Zorgsector is kampioen datalekken

Foto: solarseven/Getty images/iStock

In de sector Gezondheid & welzijn werden afgelopen jaar in totaal 6.873 datalekken gemeld. Geen enkele andere sector meldt zoveel incidenten. Openbaar bestuur staat op de tweede plek met 4.874 meldingen. De negatieve koppositie van de zorgsector “is te verklaren omdat deze sector relatief veel en gevoelige persoonsgegevens verwerkt”, aldus het rapport. Medische gegevens, burgerservicenummers en financiële informatie zijn waardevolle doelwitten voor criminelen.

Lek via AI-chatbots

Zorginstellingen melden bovendien vaker dan andere sectoren ook kleine incidenten, mede doordat zij onder strenge wetgeving vallen. Het gaat in de zorg dan ook vaak om relatief kleine incidenten, zoals verkeerd geadresseerde medische brieven of e-mails. Opvallend is dat zorgmedewerkers in sommige gevallen zelf bijdragen aan nieuwe risico’s. In de zomer van 2024 kreeg de AP meerdere meldingen binnen van datalekken waarbij medewerkers persoonsgegevens invoerden in AI-chatbots. Hierdoor kregen de exploitanten van deze tools ongeoorloofde toegang tot patiëntgegevens. Vaak handelden ze daarbij op eigen houtje, tegen het beleid van hun organisatie in.

Fors meer cyber-aanvallen

Het aantal gemelde datalekken na een cyberaanval is met 9 procent gestegen, van 1.309 in 2023 naar 1.430 in 2024. Ook op dit gebied speelt de zorg een negatieve hoofdrol, samen met het onderwijs. Het genoemde getal is exclusief de duizenden meldingen als gevolg van de grote ransomware-aanval op klantcommunicatiebedrijf AddComm. Die raakte ook zorgorganisaties en had tot gevolg dat medische informatie en factuurgegevens van huisartsen en tandartspraktijken op straat kwamen te liggen. De stijging van het aantal aanvallen komt volgens de privacy-waakhond doordat cybercriminelen steeds professioneler te werk gaan. Zo maken ze gebruik van AI om overtuigende phishing mails te maken en versturen, die voor medewerkers lastig te herkennen zijn.

Kwetsbare keten

De aanval op AddComm maakt tastbaar hoe kwetsbaar de keten is waarin zorgorganisaties opereren. Het rapport onderstreept dat organisaties die persoonsgegevens uitbesteden aan externe dienstverleners, alsnog eindverantwoordelijk zijn voor de beveiliging. “Kijk ook kritisch naar de beveiliging van je leverancier”, zegt AddComm-ceo Leonie van der Veen in het rapport. Zij zegt veel geleerd te hebben van het incident. “Je kunt zelf alles op orde hebben, maar jouw data is in de hele keten kwetsbaar.” Een andere geleerde les die ze deelt is dat beveiliging en privacy verantwoordelijkheden zijn van het gehele bedrijf en niet alleen van de ict-afdeling. “Zet het regelmatig op de directieagenda en ga er samen mee aan de slag”, adviseert ze.

Dataminimalisatie

Ook roept Van der Veen op om scherp te kijken naar welke informatie je als (zorg-)organisatie opslaat. “Weet welke data je verzamelt of deelt met een andere organisatie. Door minder data te verwerken en deze korter te bewaren, is de impact van een hack kleiner.” De AP roept op om kritisch te kijken naar de data die hun organisatie verzamelt en bewaart. “Wat je niet (meer) hebt, kan ook niet lekken”, stelt de toezichthouder. Dataminimalisatie en goede afspraken met externe partijen zijn dan ook essentieel om de schade van een datalek te beperken. Datalekken brengen niet alleen de patiënt in gevaar, ze schaden ook het vertrouwen, zo komt uit het rapport naar voren. Bovendien kan de rekening bij een geslaagde diefstal in de tonnen lopen, zo becijfert de AP.

Professionele aanvallen

Het toenemende aantal aanvallen en de steeds professionelere werkwijze onderstreept de noodzaak om aandacht te hebben voor cybersecurity. De AP wijst erop dat alleen beleid maken niet volstaat. “In 40 procent van de onderzochte gevallen was er wel beleid tegen cyberaanvallen, maar werd het niet juist uitgevoerd of was er gebrekkige controle op”, staat in het rapport. “Goede bedoelingen op papier” zetten geen zoden aan de dijk, is de boodschap.

‘Tijd van achteroverleunen voorbij’

De Autoriteit Persoonsgegevens hoopt dat het rapport – het zevende dat is verschenen – bestuurders wakker schudt en aanzet om in actie te komen. “De tijd van achteroverleunen is echt voorbij”, schrijft voorzitter Aleid Wolfsen in het voorwoord van het rapport. Hij benadrukt dat samenwerking en verantwoordelijkheid van doorslaggevend belang zijn: “Een veerkrachtig digitaal landschap bouwen we niet alleen met regels en technologie, maar vooral met samenwerking en verantwoordelijkheid.”