Selecteer een pagina

Inbrekers stelen harde schijven met patiëntgegevens Universitair Medisch Centrum Utrecht

Uit het Universitair Medisch Centrum Utrecht (UMCU) zijn harde schijven met medische gegevens van zo’n zevenhonderd patiënten gestolen. Op de harde schijven staan niet alleen medische dossiers, maar ook burgerservicenummers en namen.

Het ziekenhuis heeft de patiënten en de Autoriteit Persoonsgegevens geïnformeerd en aangifte gedaan bij de politie.

De diefstal gebeurde op 18 april. Bij de polikliniek interne geneeskunde en de polikliniek allergologie werden in totaal tien computers opengebroken.

De harde schijven, processoren en geheugenbanken werden uit de computerkasten gehaald en meegenomen.

Twee computers waren noodcomputers, waar artsen gebruik van kunnen maken als de gebruikelijke computersystemen uitvallen.

Volgens het ziekenhuis konden de behandelingen van de patiënten gewoon doorgaan. De gegevens zijn afgeschermd met een gebruikersnaam en wachtwoord

Datalek bij Tadaah. Identiteitsbewijzen en VOG-verklaringen honderden zorgmedewerkers op straat

Door een datalek bij bemiddelingsplatform Tadaah zijn identiteitsbewijzen van honderden medewerkers uit de zorg en kinderopvang vrij toegankelijk geweest. Dat blijkt uit onderzoek van RTL Nieuws.

Tadaah is een organisatie die zelfstandigen in de zorg en kinderopvang in verbinding brengt met opdrachtgevers

Het gaat om de identiteitsbewijzen van achthonderd mensen, die een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah hebben gestuurd.

Naast identiteitsbewijzen waren VOG’s (Verklaring Omtrent Gedrag), verzekeringen en diploma’s voor iedereen in te zien.

In totaal gaat het volgens RTL-nieuws om duizenden gelekte gevoelige documenten. Deze documenten stonden op een onbeveiligde en publiekelijk toegankelijke server en waren daardoor voor iedereen te vinden.

RTL Nieuws heeft het datalek gemeld bij Tadaah, het lek is inmiddels gedicht. “Het is een menselijke fout”, zegt Eike Dehling, één van de oprichters van Tadaah tegen het tv-programma. “Dit mag gewoon niet gebeuren.”

Tadaah heeft het lek gemeld bij de Autoriteit Persoonsgegevens.

Flevoziekenhuis in Almere raakt USB-stick met patiëntgegevens kwijt

Bij het Flevoziekenhuis in Almere is een medewerker een USB-stick met patiëntgegevens kwijtgeraakt, schrijft het ziekenhuis dinsdag op hun website. Op de USB-stick stonden gegevens van 4325 patiënten die in de periode 2014 tot en met 2017 in behandeling waren bij de gipskamer van het ziekenhuis.

Op de USB-stick stonden de naam, geboortedatum en patiëntnummer van de patiënten en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. Het bestand bevatte geen adresgegevens, burgerservicenummers en geen overige medische gegevens, schrijft het ziekenhuis.

Een zorgverlener van het ziekenhuis had deze patiëntgegevens ongeoorloofd op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren. Maar de medewerkers verloor de USB-stick op een parkeerterrein nabij het ziekenhuis.

Op 9 oktober werd de stick gevonden door iemand anders die gebruik maakte van het parkeerterrein. De vinder heeft thuis de inhoud van de stick geopend en besloot vervolgens om deze weer terug te brengen naar het ziekenhuis.

“Dit had écht niet mogen gebeuren”, zegt Anita Arts, voorzitter van de raad van bestuur van het Flevoziekenhuis. “Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Patiënten moeten er op kunnen rekenen dat hun informatie veilig is bij ons. We doen er alles aan om herhaling te voorkomen”.

Datalekprocedure Autoriteit Persoonsgegevens

Het incident is gemeld bij de Autoriteit Persoonsgegevens en het ziekenhuis heeft met behulp van een extern bureau een onderzoek ingesteld. De betrokken patiënten zijn geïnformeerd over het datalek.

Daarnaast heeft het ziekenhuis de richtlijnen omtrent het bewaren van patiëntgegevens verscherpt. Het is voortaan verboden om USB-sticks te gebruiken voor het opslaan van herleidbare persoonsgegevens.

Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren in het ziekenhuis in te leveren.

Datalek bij gemeente Hellevoetsluis

De gemeente Hellevoetsluis heeft documenten met daarin onder meer burgerservicenummers (BSN’s), woonadressen en telefoonnummers van inwoners gelekt. De gemeente heeft berichtgeving daarover door RTL Nieuws bevestigd.

Hoeveel inwoners zijn getroffen, is onduidelijk. Volgens RTL Nieuws zijn er
21.000 documenten gelekt. Het systeem waarin de documenten zijn verwerkt wordt al sinds 2001 door Hellevoetsluis gebruikt.
De documenten met gevoelige gegevens werden per ongeluk door ambtenaren openbaar gezet, waardoor de persoonsgegevens via Google vindbaar waren.

Inmiddels zijn de data ook niet meer via Google vindbaar, aldus RTL Nieuws.

De gemeente Hellevoetsluis heeft het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens (AP), aldus de woordvoerder. De gemeente onderzoekt nu welke stappen zij verder als gevolg van het datalek moet nemen.

Eerste AVG-boete in Duitsland. Sociaal netwerk Knuddels moet 20.000 Euro betalen

De Autoriteit Persoonsgegevens (AP) van de Duitse deelstaat Baden-Württemberg heeft de eerste AVG-boete opgelegd. Het sociale netwerk Knuddels.de – het grootste online chatplatform van Duitsland – moet een boete van 20.000 euro betalen. En komt daarmee volgens de AP wegens goed gedrag goed weg.

Het bedrijf had 808.000 emailadressen en 1.872.000 pseudoniemen en wachtwoordenvan gebruikers ongecodeerd opgeslagen. De fout werd in juli 2018 ontdekt nadat Knuddels.de een datalekprocedure in gang had gezet wegens een hackaanval.

Knuddels.de bestaat sinds 1999. Het chatplatform heeft meer dan twee miljoen geregistreerde leden.

Het bedrijf uit Karlsruhe heeft volgens de AP de verplichting om de veiligheid van persoonlijke gegevens te garanderen geschonden.

De boete had volgens de Duitse AP vele malen hoger uit kunnen vallen. De toezichthouder zegt er echter rekening mee gehouden dat het bedrijf na een hackaanval meteen open kaart heeft gespeeld bij de Autoriteit Persoonsgegevens en alle gebruikers.

Lof van de Autoriteit Persoonsgegevens

De AP zegt dat Knuddels op een voorbeeldige manier heeft samengewerkt met de toezichthouder en de veiligheid van de ICT meteen beduidend heeft verbeterd. “Wie van schade leert en transparant bijdraagt aan de verbetering van de gegevensbescherming, kan als bedrijf ook sterker uit een aanval van een hacker tevoorschijn komen”, aldus de AP.

Medisch datalek. Fout met persoonsgegevens van 900 hartpatiënten Utrechts Medisch Centrum. Wat kunnen we leren van de media-aandacht, reacties van patiënten en gevolgen voor imago

Het Utrechts Medisch Centrum (UMC) heeft persoonsgegevens van 900 hartpatiënten per post naar verkeerde adressen verstuurd. zijn patiënten, meldt het ANP. Het betreft een deels vooringevulde vragenlijst die twee keer per jaar naar de patiënten wordt gestuurd. Volgens het UMC ligt de fout ’bij de drukker’.

Op de vragenlijst staan naam, adres, postcode, woonplaats, telefoonnummer, geboortedatum, e-mailadres, en huisartsgegevens van de patiënten die deelnemen aan een langlopend onderzoek naar de gevolgen van hartfalen al vooringevuld.

Volgens het UMC stonden er geen medische gegevens van patienten in de vragenlijst. Dat is een vreemde poging van het ziekenhuis om de impact van de datalek af te zwakken. Impliciet weet iedereen die de vragenlijst in handen krijgt namelijk dat deze vragenlijst alleen naar hartpatienten is gestuurd. Het betreft immers een onderzoek voor hartpatienten.

Datalekprocedure UMC

Het Utrechtse ziekenhuis zegt binnen 48 uur na het ontdekken van de fout een brief naar alle 900 hartpatienten te hebben gestuurd. Daar is het ziekenhuis op basis van de regels voor een datalekprocedure volgens de Algemene Verordening Gegevensbescherming (AVG) ook toe verplicht.

Na het ontdekken van een datalek moet er binnen 72 uur een datalekprocedure worden opgestart, waarbij de Autoriteit Persoonsgegevens en de personen of organisaties die betrokken zijn bij het datalek formeel moeten worden geinformeerd.

“Zo’n grote fout kun je niet met een excuusbriefje afdoen”

In De Telegraaf verwijten enkele betrokken hartpatienten dat het ziekenhuis zich er met de excuusbrief te gemakkelijk vanaf maakt. De journalist en de patienten weten duidelijk niet dat het ziekenhuis handelt op basis van wettelijke voorschriften. Die schrijven voor dat de betroffen partijen moeten worden geinformeerd over de oorzaak van het datalek en de maatregelen die worden getroffen.

Een woordvoerder van het UMC erkent de fout ruiterlijk. „In het productieproces van het orgaan dat dit regelt is inderdaad iets verkeerd gegaan, en dat is heel vervelend. We hebben binnen 48 uur na de eerste melding die excuusbrief laten versturen. Voor de zekerheid hebben we die aan de hele groep van zo’n 900 personen gestuurd.”

Het UMC had bij de formele brief, die door de getroffen patienten als een goedkope excuusbrief wordt ervaren, beter ook uitleg kunnen geven over de AVG en een datalekprocedure kunnen meesturen om de patienten duidelijk te maken dat het ziekenhuis nu automatisch ook een onderzoek kan verwachten van de Autoriteit Persoonsgegevens.

Klacht indienen bij Autoriteit Persoonsgegevens

Eén van de patienten heeft inmiddels zijn grote onvrede schriftelijk kenbaar gemaakt aan het UMC, een voorwaarde om een klacht in te kunnen dienen bij de Autoriteit Persoonsgegevens (AP). Hij zegt zich bovendien bij het UMC Utrecht te laten uitschrijven voor het onderzoek.

Het UMC laat weten te hopen dat de patienten hun medewerking blijven geven aan het onderzoek, omdat het belangrijk is voor de toekomstige zorg voor hart- en vaatpatiënten.

Datalek bij Randstad Uitzendbureau. Alle gegevens uitzendkrachten zichtbaar via website

Door een datalek bij Randstad Uitzendbureau waren privégegevens van werkzoekenden die bij het bedrijf staan ingeschreven voor minstens één dag voor iedereen in te zien. Het lek wordt door de privacy officer van Randstad gemeld bij de Autoriteit Persoonsgegevens. 

Het datalek werd ontdekt door beveiligingsonderzoeker Dennis Veninga van Networking4all, die Randstad op het lek wees, meldt de nieuwszender RTL Z.

Via het datalek bij de uitzendorganisatie was onder andere de volledige naam, woonadres, geboortedatum, e-mailadres, mobiele telefoonnummer, gewenste functies, salariseis, werkervaring en opleiding te vinden. Met dat soort gegevens is het mogelijk om identiteitsfraude te plegen.

10 grote AVG risico’s waar ondernemers vaak niet meteen aan denken

“Hebt u ook een verwerkersovereenkomst voor me die ik naar klanten of leveranciers kan sturen?” Dat is het eerste wat ondernemers meestal vragen als ze professionele ondersteuning inschakelen bij de ontwikkeling van privacybeleid. Bijna niemand vraagt om een awareness training voor medewerkers. Terwijl zij voor de meeste privacyrisico’s zorgen.

95 procent van de datalekken wordt veroorzaakt door menselijke fouten.

We zetten de 10 grootste risico’s voor u op een rij.

1. bestanden belanden in de prullenbak

In het digitale tijdperk wordt vaak vergeten dat gedrukte producten ook persoonsgegevens kunnen bevatten. Digitaal aangeleverde documenten worden voor een vergadering op papier geprint. Ouderwetse post wordt omgekeerd ingescand.

De papieren versies belanden na gebruik in de prullenbak. Vrij toegankelijk voor iedereen. De schoonmakers vsn het schoonmaakbedrijf hebben zo onbevoegd toegang tot persoonsgegevens.

Bedtsnden met persoonsgegevens moeten op de juiste manier worden vernietigd (bijvoorbeeld versnipperd). Organiasties die doorlopend veel documenten met persoonsgegevens moeten vernietigen doen er verstandig aan om het versnipperen over te dragen aan gecertificeerde externe dienstverleners die een beveiligde documentencontainer plaatsen die geregeld wordt afgehaald. U ontvangt dan een bewijs voor uw verwerkingsregister dat de documenten daadwerkelijk zijn vernietigd.

2. Privé USB-sticks, externe harde schijven en cd-rom’s

Sommige medewerkers nemen persoonlijke USB-sticks, externe harde schijven en cd-rom’s mee naar kantoor om daar tussendoor op de computer van de zaak persoonlijke zaken af te handelen. Of om bedrijfsbestanden op te slaan zodat er thuis op de privé computer aan verder gewerkt kan worden. Dat brengt grote risico’s met zich mee.

De apparaten kunnen worden geïnfecteerd met malware die zich verspreidt in het besturingssysteem en een bedreiging vormt voor de gegevens. Daarom mogen privé-apparaten binnen het bedrijf niet worden toegestaan en moeten apparaten die eigendom zijn van het bedrijf met encryptie worden uitgerust.

3. bedrijfsapparaten worden voor privédoeleinden gebruikt

Thuiskantoor en werken onderweg zijn wijdverbreid. De ter beschikking gestelde hulpmiddelen (laptops, tablets, smartphones) worden vaak ook voor privédoeleinden gebruikt.

Hierdoor kunnen onbevoegde derden, met name in geval van verlies of diefstal, gemakkelijk toegang krijgen tot vertrouwelijke bedrijfsdocumenten. Harde schijven en USB-sticks moeten daarom worden versleuteld en het gebruik van openbare WLAN moet worden verboden.

4. gebruik van personlijke e-mailaccounts voor het werk

Veel werknemers gebruiken privé e-mailadressen om bedrijfsdocumenten te versturen die vertrouwelijke persoonlijke gegevens bevatten. Redenen: Gemak, onervarenheid met e-mailprogramma’s van het bedrijf, gebruik van documenten voor privédoeleinden.

Zij gebruiken daarbij vaak onveilige overdrachtmethoden.

Helaas weten veel hackers die altijd op zoek zijn naar manieren om vertrouwelijke gegevens te stelen dat ook.

Het gebruik van particuliere e-mailaccounts voor zakelijke doeleinden moet daarom worden verboden.

Voor het versleutelen van bestandsbijlagen moet gebruik worden gemaakt van geautomatiseerde hulpmiddelen die door het bedrijf worden geleverd.

5. Een eenvoudig centraal wachtwoord voor iedereen voor alles: hallo 123

Best wel praktisch dat Jantje Pietje spontaan kan vervangen op de afdeling. Dat de stagiaire eenvoudig kan assisteren. En dat de externe HR-medewerker overal bij kan.

Sommige organisaties hebben voor applicaties, bestanden en computers een groepsaccount gemaakt met een praktisch eenvoudig te onthouden wachtwoord. Dat is bepaald niet veilig.

Het delen van accounts is een no-go! Een fatale fout in de gegevensbescherming!

Volgens de AVG moeten per medewerker bevoegdheden worden vastgelegd. Dat kan met een algemeen account niet.

Bovendien is een algemeen account erg kwetsbaar. Het wachtwoord is algemeen bekend en kan snel op straat komen of worden gekraakt.

Na het kraken van dit wachtwoord is het dan mogelijk om toegang te krijgen tot alle vertrouwelijke persoonsgegevens in uw organisatie.

Werknemers moeten technisch worden gedwongen om lange wachtwoorden (acht tot twaalf tekens) te gebruiken, die ook bestaan uit hoofdletters en kleine letters, getallen en speciale tekens. Ook moeten deze regelmatig worden aangepast.

U mag medewerkers alleen toegang geven tot gegevens die zij voor hun taak daadwerkelijk nodig zijn.

6. Kom binnen!

Veel bedrijven willen gastvrij overkomen. Bezoekers kunnen spontaan de werkvloer oplopen. Dat brengt echter grote risico’s met zich mee.

Zeker wanneer mensen van buiten het bedrijf zonder begeleiding kunnen rondlopen.

Een open kantoor, een vrijgespeelde serverruimte en een vergeten document op de printer kunnen fatale gevolgen hebben voor de gegevensbescherming van klanten en medewerkers.

Buitenstaanders mogen alleen voor operationele doeleinden en onder toezicht toegang tot de werkvloer krijgen.

7. te veel informatie verstrekken via de telefoon

“Ik probeer Henk te bereiken. Hij zou vandaag langskomen voor een klus. Maar hij neemt niet op. Hebt u zijn mobiele nummer voor mij?”

Wanneer mag je aan de telefoon eigenlijk persoonsgegevens aan derden verstrekken?

Veel medewerkers weten het niet. Ze willen klantvriendelijk zijn en spreken dan snel hun mond voorbij.

Of ze gaan te amicaal met jarenlange trouwe klanten om en vertellen spontaan aan de telefoon wat ze nou weer beleefd hebben met die en die.

Om te voorkomen dat medewerkers onrechtmatig telefonisch teveel informatie verstrekken is het van belang om de medewerker vooraf grondig te instrueren welke informatie wel en niet mag worden verstrekt.

Maak een telefoonprotocol dat door de medewerkers moet worden ondertekend.

8 Chaos op de werkvloer

Vertrouwelijke brieven, contracten, notities met wachtwoorden, USB-sticks, postbakjes vol uitgaande poststukken bij de balie, stapels papier op het bureau. Als iedere buitenstaander in een oogopslag deze privacypuinhoop kan zien, is de chaos op het gebied van gegevensbescherming perfect.

De AVG dwingt tot een clean desk policy. Zo’n beleid is nuttig, omdat het structuur aanbrengt in organisaties. Er zijn dan duidelijke afspraken over hoe wordt omgegaan met de eigen werkplek en de directe omgeving. Er wordt vastgelegd dat er geen documenten met vertrouwelijke documenten achtergelaten mogen worden bij het verlaten van de werkplek. Computers moeten vergrendeld zijn.

9 De overvolle mailbox

Een van de beginselen van het recht inzake gegevensbescherming is dataminimalisatie. Beperk de opslag van persoonsgegevens zo veel mogelijk. Gegevens mogen niet langer bewaard worden dan nodig is voor het doel van de verwerking.

Ondertussen zit de mailbox stampvol met mail. U kunt mail van een paar jaar oud eenvoudig terug vinden. Best praktisch. Je weet nooit waar het goed voor is. Toch?

Kan best zijn, maar het mag niet. De mailbox moet net als postbakjes met brieven op uw bureau regelmatig worden geleegd.

Documenten met persoonlijke gegevens die op de harde schijf zijn opgeslagen, maar niet zijn vereist, moeten naar de prullenbak worden overgebracht.

U bent verplicht zich te houden aan wettelijke bewaartermijnen!

10. Datalekken verzwijgen

Iedereen maakt fouten. Voor je het weet heb je een mail met vertrouwelijke gegevens naar een verkeerd adres gestuurd.

Opeens bent u uw telefoon kwijt.

Uw bedrijf is slachtoffer geworden van hackers omdat een medewerker op een phishingmail heeft geklikt.

Niemand is blij met fouten.

Het liefst wil je over fouten zwijgen.

Struisvogel spelen.

Maar dat is iets dat u vooral niet moet doen!

U bent verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens en meteen maatregelen te treffen om schade te voorkomen of te beperken.

Als u dat niet doet kan de Autoriteit Persoonsgegevens u fors beboeten.