuk en onnodige blootstelling van persoonlijke informatie. De AVG legt verplichtingen op aan organisaties om passende maatregelen te nemen om dergelijke incidenten te voorkomen.

Datalek bij Orde van Advocaten Midden-Nederland

Een datalek bij de Orde van Advocaten Midden-Nederland werd ontdekt toen een e-mail met financiële gegevens verkeerd werd verzonden. In een herinnering aan advocatenkantoren om hun financiële gegevens aan te leveren, werden de e-mailadressen van bijna 300 kantoren zichtbaar gemaakt voor alle ontvangers. Dit is een duidelijk voorbeeld van een foutieve e-mailadressering, die leidt tot een datalek.

Hoewel de Orde stelt dat het geen 'meldingsplichtig datalek' is, zijn er maatregelen genomen om dergelijke fouten in de toekomst te voorkomen. De AVG houdt dat dergelijke incidenten wel als datalekken kunnen worden beschouwd, vooral als het gaat om gevoelige informatie zoals financiële gegevens.

E-mailadressering en privacy

Dit incident benadrukt de simpele maar belangrijke fout van e-mailadressering. Door e-mailadressen in cc te plaatsen in plaats van in bcc, wordt persoonlijke informatie blootgelegd. Dit is een veelvoorkomende fout die vaak leidt tot datalekken, vooral in organisaties waarin veel e-mails worden verstuurd.

De AVG benadrukt de noodzaak van passende technische en organisatorische maatregelen om dergelijke incidenten te voorkomen. Training van medewerkers, gebruik van automatische e-mailadressering en het gebruik van beveiligingsprotocollen zijn enkele manieren om dergelijke incidenten te voorkomen.

Conclusie

Datalekken en privacyincidenten zijn een ernstig probleem in de digitale maatschappij, en dit geldt met name voor de zorg- en overheidssector. De beschikbare bronnen tonen aan dat dergelijke incidenten vaak het gevolg zijn van menselijke fouten, zoals verkeerd versturen van e-mails of onjuiste toegangsbeheer, maar ook externe aanvallen kunnen een rol spelen.

De AVG stelt strengere eisen aan organisaties die persoonsgegevens verwerken, en het is van groot belang dat deze eisen worden nageleefd. Organisaties moeten ervoor zorgen dat passende technische en organisatorische maatregelen worden genomen om gegevens te beschermen. Daarnaast is het van belang dat medewerkers worden getraind in het beheren van persoonsgegevens en in het herkennen van potentiële gevaarlijke situaties.

De gevolgen van datalekken kunnen aanzienlijk zijn, niet alleen voor de organisatie zelf, maar ook voor de betrokken burgers. Daarom is het belangrijk dat organisaties zich bewust zijn van hun verantwoordelijkheid onder de AVG en dat zij actief werken aan de voorkoming van dergelijke incidenten.

Bronnen

  1. Samen Veilig Midden-Nederland
  2. Zorgbalans
  3. Belastingdienst
  4. Belastingdienst
  5. Fier
  6. Orde van Advocaten Midden-Nederland

Related Posts