Uit het Universitair Medisch Centrum Utrecht (UMCU) zijn harde schijven met medische gegevens van zo’n zevenhonderd patiënten gestolen. Op de harde schijven staan niet alleen medische dossiers, maar ook burgerservicenummers en namen.
Het ziekenhuis heeft de patiënten en de Autoriteit Persoonsgegevens geïnformeerd en aangifte gedaan bij de politie.
De diefstal gebeurde op 18 april. Bij de polikliniek interne geneeskunde en de polikliniek allergologie werden in totaal tien computers opengebroken.
De harde schijven, processoren en geheugenbanken werden uit de computerkasten gehaald en meegenomen.
Twee computers waren noodcomputers, waar artsen gebruik van kunnen maken als de gebruikelijke computersystemen uitvallen.
Volgens het ziekenhuis konden de behandelingen van de patiënten gewoon doorgaan. De gegevens zijn afgeschermd met een gebruikersnaam en wachtwoord
Door een datalek bij bemiddelingsplatform Tadaah zijn identiteitsbewijzen van honderden medewerkers uit de zorg en kinderopvang vrij toegankelijk geweest. Dat blijkt uit onderzoek van RTL Nieuws.
Tadaah is een organisatie die zelfstandigen in de zorg en kinderopvang in verbinding brengt met opdrachtgevers
Het gaat om de identiteitsbewijzen van achthonderd mensen, die een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah hebben gestuurd.
Naast identiteitsbewijzen waren VOG’s (Verklaring Omtrent Gedrag), verzekeringen en diploma’s voor iedereen in te zien.
In totaal gaat het volgens RTL-nieuws om duizenden gelekte gevoelige documenten. Deze documenten stonden op een onbeveiligde en publiekelijk toegankelijke server en waren daardoor voor iedereen te vinden.
RTL Nieuws heeft het datalek gemeld bij Tadaah, het lek is inmiddels gedicht. “Het is een menselijke fout”, zegt Eike Dehling, één van de oprichters van Tadaah tegen het tv-programma. “Dit mag gewoon niet gebeuren.”
Tadaah heeft het lek gemeld bij de Autoriteit Persoonsgegevens.
Cybercriminelen richten hun pijlen tijdens de Corona crisis volgens Microsoft en Interpol nadrukkelijk op de zorgsector. Microsoft heeft in april tientallen ziekenhuizen gewaarschuwd voor dreigende ransomware-aanvallen. De hackers proberen binnen te komen in de ict-cystemen via kwetsbare gateway- en VPN-software.
“Meerdere ransomware-groepen die zich gedurende enkele maanden toegang tot de doelnetwerken hebben verzameld en deze hebben onderhouden, hebben in de eerste twee weken van april 2020 tientallen ransomware-implementaties geactiveerd”, staat in een rapport van het Microsoft’s Threat Protection Intelligence Team.
Getroffen partijen zijn onder meer hulporganisaties, aanbieders van educatieve software, overheidsinstellingen, productiebedrijven, medische factureringsbedrijven, transport en daarnaast tal van niet-kritische bedrijven en organisaties.
Hoewel Microsoft geen extra commentaar gaf op de vraag of de aanvallen die in de eerste twee weken van april werden waargenomen al dan niet succesvol waren, vroeg SearchSecurity het bedrijf of de exfiltratie van gegevens de reden is voor de vertraagde inzet van ransomware.
Verschillende ransomwarebendes, zoals Maze, zijn begonnen met het stelen van de gegevens van de slachtoffers alvorens deze te versleutelen en dreigden vervolgens gevoelige gegevens op het internet te publiceren om de slachtoffers te dwingen het losgeld te betalen.
“Gegevensexfiltratie is een zeer gangbare praktijk voor ransomware-groepen, maar de belangrijkste reden voor het uitstellen van ransomware is dat aanvallers vaak wachten op momenten dat ze weten dat ze het lastigst zijn voor de doelwitten en dat ze dus waarschijnlijker losgeld zullen betalen”, meldt SearchSecurity.
Microsoft raadt organisaties in de zorg verschillende stappen aan om hun kwetsbaarheid voor ransomwarebedreigingen te verkleinen, waaronder het implementeren van multifactorauthenticatie voor RDP- en virtuele desktopaccounts, het randomiseren van beheerderswachtwoorden en het patchen van netwerkapparaten of -diensten die aan het openbare internet zijn blootgesteld.
De Nederlandse normcommissie voor Klinisch Onderzoek houdt op 28 mei een open vergadering in de vorm van een webinar waarin de nieuwe NEN-EN-ISO 14155 versie wordt toegelicht.
ISO 14155 is wereldwijd de norm voor het opzetten en uitvoeren van Good Clinical Practice (GCP) klinisch onderzoek met medische hulpmiddelen.
Nederlandse partijen hebben zich ingezet om de publicatie uit 2011 te optimaliseren tot ‘State of the Art’. De nieuwe publicatie wordt in juni 2020 verwacht.
NEN nodigt partijen uit om alvast kennis te maken met de nieuwe NEN-EN-ISO 14155. Dat kan door deelname aan het webinar op 28 mei 2020.
Weten welke vragen aan bod komen? Kijk op de webpagina van NEN Evenementen.
NEN-EN-ISO 14155:2020 bevat in hoofdlijnen dezelfde elementen als de publicatie uit 2011, maar gaat dieper in op bepaalde aspecten. Het doel daarvan is de sponsor van een klinische studie meer duidelijkheid te verschaffen zonder de normeisen te verzwaren.
Daarnaast is de norm in lijn gebracht met nieuwe regelgeving omtrent Data Privacy en de EU Medical Device Regulation (MDR). Dit leidde tot bijna een verdubbeling van de grootte van het document.
Nieuwe onderwerpen
Onderwerpen die nieuw in de norm zijn opgenomen, betreffen:
Het benadrukken van de principes van Good Clinical Practice (GCP);
De verantwoordelijkheden van de ethische commissies;
De toepassing van NEN-EN-ISO 14971:2019 (over risicomanagement voor medische hulpmiddelen) op klinische studies;
Klinische studieaudits;
Extra statistische principes.
Gezamenlijk werk
De Nederlandse normcommissie voor Klinisch Onderzoek voor medische hulpmiddelen heeft de afgelopen drie jaar intensief gewerkt aan de ontwikkeling van NEN-EN-ISO 14155.
Op 28 augustus 2018 hield de normcommissie voor Klinisch Onderzoek een open vergadering om de betrokken Nederlandse partijen te informeren en te bevragen over de conceptnorm. Bijdragen uit die vergadering zijn meegenomen in de ontwikkeling van de norm.
Meer informatie en aanmelden webinar
Voor aanmelding van het webinar, ga naar NEN Evenementen. Voor informatie over deze norm(en) of over het normalisatieproces: Lieke van Nierop, Consultant Zorg & Welzijn, telefoon 015 2 690 390 of e-mail zw@nen.nl.
Meepraten over de inhoud van normen
Wilt u als belanghebbende partij meepraten over de ontwikkeling van normen op dit gebied? De normcommissie ‘Klinisch onderzoek’ houdt zich bezig met het beoordelen, bijstellen en opstellen van normen voor het klinisch onderzoeken van medische hulpmiddelen. Stuur voor deelname aan of meer informatie over deze commissie een mail naar zw@nen.nl.
“Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen”, concluderen Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP.
“Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.”
Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP hebben hun gezamenlijke standpunt gepubliceerd op de website van Platform Burgerrechten.
Waar gaat het om?
Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners.
Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is.
Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.
Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt.
De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven.
In haar reactie op het voorstel stelt de AP: “Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”
Medisch beroepsgeheim massaal omzeild
Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).
Eerste probleem
Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier.
Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen.
Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen).
Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.
Tweede probleem
Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk.
Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers.
De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”
Derde probleem
De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten.
De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit.
Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.
Vierde probleem
Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd.
Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost.
Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.
Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd.
Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.
Platform Bescherming Burgerrechten Privacy First Humanistisch Verbond Stichting KDVP
Door COVID-19 worden patiënten vaker verwezen naar huisartsenposten (HAP) en de spoedeisende hulp (SEH). Steeds meer huisartsenposten leveren 24/7 zorg aan patiënten met een mogelijke coronabesmetting om de huisartsenpraktijken te ondersteunen. Als de huisartsenpost en SEH inzage hebben in de belangrijkste gegevens van de eigen huisarts, kunnen mensen sneller de juiste zorg krijgen en blijven de wachttijden beperkt. Ook als mensen vanwege de drukte door een huisartsenpost, coronapost of ziekenhuis buiten hun eigen regio worden behandeld, is het belangrijk dat de arts deze gegevens van de huisarts kunnen raadplegen.
Normale situatie
In de normale situatie kan de huisartsenpost alleen een samenvatting van jouw medische gegevens van de huisarts raadplegen en alleen als je hiervoor toestemming (‘opt-in’) hebt gegeven bij de huisarts of via volgjezorg.nl. Bijna 8 miljoen Nederlanders hebben dat gedaan. Een klein deel heeft aangegeven dat hun gegevens niet gedeeld mogen worden. Ongeveer de helft van de Nederlanders heeft (nog) geen keuze gemaakt.
Tijdelijke oplossing
Uitsluitend tijdens de coronacrisis kunnen de huisartsenpost en de SEH ook een samenvatting van de medische gegevens van de huisarts raadplegen als je geen keuze hebt gemaakt. Het ministerie van Volksgezondheid, Welzijn en Sport heeft hiervoor op 8 april 2020 een tijdelijke maatregel getroffen. Dat betekent dat veel meer mensen snel en goed geholpen kunnen worden.
Huisartsenorganisaties (NHG, LHV, InEen), Patiëntenfederatie Nederland, VZVZ, zorgverzekeraars (ZN) en het ministerie van Volksgezondheid Welzijn en Sport (VWS) zorgen er samen voor dat dit veilig en verantwoord gebeurt. Ook de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Openbaar Ministerie blijven volgen of dit veilig en verantwoord gebeurt. Na de coronacrisis zijn de gegevens van Nederlanders die geen keuze hebben gemaakt niet meer te raadplegen bij de huisartsenpost en de SEH. Dan geldt weer de normale situatie.
Jij houdt de regie
Heb je contact met de huisartsenpost of de SEH, dan wordt je gevraagd of je het goed vindt dat de gegevens van de huisarts worden geraadpleegd. Zo houd je zelf de regie. Alleen als je niet aanspreekbaar bent, kunnen de huisartsenpost of de SEH de gegevens zonder die mondelinge toestemming raadplegen. Je kunt ook altijd precies zien wat er met jouw gegevens gebeurt. Dat kan door op deze website in te loggen bij het inzageportaal. Je ziet daar of jouw gegevens beschikbaar zijn gesteld. Je kunt ook zien of jouw gegevens zijn geraadpleegd en door wie.
Wil je niet dat jouw gegevens worden gedeeld?
Dan kun je dit bij je huisarts melden of online aangeven op volgjezorg.nl. Je hebt daar DigiD met SMS-functie of de DigiD-app voor nodig. Hou er wel rekening mee dat het door de drukte wat langer dan gebruikelijk kan duren voordat de huisarts jouw keuze heeft verwerkt. Heb je eerder al aangegeven dat je niet wil dat je gegevens worden gedeeld, dan gebeurt dat ook nu niet.
Jouw toestemming (zowel een ‘JA’ als een ‘NEE’) kun je op drie manieren regelen:
*Online regelen kan door in te loggen op je ‘Persoonlijke omgeving’. Ga dan naar ‘Toestemmingen’ en klik op ‘Zorgaanbieder +’. Zoek je zorgaanbieder en klik deze aan. Je kunt nu ‘Ja’ of ‘Nee’ aangeven. Dit zorgt ervoor dat er een ‘opt-in’ of ‘opt-out’ naar de zorgaanbieder wordt verstuurd.
Let op: online regelen kan alleen als je zorgaanbieder is aangesloten op Volgjezorg en het Landelijk Schakelpunt. Is je huisarts of apotheek dat niet, dan kun je online een formulier invullen en dat printen. Vervolgens geef je dit af bij je zorgaanbieder(s).
Het verwerken van die keuze door de huisartsenpraktijk / apotheek kan door de coronacrisis wel wat langer duren dan gebruikelijk.
Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.
De Autoriteit Persoonsgegevens (AP) heeft dit laten weten in een brief aan de minister van Medische Zorg. De minister is bezig met een regeling voor tijdens de coronacrisis.
Dit plan moet het mogelijk maken om zonder expliciete toestemming van patiënten medische dossiers te raadplegen via elektronische uitwisselingssystemen, zoals het Landelijk Schakelpunt (LSP).
Aanleiding: beoordeling patiënten
Patiënten komen tijdens de coronacrisis vaak bij een andere arts terecht dan hun eigen huisarts. Bijvoorbeeld op de huisartsenpost of de spoedeisende hulp.
Die arts moet vervolgens beoordelen welke behandeling de patiënt nodig heeft. Hiervoor moet de arts weten of de patiënt een verhoogd risico loopt door bijvoorbeeld hartproblemen. Deze medische informatie staat in het dossier van de huisarts.
Die beoordeling gaat nu te langzaam, stelt de minister. Dat komt omdat artsen het medisch dossier van een deel van de patiënten niet via een elektronisch uitwisselingssysteem kunnen bekijken.
Dit mag namelijk alleen als een patiënt hiervoor vooraf schriftelijk toestemming heeft gegeven. Er is een groep patiënten die nooit een keuze heeft gemaakt. En dus geen toestemming heeft gegeven of geweigerd.
Privacy patiënten respecteren
De AP begrijpt de wens om de regels te versoepelen. Tegelijkertijd wijst de AP erop dat óók tijdens crisistijd de privacy van patiënten wel moet worden gerespecteerd.
Medische gegevens zijn gevoelige, zeer persoonlijke informatie. Op die gegevens rust het medisch beroepsgeheim van de arts. Patiënten moeten erop kunnen vertrouwen dat zorgaanbieders uiterst zorgvuldig met hun medische gegevens omgaan.
Gevolgen voor patiënten
Door het plan van de minister verandert er niets voor mensen die al toestemming hebben gegeven of juist toestemming hebben geweigerd. In beide gevallen blijft die keuze gerespecteerd.
Daarnaast is er een grote groep mensen die nog geen keuze heeft doorgegeven. Het voorstel van de minister maakt het mogelijk dat hun medische gegevens kunnen worden uitgewisseld zonder dat zij daarvoor toestemming hebben gegeven. Het gaat daarbij niet om hun hele medische dossier, maar alleen om de professionele samenvatting.
De AP vindt dat acceptabel. Maar wel vindt de AP dat die patiënten in plaats daarvan ter plekke, op de huisartsenpost of spoedeisende hulp, toestemming moeten kunnen geven om daadwerkelijk hun medisch dossier bij de huisarts te raadplegen. Dit kan ook mondeling.
Is iemand niet in staat om ter plekke toestemming te geven? Bijvoorbeeld omdat diegene bewusteloos is? Dan mag de arts zonder toestemming van deze patiënt het medisch dossier bekijken.
Nadenken over keuze
De AP raadt mensen aan om nu goed na te denken over hun keuze, voordat zij mogelijk ziek worden. Hebben mensen eerder toestemming geweigerd? Dan moeten zij zich realiseren dat zorgaanbieders hierdoor mogelijk cruciale informatie missen, mochten zij op de spoedeisende hulp terechtkomen.
Wie eerder toestemming heeft geweigerd, kan dat namelijk niet ter plekke ongedaan maken. Het is dan onmogelijk om het medisch dossier te bekijken, omdat dit niet is opgenomen in het elektronische uitwisselingssysteem.
Dus mensen die hun keuze willen wijzigen, moeten dat vooraf doen. Dit kan via de huisarts of de website Volgjezorg.
Werkgevers bedenken allerlei middelen om hun organisatie tijdens de Corona crisis veilig te kunnen laten doorwerken. Daarbij mogen in geen geval medische gegevens worden verwerkt.
Het controleren van de lichaamstemperatuur van medewerkers of bezoekers is op basis van de Algemene Verordening Gegevensbescherming (AVG) bijvoorbeeld verboden.
De Autoriteit Persoonsgegevens (AP) krijgt veel vragen en klachten over werkgevers die de lichaamstemperatuur willen opnemen van werknemers of bezoekers, zoals vrachtwagenchauffeurs die goederen komen bezorgen.
Of een werknemer of bezoeker koorts heeft, valt echter onder medische gegevens, en dat is verboden terrein voor werkgevers. Zo’n maatregel is namelijk in strijd met de Algemene verordening gegevensbescherming (AVG).
Volgens de privacywetgeving mag de werkgever geen inzage hebben in de medische gegevens van zijn werknemers en mag hij gezondheidsgegevens ook zeker niet opslaan. Dit is voorbehouden aan een arts.
Inzage of verwerking van medische gegevens mag ook niet als de werknemer (of bezoeker) hier toestemming voor geeft. Bovendien heeft de OR instemmingsrecht (artikel 27, lid 1k van de Wet op de ondernemingsraden (WOR)), en die zal niet zomaar instemmen met een temperatuurmeting.
Een werkgever die preventief de temperatuur wil meten, is in overtreding. Hij schendt daarmee de privacy van de werknemer. Als de werkgever de OR om instemming vraagt, zal de OR om die reden dan ook geen instemming geven voor de voorgestelde maatregel van de werkgever.
Vangt de OR signalen op dat de werkgever van plan is om een temperatuurmeting in te voeren, dan kan de OR zijn initiatiefrecht (artikel 23, lid 3 WOR) inzetten om de werkgever direct op andere gedachten te brengen.
Voert de werkgever een temperatuurmeting in zonder enig overleg met de OR, dan kan de OR zijn besluit nietig verklaren en desnoods via de kantonrechter de werkgever ertoe dwingen om van de maatregel af te zien.
Een gang naar de rechter zet echter de relatie met de bestuurder op scherp. Het is daarom wel een uiterst redmiddel als onderling overleg geen vruchten afwerpt.
Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Saksen-Anhalt heeft de gezondheidsdiensten opgedragen om persoonlijke / gezondheidsgegevens van alle personen in quarantaine beschikbaar te stellen aan de politiediensten.
De Duitse politie heeft dus persoonlijke gegevens over coronageïnfecteerde personen en contactpersonen ontvangen. En dat is in strijd met de Europese privacywet.
De onwettige opdracht van het ministerie van binnenlandse zaken van Saksen-Anhalt werd onthuld door de website netzpolitik.org. De deelstaat ontkende de gang van zaken aanvankelijk. De politie wilde niet reageren.
De Staatscommissaris voor gegevensbescherming van Saksen-Anhalt stelt een onderzoek in.
Nader onderzoek van netzpolitik.org eerde dat Saksen-Anhalt niet de enige Duitse deelstaat is die de onwettige opdracht aan gezondheidsdiensten heeft gegeven.
Volgens netzpolitik.org zou de minister van Binnenlandse Zaken van Saksen-Anhalt op 22 april 2020 hebben beslist dat de gegevens van 27 tot 31 maart 2020 ter beschikking moeten worden gesteld van alle personen die zich in quarantaine van de federale staat bevinden.
Sindsdien geven de gezondheidsautoriteiten in Saksen-Anhalt gegevens van personen in quarantaine door aan de politie “naar eigen goeddunken en in individuele gevallen”.
Tot 9 april 2020 zijn er meer dan 800 Corona besmettingen geregistreerd in Saksen-Anhalt. De gedeelde gegevens zouden namen, adressen, geboortedata, verblijfplaatsen, nationaliteiten, geslacht en het begin en einde van de officieel vastgestelde quarantaine hebben omvat.
De overdracht, verwerking en opslag van gezondheidsgegevens in politiedatabases was “juridisch problematisch” en de staatssecretaris voor gegevensbescherming moest bij de zaak worden betrokken.
Het ministerie van Binnenlandse Zaken van de deelstaat Saksen-Anhalt ontkende aanvankelijk tegenover netzpolitik.org dat er sprake was geweest van overdrachten van gezondheidsgegevens aan de politie. Later werd bekend dat gezondheids-/persoonsgegevens waren opgeslagen in de recherche-databank van het Rijksbureau voor Strafrechtelijk Onderzoek.
De overdracht van gegevens van besmette personen en contactpersonen werd volgens netzpolitik.org ook in andere Duitse deelstaten ingevoerd. Officieel was het doel van de maatregel om de naleving van de quarantaine te controleren en de politieagenten te beschermen.
Volgens de informatie waarover netzpolitik.org beschikt, heeft de Nedersaksische commissaris voor gegevensbescherming Barbara Thiel de maatregel ook voor haar staat onwettig verklaard. De deelstaatregering van Nedersaksen heeft de gegevensoverdracht echter gehandhaafd.
De controversiële praktijk werd ook in andere deelstaten ingevoerd. Als gevolg van hevige protesten werd de maatregel in de stadstaat Bremen herroepen.
In de deelstaat Baden-Württemberg wordt een verordening betreffende de datatransmissie overeenkomstig de privacywet positief verwacht.
De procedure is in de deelstaat Mecklenburg-Vorpommern gewijzigd. Hier is de overdracht van gezondheidsgegevens nu gebaseerd op de behoefte. Bovendien zal het nu verplicht zijn om de gegevens anoniem en gecodeerd door te geven aan een bepaalde groep mensen in de politiedienst.
Corona-preventie en de verwerking van gezondheidsgegevens
Er bestaat een grote spanning tussen gegevensbescherming / grondrechten en effectieve pandemiebestrijding. Het staat buiten kijf dat mensen en verplegend personeel, het ambtenarenapparaat en andere werknemers met de nodige contacten met het publiek bescherming nodig hebben.
Het is echter opvallend dat vooral bij dergelijke maatregelen de dialoog met de gegevensbeschermingsautoriteiten en ook met de officiële gegevensbeschermingsfunctionarissen actief wordt vermeden.
Juist op zulke momenten kan men verwachten dat men over de divisies heen coördineert met het oog op een holistisch crisismanagement.
Op deze manier kan ervoor worden gezorgd dat de verwerking en overdracht van de autoriteiten voldoen aan de absoluut noodzakelijke, actuele eisen op het gebied van gegevensbescherming en informatiebeveiliging/IT-beveiliging.
Een ziekenhuis in de Duitse deelstaat Rijnland-Palts heeft een boete van 105.000 euro geaccepteerd die is opgelegd voor verschillende overtredingen van de privacywet.
De commissaris voor gegevensbescherming van Rijnland-Palts, Dieter Kugelmann, wil met de boete het signaal af geven “dat de toezichthoudende autoriteiten voor gegevensbescherming bijzonder waakzaam zijn op het gebied van de omgang met gegevens in de gezondheidszorg”.
De schendingen van de Algemene Verordening Gegevensbescherming (AVG) kwamen aan het licht na een “verwisseling van patiënten tijdens de opname”. Als gevolg daarvan had het ziekenhuis een onjuiste factuur opgesteld, die “structurele technische en organisatorische tekortkomingen in het patiëntenbeheer” aan het licht bracht.
Kugelmann is tevreden over de inspanningen van het ziekenhuis om het beheer van de gegevensbescherming te ontwikkelen en te verbeteren. “Het is voor mij belangrijk dat er aanzienlijke vooruitgang wordt geboekt op het gebied van de bescherming van gezondheidsgegevens, gezien de bijzondere gevoeligheid van gegevens”, aldus Kugelmann.
Veel Nederlandse bedrijven hebben hun ICT niet op orde, daardoor zijn 100.000 computers vatbaar voor datalekken. Dat vertellen ICT-experts in een video die YouTuber Sven van der Meulen vrijdag op YouTube heeft gezet.
Door een beveiligingsissue in Windows-computers kan “de gemiddelde ICT-student op het mbo” inbreken in de computers.
Van der Meulen voerde het onderzoek uit in samenwerking met cybersecuritybedrijf Dyna-Tech. Een ICT-expert van dat bedrijf vertelt in de video dat een fout in het besturingssysteem van Windows maanden geleden is ontdekt. Een fout die volgens de experts makkelijk te herstellen is, ware het niet dat veel bedrijven op ICT-gebied “hun zaken niet op orde hebben”.
Daar komt bij dat de kwetsbaarheden van de computers openbaar te vinden zijn op het internet. “Elke zolderhacker kan al maanden eenvoudig toegang krijgen tot deze computers, met alle gevolgen van dien”, vertelt een ander cybersecuritybedrijf, Fox-IT, in de video.
Om aan te tonen hoe slecht het gesteld is met de beveiliging bij bedrijven ging de YouTuber op bezoek bij een bibliotheek, waar hij een hacker opdracht gaf op een “ludieke manier” het systeem binnen te komen. De hacker printte vanuit het systeem het logo van Van der Meukens YouTube-kanaal Vrije Vogels via een printer van de bieb.
Daarnaast zocht hij contact met een abortuskliniek die ook de beveiliging van het systeem niet op orde had. De twee bedrijven hebben hun systeem inmiddels beter beveiligd.
Ziekenhuizen en abortusklinieken
Volgens de experts blijven nog steeds 100.000 computers over waarbij hackers makkelijk toegang kunnen krijgen tot alle data in het systeem, waaronder persoonsgegevens. Het gaat hierbij ook om computers van ziekenhuizen en abortusklinieken.
ICT-specialist Joost Pol legt in de video uit dat het probleem vaak is dat bedrijven hun software niet updaten. “Een van de meest basale dingen om de computer veilig te houden, het updaten van de software, gebeurt nog steeds niet vaak genoeg.”
37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.
De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.
Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.
In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.
Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.
Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.
Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.
BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.
Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.
Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.
De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.