Data beschermen? Kies veiligheid boven gemak!

Data beschermen? Kies veiligheid boven gemak!

Een paar dagen geleden werd in een nieuwsbericht bekend gemaakt dat het Sint Anna Ziekenhuis in Geldrop en het Canisius-Wilhelmina Ziekenhuis in Nijmegen persoonsgegevens van meer dan 200.000 patiënten hebben gelekt. Daardoor waren deze gegevens in te zien door onbevoegden.

Hoe kan het toch dat deze incidenten, waarbij grote hoeveelheden privacygevoelige informatie lekken, zich nog zo vaak voordoen? En kan het jouw organisatie ook overkomen? Wees je ervan bewust dat dit vooral binnen de zorg een heel belangrijk issue is. Want vaak worden daar medische gegevens verwerkt en daarom wordt juist van je verwacht dat je je heel goed wapent tegen beveiligingsincidenten!

Wet Meldplicht Datalekken

Informatiebeveiliging is steeds vaker in het nieuws. Sinds 1 januari 2016 is er een nieuw middel ter bescherming van belangen van individuen in werking getreden. Het betreft de Wet Meldplicht Datalekken. Deze wet moet er onder andere voor zorgen dat beveiligingsincidenten op de juiste wijze worden opgevolgd. Zo is het niet alleen belangrijk dat het ‘lek’ gedicht wordt, maar is in een aantal gevallen van belang dat de getroffen persoon (degene van wie persoonlijke informatie gelekt is) op de hoogte wordt gesteld zodat hij of zij waar mogelijk maatregelen kan nemen.

Steeds meer organisaties zijn bezig met informatiebeveiliging. In de zorg heeft dit al eerder geleid tot de NEN7510-norm.

Waar gaat het vaak mis?

Informatiebeveiliging richt zich op de 3 basisvereisten van een betrouwbaar ICT-systeem:

  • Beschikbaarheid (informatie is beschikbaar als het nodig is)
  • Integriteit (informatie is juist)
  • Vertrouwelijkheid (informatie is alleen beschikbaar voor bevoegden)

In het geval van een datalek is er sprake van een incident m.b.t. de vertrouwelijkheid.

Op dit punt komen we een nare tegenstelling tegen die bij informatiebeveiliging vaak om de hoek komt kijken. Het afschermen van gegevens betekent namelijk vaak dat de toegang bemoeilijkt wordt door extra veiligheidsmaatregelen. Denk aan inloggen met aparte software, complexe wachtwoorden of tokens met wisselende codes, et cetera. Goede beveiliging staat dus regelmatig haaks op gemak.

Datalekken komen soms voort uit de focus op het ‘gemakkelijk’ kunnen delen van informatie (bedoeld voor een selecte groep), of bijvoorbeeld uit een fout of gemakzucht in het configureren van de digitale omgeving. In de dagelijkse praktijk zie ik vaak dat beveiligingsincidenten worden veroorzaakt door keuzes waarbij gemak wordt verkozen boven veiligheid.

WGBO

In hetzelfde nieuwsbericht wordt geschreven over de Wet Geneeskundige Behandelovereenkomst.

Deze wet zorgt regelmatig voor lastige situaties. Zo dienen zorgverleners privacygevoelige gegevens geheim te houden. Wat nu als je duizenden papieren dossiers wil inscannen? Mag je dan een ‘derde’ inschakelen om de nietjes uit het papier te halen zodat het scannen eenvoudiger gaat? Mag een helpdeskmedewerker (eventueel op afstand) met een arts meekijken die een bepaalde patiëntkaart niet kan printen?

Per situatie moeten de risico’s in kaart worden gebracht, en passende maatregelen worden genomen. Oplossingen moeten passen binnen het wettelijk kader en een betrouwbare ICT-voorziening opleveren.

Indien je vragen hebt over bovenstaande of ondersteuning wenst bij het in kaart brengen van gegevensstromen, uitvoeren van een beveiligingsscan en/of opstellen van een calamiteitenplan, neem dan gerust contact met mij op via telefoonnummer 0544-39 33 33 of e-mail g.koster@bonsenreuling.nl.

Auteur

Geert Koster

Senior Medewerker ICT
Binnen BonsenReuling werkzaam op de ICT-afdeling. Ik houd mij daar met name bezig met het operationeel houden van de ICT-omgeving voor onze eigen kantoren. Daarnaast breng ik voor de Audit-afdeling ICT-omgevingen van klanten in kaart en adviseer ik op het gebied van informatiebeveiliging.

  

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *