De sector zorg en welzijn blijft koploper als het gaat om meldingen van datalekken. Dat laat de Autoriteit Persoonsgegevens (AP) weten in een overzicht van gemelde datalekken over de eerste helft van 2019. De privacy-toezichthouder ontving in deze periode 11.906 meldingen van datalekken, ongeveer 2.000 per maand. Bij een gelijke trend over heel 2019 verwacht de AP voor dit jaar een stijging van 14 procent van de meldingen ten opzichte van 2018.
De meeste datalekken zijn opnieuw gemeld door de zorgsector. Dit is al het geval sinds de Meldplicht datalekken in 2016 inging, vanaf mei 2018 onderdeel van privacywet AVG. Reden voor de AP om zorginstellingen tips te geven om een aantal veel voorkomende typen datalekken te voorkomen. Monique Verdier, vicevoorzitter van de AP hamert erop dat de zorg van privacybescherming een prioriteit moet maken.
Vooral datalekken bij ziekenhuizen, apotheken
Het grootste aantal datalekmeldingen binnen de zorgsector is afkomstig van ziekenhuizen (23%) en apotheken (22%). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger, net zoals in 2018. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24%), maatschappelijke dienstverlening (15%) en tandartsen (6%) melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.
De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63%). In ruim de helft van alle meldingen gaat het om gegevens van 1 persoon (58%). Gemelde datalekken die 5.000 of meer personen raken, worden vaak (in 47% van de gevallen) veroorzaakt door hacking, malware en/of phishing.
Het komt ook voor dat mobiele apparaten of gegevensdragers zoals laptops, tablets, smartphones en USB-sticks waarop persoonsgegevens zijn opgeslagen, kwijtraken of worden gestolen. Dit type datalek komt het meest voor in de zorgsector (27%), gevolgd door de sector openbaar bestuur (18%) en de sector onderwijs (13%).
Datalekken door hacking, malware, phishing
Vier procent van de meldingen die de AP ontving ging over datalekken met hacking, malwaren en/of phishingincidenten. Dit type datalek komt het meest voor in de sector zakelijke dienstverlening (16%) gevolgd door de zorgsector (13%), de sectoren ICT-dienstverlening en onderwijs (beiden 11%), en de sector Handel en autobranche (9%).
Bij ruim 500 datalekmeldingen heeft de AP actie ondernomen bij organisaties die een datalek hebben gemeld. In de meeste gevallen (84%) wordt telefonisch contact opgenomen voor aanvullende informatie. In andere gevallen geeft de AP de organisatie normuitleg via een brief of dringt zij via een gesprek aan op maatregelen. Het Haagse HagaZiekenhuis kreeg afgelopen juli een boete opgelegd omdat het de interne beveiliging van patiëntendossiers niet op orde had.
Uit onder meer signalen en tips van betrokkenen merkt de AP op dat niet alle datalekken die gemeld moeten daadwerkelijk worden gemeld worden of op tijd (binnen 72 uur na ontdekking) worden gemeld. De toezichthouder beschouwt dit als een ernstige zaak.
Onderzoeken en sancties
De AP heeft 17 onderzoeken in uitvoering bij organisaties die (mogelijk) een meldplichtig datalek niet hebben gemeld. Er zijn vier onderzoeken gestart naar aanleiding van een te laat gemeld datalek. Deze onderzoeken kunnen mogelijk leiden tot een sanctie zoals bij het HagaZiekenhuis. In de tweede helft van 2019 start de AP meer (kortlopende) onderzoeken naar niet gemelde datalekken en te laat gemelde datalekken.
