Privacy Nieuws
Een hacker heeft gedurende drie weken meerdere pogingen gedaan om in te breken bij de computersystemen van Gelre ziekenhuizen in Apeldoorn en Zutphen.
Een van de pogingen was succesvol. Daarbij kregen de cybercriminelen toegang tot de mailbox van een medewerker met een “medisch ondersteunende functie”.
Gelre ziekenhuizen wil “vanuit beveiligingsoptiek” niet zeggen hoe het gelukt is binnen te komen in de mailbox.
Doordat de inbraakpogingen op tijd werden ontdekt, kon de schade worden beperkt, schrijft de ziekenhuisgroep op zijn eigen website.
De aanvalspogingen werden vanuit “verschillende landen” uitgevoerd. Gelre ziekenhuizen weet niet waar de aanvallers naar op zoek waren.
“Vanuit het mailaccount zijn geen gegevens verzonden of gedownload. Maar het is niet met zekerheid uit te sluiten dat de hacker mailberichten met persoonsgegevens heeft ingezien. De kans daarop is echter klein”, aldus Gelre ziekenhuizen.
De organisatie zegt dat het een melding heeft gedaan bij de Autoriteit Persoonsgegevens, maar dat er vooralsnog geen aangifte is gedaan bij de politie.
AVG Awareness, Privacy Nieuws
Bij het Flevoziekenhuis in Almere is een medewerker een USB-stick met patiëntgegevens kwijtgeraakt, schrijft het ziekenhuis dinsdag op hun website. Op de USB-stick stonden gegevens van 4325 patiënten die in de periode 2014 tot en met 2017 in behandeling waren bij de gipskamer van het ziekenhuis.
Op de USB-stick stonden de naam, geboortedatum en patiëntnummer van de patiënten en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. Het bestand bevatte geen adresgegevens, burgerservicenummers en geen overige medische gegevens, schrijft het ziekenhuis.
Een zorgverlener van het ziekenhuis had deze patiëntgegevens ongeoorloofd op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren. Maar de medewerkers verloor de USB-stick op een parkeerterrein nabij het ziekenhuis.
Op 9 oktober werd de stick gevonden door iemand anders die gebruik maakte van het parkeerterrein. De vinder heeft thuis de inhoud van de stick geopend en besloot vervolgens om deze weer terug te brengen naar het ziekenhuis.
“Dit had écht niet mogen gebeuren”, zegt Anita Arts, voorzitter van de raad van bestuur van het Flevoziekenhuis. “Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Patiënten moeten er op kunnen rekenen dat hun informatie veilig is bij ons. We doen er alles aan om herhaling te voorkomen”.
Datalekprocedure Autoriteit Persoonsgegevens
Het incident is gemeld bij de Autoriteit Persoonsgegevens en het ziekenhuis heeft met behulp van een extern bureau een onderzoek ingesteld. De betrokken patiënten zijn geïnformeerd over het datalek.
Daarnaast heeft het ziekenhuis de richtlijnen omtrent het bewaren van patiëntgegevens verscherpt. Het is voortaan verboden om USB-sticks te gebruiken voor het opslaan van herleidbare persoonsgegevens.
Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren in het ziekenhuis in te leveren.
Privacy Nieuws
De Autoriteit Persoonsgegevens (AP) kreeg in 2019 bijna een derde meer meldingen binnen van datalekken dan in 2018, schrijft de privacytoezichthouder donderdag. In 2019 ontving de AP 26.956 meldingen van datalekken.
Het grootste deel van de meldingen kwam uit de sector financiële dienstverlening (30 procent), gevolgd door zorg (28 procent) en openbaar bestuur (17 procent).
Volgens Monique Verdier, vicevoorzitter van de AP, kunnen gegevens van burgers door een verkeerd verstuurde e-mail of foutief geadresseerde post bij een verkeerde partij terecht komen. “Wanneer deze post wordt ingezien door onbevoegden kan dat grote impact hebben op de betrokken personen”, aldus Verdier.
Overheidsinstanties beschikken over een grote hoeveelheid persoonsgegevens, zoals burgerservicenummers. Datalekken in deze sector kunnen daarom grote impact hebben op burgers, stelt de AP.
Ook toename hacks en malware
In 2019 ontving de AP 902 meldingen over hacks, malware en phishingaanvallen. Dat is een kwart meer meldingen dan in 2018. Onder malware valt ook gijzelsoftware. Daarbij blokkeren hackers computers en bestanden totdat het slachtoffer een bepaald bedrag betaalt.
Sinds 2016 is het verplicht voor organisaties om datalekken bij de AP te melden, maar niet alle organisaties houden zich daaraan. De AP is in 2019 28 onderzoeken gestart naar organisaties die een datalek hadden moeten melden aan de AP, maar dat niet of te laat hebben gedaan.
Deze organisaties kunnen hiervoor mogelijk een sanctie krijgen. De AP schrijft per geval te bekijken welke sanctie passend is.
Privacy Nieuws
Functionarissen voor de gegevensbescherming (FG’s) in ziekenhuizen zijn volgens de Autoriteit Gegevensbescherming (AP) goed op weg om zich een volwaardige positie te verwerven.
“De FG’s opereren goed en geven een goede invulling aan de taken die zij hebben op grond van de privacywetgeving”, meldt de AP. “Wel kunnen voornamelijk kleinere ziekenhuizen zich nog verbeteren door meer schriftelijke waarborgen door te voeren.”
Deze conclusie trekt de Autoriteit Persoonsgegevens (AP) na een verkennend onderzoek naar het functioneren van FG’s in elf ziekenhuizen.
Monique Verdier, bestuurslid bij de AP: “Als de functie van een FG goed ingebed is in een organisatie, kan dat iets zeggen over hoe goed een organisatie de privacywet naleeft. Voor de AP is een goed functionerende FG waardevol: hij of zij helpt ons om adequaat toezicht te houden.”
Aanbevelingen voor een effectieve FG
Op basis van het verkennend onderzoek komt de AP met aanbevelingen voor de raden van bestuur en aanbevelingen voor de FG’s. De AP heeft het onderzoek verricht binnen elf ziekenhuizen, maar de bevindingen zijn relevant voor de hele ziekenhuisbranche en daarbuiten.
Aanbevelingen aan de raden van bestuur:
- Werk regels en richtlijnen uit over de positie van de FG’s in een intern privacybeleid. Maak duidelijk wat de taken, werkzaamheden en bevoegdheden van de FG zijn en hoe de functie is afgebakend.
- Zorg ervoor dat FG’s voldoende middelen krijgen om hun werk goed te kunnen doen. Laat aan de organisatie zien dat het werk van FG’s belangrijk is en gedragen wordt door de raad van bestuur.
- Zoek zelf actief contact met de FG. Laat dit niet uitsluitend over aan een manager of secretaris.
Aanbevelingen aan FG’s:
- Houd een goede balans tussen de adviserende en de toezichthoudende rol. Vervul niet alleen een adviserende rol, besteed meer aandacht aan de toezichthoudende rol.
- Voorkom conflicten tussen de adviserende en de toezichthoudende rol. Maak binnen de organisatie duidelijk welke rol je wanneer inneemt.
- Maak duidelijke interne afspraken over de verdeling van verantwoordelijkheden en de rol van de FG, bijvoorbeeld bij een datalek.
- Wees zichtbaar. Zoek als FG het contact met de werkvloer en ga het gesprek aan.
- Leer van elkaar. Zoek contact en wissel ervaring en kennis uit met andere FG’s in de regio of bij andere zorgaanbieders in het land. Veel FG’s hebben te maken met dezelfde problematiek. Onderling contact voorkomt dat ze het wiel opnieuw moeten uitvinden.
Privacy Nieuws
37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.
De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.
Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.
In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.
Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.
Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.
Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.
BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.
Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.
Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.
De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.
AVG Awareness, Privacy Nieuws
Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding. Een AVG-wake-upp call voor iedereen die Whatsapp nog zakelijk gebruikt.
Iedereen die zonder toestemming werknemers, klanten of patienten toevoegt aan Whatsapp overtreedt de Europese privacywet.
Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.
De KNO-arts maakt met zijn Whatsappgroep honderden privé-nummers van patiënten inzichtelijk voor anderen.
Eén van zijn oud-patienten meldt bij de Amsterdamse lokale omroep AT5 het vreemd te vinden dat een arts hem benadert via zijn privételefoon.
“Je ziet van al die mensen een Whatsappfoto en ook de telefoonnummers. Dit kan echt niet. De arts schendt hiermee het medisch beroepsgeheim en de privacy van patiënten.”
Schending concurrentiebeding en medisch beroepsgeheim
De actie van de arts is niet alleen vanuit AVG-oogpunt bedenkelijk vanuit concurrentieoverwegingen. Hij probeert via de groepsapp patiënten mee te lokken naar zijn nieuwe werkgever: Acibadem International Medical Center.
In het groepsgesprek, dat de arts midden in de nacht aanmaakt met zijn privé-nummer, vertelt hij een nieuwe werkgever te hebben. De dokter plaatste volgens AT5 teksten als: “Hierdoor kunt u niet geopereerd/gecontroleerd worden in Ziekenhuis Amstelland. [Het] is uiteraard wel mogelijk dat u door mij geopereerd wordt in het International Medical Center Acibadem.”
Ook schrijft de arts dat de wachttijden bij zijn nieuwe werkgever ‘aanzienlijk korter’ zijn en dat patiënten er goed aan doen om opnieuw een verwijsbrief van de huisarts te vragen.
Solo-actie
Zijn nieuwe werkgever Acibadem zegt dat het benaderen van deze patiënten een ‘solo-actie’ is van de KNO-arts. “Wij zijn hier vooraf niet van op de hoogte gesteld en de wijze waarop dit is gebeurd past niet binnen de richtlijnen van Acibadem.”
Ziekenhuis Amstelland, oud-werkgever van de dokter, kondigt juridische stappen aan tegen de oud-werknemer. “Er zijn door de betreffende arts gegevens van onze patiënten meegenomen die binnen onze muren hadden moeten blijven.”
Privacy Nieuws
Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.
Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.
Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.
Persbericht VieCuri Medisch Centrum
Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.
„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.
Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd
“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“
Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“
Slordige communicatie
Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“
Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.
Alle patiënten en ouders/verzorgers worden geinformeerd
“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“
Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar
Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.
De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.
Nieuw wachtwoord voor personeel
Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.
Privacy Nieuws
Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…
Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…
Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?
Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.
Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis
Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.
Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.
Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.
Honderden onbevoegden hebben toegang tot patientgegevens
“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.
Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.
In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.
Datalek in Portugees ziekenhuis werd gemeld door medische vereniging
Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.
Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.
Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.
Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’
De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.
Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.
Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen
Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.
Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.
Uitspraak in Portugal interessant voor heel Europa
De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.
De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.
Privacy Nieuws
Het Utrechts Medisch Centrum (UMC) heeft persoonsgegevens van 900 hartpatiënten per post naar verkeerde adressen verstuurd. zijn patiënten, meldt het ANP. Het betreft een deels vooringevulde vragenlijst die twee keer per jaar naar de patiënten wordt gestuurd. Volgens het UMC ligt de fout ’bij de drukker’.
Op de vragenlijst staan naam, adres, postcode, woonplaats, telefoonnummer, geboortedatum, e-mailadres, en huisartsgegevens van de patiënten die deelnemen aan een langlopend onderzoek naar de gevolgen van hartfalen al vooringevuld.
Volgens het UMC stonden er geen medische gegevens van patienten in de vragenlijst. Dat is een vreemde poging van het ziekenhuis om de impact van de datalek af te zwakken. Impliciet weet iedereen die de vragenlijst in handen krijgt namelijk dat deze vragenlijst alleen naar hartpatienten is gestuurd. Het betreft immers een onderzoek voor hartpatienten.
Datalekprocedure UMC
Het Utrechtse ziekenhuis zegt binnen 48 uur na het ontdekken van de fout een brief naar alle 900 hartpatienten te hebben gestuurd. Daar is het ziekenhuis op basis van de regels voor een datalekprocedure volgens de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht.
Na het ontdekken van een datalek moet er binnen 72 uur een datalekprocedure worden opgestart, waarbij de Autoriteit Persoonsgegevens en de personen of organisaties die betrokken zijn bij het datalek formeel moeten worden geinformeerd.
“Zo’n grote fout kun je niet met een excuusbriefje afdoen”
In De Telegraaf verwijten enkele betrokken hartpatienten dat het ziekenhuis zich er met de excuusbrief te gemakkelijk vanaf maakt. De journalist en de patienten weten duidelijk niet dat het ziekenhuis handelt op basis van wettelijke voorschriften. Die schrijven voor dat de betroffen partijen moeten worden geinformeerd over de oorzaak van het datalek en de maatregelen die worden getroffen.
Een woordvoerder van het UMC erkent de fout ruiterlijk. „In het productieproces van het orgaan dat dit regelt is inderdaad iets verkeerd gegaan, en dat is heel vervelend. We hebben binnen 48 uur na de eerste melding die excuusbrief laten versturen. Voor de zekerheid hebben we die aan de hele groep van zo’n 900 personen gestuurd.”
Het UMC had bij de formele brief, die door de getroffen patienten als een goedkope excuusbrief wordt ervaren, beter ook uitleg kunnen geven over de AVG en een datalekprocedure kunnen meesturen om de patienten duidelijk te maken dat het ziekenhuis nu automatisch ook een onderzoek kan verwachten van de Autoriteit Persoonsgegevens.
Klacht indienen bij Autoriteit Persoonsgegevens
Eén van de patienten heeft inmiddels zijn grote onvrede schriftelijk kenbaar gemaakt aan het UMC, een voorwaarde om een klacht in te kunnen dienen bij de Autoriteit Persoonsgegevens (AP). Hij zegt zich bovendien bij het UMC Utrecht te laten uitschrijven voor het onderzoek.
Het UMC laat weten te hopen dat de patienten hun medewerking blijven geven aan het onderzoek, omdat het belangrijk is voor de toekomstige zorg voor hart- en vaatpatiënten.
Privacy Nieuws
Miljoenen patiëntgegevens van ruim 300 Duitse ziekenhuizen liggen door een datalek op straat, meldt de Duitse website Datenschutzbeauftragter.de. Er wordt gevreesd voor een enorm datalek. Justitie is met een onderzoek begonnen.
De patientgegevens zouden in handen zijn gekomen van activisten van het “Medileaks”-platform.
Volgens Duitse media zijn honderden ziekenhuizen bespioneerd door de activisten. Vermoed wordt dat gevoelige bijzondere persoonsgegevens illegaal gekopieerd en doorgegeven zijn.
Een speciale vereniging die verantwoordelijk is voor klinieken in voornamelijk het Rijnland informeerde ziekenhuizen medio april in een mailing over “mogelijke gegevensdiefstal”.
Op 11 april werd de vereniging anoniem geïnformeerd dat het internetplatform “medileaks.cc” gevoelige gegevens bevat van meer dan 300 ziekenhuizen in Duitsland over een periode van tien jaar.
In de brief staat verder: “Volgens de exploitant, die zijn identiteit niet bekendmaakt en het internetdomein op de Australische Cocoseilanden heeft geregistreerd, bezit hij een derde van alle zogenoemde artikel 21 patientgegevens van ziekenhuizen in Duitsland van de afgelopen tien jaar.”
De Cocos-eilanden liggen in de Indische Oceaan en zijn een buitengebied van Australië.
Artikel 21 van de wetgeving over de financiering van Duitse ziekenhuizen (Krankenhausentgeltgesetzes – KHEntgG) regelt de jaarlijks voorgeschreven overdracht van digitaal opgeslagen patientgegevens van ziekenhuizen aan het verantwoordelijke datacenter op federaal niveau.
De gegevensbestanden bevatten de informatie over het vorige kalenderjaar en moeten uiterlijk op 31 maart worden ingediend.
Duitse ziekenhuizen geven informatie over de omvang en structuur van het ziekenhuis en geeft inzicht in de financiën.
Er wordt echter ook gedetailleerde informatie over individuele patiënten en hun behandeling verstrekt.
Het datacenter heeft tot taak de informatie te verifiëren.
De geanonimiseerde gegevens worden ook opgenomen in de officiële statistieken, die onder meer bedoeld zijn om het federale ministerie van Volksgezondheid te helpen bij het nemen van beslissingen.
Medileaks is actief sinds begin 2018. Het platform exploiteert Medileaks “Data-analyse voor een eerlijker gezondheidssysteem”.
Het doel van Medileaks is om “de waarheid over Duitse ziekenhuizen” aan het licht te brengen.
Sinds het begin van het jaar zijn op de website talrijke verslagen gepubliceerd over vermeend wanbeheer in de gezondheidszorg, bijvoorbeeld over absenteïsme en personeelsverloop in ziekenhuizen, doktersalarissen en statistieken over sterfte en complicaties bij diverse operaties.
Ook gegevens van zorginstellingen zijn geanalyseerd.
Medileaks zorgt ervoor dat er geen patiëntgegevens of ziekenhuisgegevens worden gepubliceerd of doorgegeven aan journalisten, zegt het platform.
De gegevens van de ziekenhuizen zijn “veilig”, beweert Medileaks. “Wat niet zeker is, is het beleid van veel ziekenhuizen en ketens om economische efficiëntie boven het welzijn van de patiënt te stellen,” schrijven de activisten in hun blog.
De argumenten van Medileaks laten onverlet dat zij verantwoordelijk zijn voor diefstal van bijzondere persoonsgegevens, zoals patiëntgegevens in de nieuwe Europese privacywet GDPR genoemd worden. Zowel de actievoerders als de ziekenhuizen kunnen bijzonder zwaar bestraft worden voor het datalek dat er voor gezorgd heeft dat de patiëntgegevens van miljoenen Duitsers nu op straat liggen.
Bijzondere persoonsgegevens moeten door de verwerkingsverantwoordelijke ziekenhuizen extra goed beveiligd worden, volgens de GDPR. Nalatigheid kan bestraft worden met een boete van 4 procent van de jaaromzet van een ziekenhuis met een maximum van 20 miljoen Euro. In totaal kan dit de ziekenhuizen honderden miljoenen Euro’s kosten.
Daarnaast hebben de ziekenhuizen op basis van medische wetgeving te maken met geheimhoudingsplicht. Op basis van deze wetgeving kan de overheid ook boetes opleggen.
Naast financiële en persoonlijke gegevens van de klinieken kunnen namelijk ook gevoelige patiëntgegevens zoals leeftijd, geslacht en postcode in de op het platform opgenomen gegevens zijn opgenomen.
Justitie in Duitsland neemt de zaak hoog op. Een woordvoerder van het Keulse parket zegt dat de zaak wordt onderzocht. “Het parket heeft een klacht ontvangen. Welke gegevens zijn gestolen en hoe, zal nu worden bepaald.”
Justitie maakt bij het onderzoek gebruik van een team van internationaal ervaren IT forensisch experts van auditkantoor Ernst & Young.
Een woordvoerder van de Ziekenhuisvereniging Rijnland had de authenticiteit van de brief van Medileaks bevestigd. Volgens eigen verklaringen zijn 164 klinieken lid van de vereniging.
Privacy Nieuws
93 procent van de datalekken wordt veroorzaakt door phishing. Dat blijkt uit het Data Breach Investigations Report (DBIR) van Verizon. Voor het rapport werden 53.000 incidenten en iets meer dan 2200 “breaches” in 65 landen onderzocht. 93 procent van de onderzochte datalekken had phishing als oorzaak.
Phishing is een vorm van oplichting waarbij de slachtoffers vaak via e-mail worden misleid. In de mail staat een link die het slachtoffer naar een valse website lokt. Zo’n e-mail lijkt te komen van een betrouwbare instantie, bijvoorbeeld een creditcardmaatschappij of een bank. Het verzoek van de oplichter is meestal om ‘de inloggegevens te controleren’.
Volgens Verizon klikt gemiddeld 4 procent van de personen die doelwit zijn van een phishingaanval op de link in de phishingmail. Verder blijkt dat veel phishingmails niet door medewerkers worden gemeld.
Slechts 17 procent van de phishingcampagnes werd doorgegeven. Uit testresultaten blijkt dat de eerste click bij de meeste phishingcampagnes na 16 minuten plaatsvindt.
De meeste mensen die op een phishinglink klikken doen dit in het eerste uur nadat het bericht is verstuurd. De eerste melding van de phishingmail, afkomstig van meer technische gebruikers, komt gemiddeld na zo’n 28 minuten, terwijl de helft van de meldingen na 33 minuten is gedaan.
Verder laat het rapport zien dat de meeste “breaches” door buitenstaanders worden veroorzaakt.
Dat geldt echter niet voor de gezondheidszorg. Daar zijn “insiders” voor de meeste datalekken en incidenten verantwoordelijk. Het gaat dan bijvoorbeeld om het verlies of diefstal van laptops, opslagmedia en papieren dossiers, alsmede misbruik van bevoegdheden.
Als voorbeeld geeft Verizon het bekijken van het medische dossier van een “date” of een bekendheid die in het ziekenhuis wordt opgenomen. Iets dat onlangs ook nog in Nederland speelde toen personeel van het HagaZiekenhuis in Den Haag het medisch dossier van Barbie had bekeken.
Wat gebeurt er als u op een link in een phishing e-mail klikt?
Wanneer u gebruik maakt van zo een link, komt u terecht op een echt lijkende website. Via de website laat de oplichter u inloggen met uw inlognaam en wachtwoord of creditcardnummer. Hierdoor krijgt de oplichter uw persoonsgegevens in handen. Met alle gevolgen van dien! Het doel van de oplichter is bijvoorbeeld om met uw gegevens spullen te kopen en geld van uw rekening te halen.
Hoe herkent u een phishing e-mail?
Het is vaak moeilijk een phishing e-mail te onderscheiden van een echte betrouwbare e-mail. Toch zijn er kenmerken te noemen waaraan u een phishing e-mail kunt herkennen:
- Gerenommeerde banken, creditcardmaatschappijen en andere legitieme bedrijven vragen u nooit per e-mail om persoonlijke gegevens zoals creditcardnummer of wachtwoorden.
- Phishing e-mails spelen vaak in op uw angst opgelicht te worden, uw account kwijt te raken of op een andere dringende redenen om zo snel mogelijk te reageren.
- Een phishing e-mail is meestal onpersoonlijk: de aanhef luidt bijvoorbeeld ‘Beste klant’. Maar let op: ook gepersonaliseerde e-mail kan nog steeds nep zijn!
Kijk op de website veiliginternetten.nl voor meer achtergrondinformatie over phishing en tips om uw computer te beveiligen. De waarschuwingsdienst is een dienst van de Nederlandse overheid.
Privacy Nieuws
De kans op digitale incidenten en bedreigingen is in de zorgsector vele malen groter dan in andere sectoren.
Dat blijkt uit internationaal onderzoek van Verizon Communications.
In totaal worden volgens de onderzoekers 56 procent van de digitale incidenten van binnenuit veroorzaakt.
Datalekken betreffen in de meeste gevallen (79 procent) medische informatie, gevolgd door persoonsinformatie (37 procent).
In 35 procent van de gevallen vindt een datalek plaats na een menselijke fout. Het gaat dan vaak om gevoelige informatie die aan de verkeerde persoon wordt verstrekt.
In een kwart (24 procent) van de gevallen gaat het om misbruik door medewerkers. Daarbij misbruiken werknemers hun rechten om ongeoorloofd in systemen en gegevens te kijken.
Het motief is vaak nieuwsgierigheid, bijvoorbeeld naar het dossier van een bekende van de zorgprofessional of naar een beroemde patiënt.
Deze week kwam naar buiten dat medewerkers van het Haga-ziekenhuis in Den Haag mogelijk ongeoorloofd in het dossier van Samantha de Jong, ook wel bekend als Barbie, hebben gekeken. Het ziekenhuis en de Nederlandse privacywaakhond doen onderzoek.
