Zorginstellingen krijgen in de nabije toekomst te maken met fors hogere boetes voor het lekken van digitale data. De boetes kunnen gaan oplopen tot een kleine miljoen euro.
Op grond van de Wet Meldplicht data-lekken moeten alle instellingen die persoonsgevoelige informatie verwerken direct na vaststelling bij het College Bescherming Persoonsgegevens (CBP) melden dat er privacygevoelige informatie op straat is beland. Na melding hebben instellingen 72 uur om het lek te dichten.
Regeeraakkoord
Als ze daar niet in slagen of lekken verzuimen te melden kunnen ze ook nu rekenen op een boete. Deze bedraagt echter maximaal 4500 euro. In het regeerakkoord is overeengekomen deze boetes op te schroeven tot een maximum van 860 duizend euro. De Tweede Kamer buigt zich voor de zomer over de plannen. Daarnaast is er nieuwe Europese wetgeving in de maak die een nog strenger boeteregime kent. Instellingen die hun data-beveiliging niet op orde hebben en bij problemen niet de juiste procedures volgen, kunnen tot 5 procent van hun jaaromzet kwijtraken.
“Het gaat straks om zulke grote risico’s dat accountants een forse voorziening op de balans zullen willen opnemen”, zegt Jan-Lo van Ollefen van ICT-dienstverlener Telindus, dochter van telecombedrijf Belgacom. “Bovendien kun je zulke boetes er als zorginstelling in tijden als deze helemaal niet bijhebben.”
Traag netwerk
Binnen het huidige governance-model is het niet ondenkbaar dat bestuurders uiteindelijk hoofdelijk aansprakelijk gesteld kunnen worden voor een falend digitaal beveiligingssysteem. Ook software-fabrikanten kunnen op grond van ketenaansprakelijkheid getroffen worden.
Belangrijker nog is dat een falende digitale beveiliging de kwaliteit van het netwerk binnen een zorgorganisaties kan aantasten. “Door alle malware en botnets wordt je netwerk traag”, weet Gert Toes van Telindus. “Zorginstellingen realiseren zich dit vaak niet en denken dan dat ze een zwaarder netwerk nodig hebben.”
Bewustzijn
Van Ollefen en Toes, die tijdens de HIMSS in Orlando over het onderwerp spraken, constateren dat het digitale veiligheidsbewustzijn in zorginstellingen vooralsnog laag is. “Twintig procent van de aanvallen komt van buiten naar binnen, maar tachtig procent komt van binnen”, stelt Van Ollefen. “Dat kan een gekregen USB-stick zijn die een personeelslid meeneemt of iemand neemt de laptop mee naar huis en zoonlief speelt er op.”
Digitale chantage
Zonder in details te willen treden stelt Van Ollefen dat hackers tegenwoordig steeds vaker gericht op zoek zijn naar lekken “binnen bepaalde takken van sport”. Hij sluit niet uit dat zorginstellingen daarbij onder het nieuwe boeteregime nadrukkelijk in beeld komen. “Stel je voor: een zekere organisatie meldt zich bij een zorginstelling dat met de boodschap dat ze een data-lek gevonden hebben, terwijl ze dat zelf gecreëerd hebben. Dat willen ze voor 50 duizend euro wel dichten, en anders zullen ze het moeten melden zodat die instelling een boete van een paar ton aan de broek krijgt”, schetst Van Ollefen een potentiële vorm van digitale chantage.
—
Van 22 tot en met 27 februari 2014 vindt de HIMSS 2014 plaats in Orlando. HIMSS is wereldwijd de grootste conferentie en beurs op het gebied van ICT en Healthcare. Skipr is dit jaar exclusief aanwezig bij de HIMSS en doet voor u dagelijks verslag.
Daarnaast bieden wij u de mogelijkheid om op vrijdagmiddag 4 april 2014 van 16.00 tot 19.00 uur in Houten de Skipr HIMSS highlights bij te wonen. Schrijf u nu in. Let op, er is slechts een beperkt aantal plaatsen beschikbaar.