Datalek bij Bevolkingsonderzoek Nederland

Wat is de impact van het datalek?

Een datalek van deze omvang heeft impact op verschillende groepen:

• Deelnemers en zorgverleners: persoonsgegevens kunnen misbruikt worden voor identiteitsfraude, phishing of oplichting. Betrokkenen moeten extra alert zijn op verdachte e-mails of andere vormen van fraude.
• De organisaties: Clinical Diagnostics en Bevolkingsonderzoek Nederland kampen met reputatieschade. Het vertrouwen in de veilige verwerking van medische gegevens komt onder druk te staan. Bovendien bestaat het risico dat hackers de buitgemaakte gegevens gebruiken voor afpersing.
• De samenleving: bevolkingsonderzoeken draaien om vertrouwen. Burgers moeten erop kunnen rekenen dat hun gevoelige medische informatie in veilige handen is. Dit incident heeft dat vertrouwen een flinke deuk gegeven.

Wat zijn de juridische gevolgen?

De Algemene verordening gegevensbescherming (AVG) is de belangrijkste wet voor bescherming van persoonsgegevens in Europa. Organisaties die persoonsgegevens verwerken hebben een verantwoordingsplicht: zij moeten aantonen dat ze voldoen aan de privacyregels en passende technische en organisatorische maatregelen treffen om privacy risico’s te minimaliseren.

Ook in het geval van een datalek gelden er specifieke verplichtingen. Je moet het datalek:

• Registreren in een intern datalekregister;
• Melden bij de Autoriteit Persoonsgegevens (AP), indien er sprake is van een hoog privacy risico voor betrokkenen;
• Melden bij de betrokkenen, eveneens bij een hoog privacy risico.

In dit geval was er duidelijk sprake van een hoog privacy risico. Er zijn namelijk bijzondere persoonsgegevens (over gezondheid) en BSN-nummers buitgemaakt.

De AVG schrijft voor dat een datalek binnen 72 uur moet worden gemeld. De melding aan betrokkenen vond echter pas op 6 augustus plaats, terwijl het lek begin juli was ontdekt. Dat is te laat en dus in strijd met de wet.

Onderzoek door AP en IGJ
De Autoriteit Persoonsgegevens (AP) is inmiddels een onderzoek gestart naar Clinical Diagnostics. Mogelijke sancties variëren van een waarschuwing of berisping tot een boete of zelfs een verwerkingsverbod.

• Fundamentele overtredingen: maximaal €20 miljoen of 4% van de wereldwijde omzet
• Administratieve overtredingen: maximaal €10 miljoen of 2% van de omzet

De hoogte van de sanctie hangt af van ernst, omvang en duur van de overtreding en moet doeltreffend, evenredig en afschrikwekkend zijn.

Ook de Inspectie Gezondheidszorg en Jeugd (IGJ) is een onderzoek gestart. Zij kijken of het laboratorium voldeed aan de wettelijke eisen rond informatiebeveiliging.

Welke maatregelen zijn getroffen?

Na ontdekking van het datalek heeft Clinical Diagnostics direct technische maatregelen genomen om verdere risico’s te beperken:

• Het getroffen IT-systeem is geïsoleerd van andere systemen;
• Monitoring is geïntensiveerd;
• Toegang van hackers is geblokkeerd en systemen zijn veiliggesteld;
• Er is een onderzoek gestart naar de oorzaak en impact van het incident;
• Alle systemen ondergaan een IT-beveiligingsreview;
• Het incident is gemeld bij de Autoriteit Persoonsgegevens (AP) en Nationaal Cyber Security Centrum (NCSC).

Ook Bevolkingsonderzoek Nederland nam aanvullende maatregelen. Zo is de samenwerking met Clinical Diagnostics tijdelijk opgeschort totdat zeker is dat nieuwe testresultaten veilig verwerkt kunnen worden. Daarnaast is een onafhankelijk onderzoek gestart naar de oorzaak en preventieve maatregelen voor de toekomst.

Vanaf 19 augustus ontvangen betrokkenen persoonlijk een brief met uitleg en waarschuwing van het Bevolkingsonderzoek Nederland. Van 80.000 gedupeerden wordt nog onderzocht of zij tot de groep behoren die deelnam aan het bevolkingsonderzoek of tot de overige slachtoffers, die via hun huisarts of ziekenhuis een lichamelijk onderzoek deden.

Wat kunnen we leren?

Een datalek kan elke organisatie overkomen. Toch kun je de kans aanzienlijk verkleinen door de juiste maatregelen te nemen en continu alert te blijven.

Belangrijke stappen

1. Breng informatiestromen en verwerking van persoonsgegevens in kaart.
2. Voer risicoanalyses uit om kwetsbaarheden op het gebied van privacy en informatiebeveiliging te identificeren.
3. Implementeer passende technische en organisatorische maatregelen (o.a. voor toegangsbeheer, encryptie en logging).
4. Creëer bewustwording bij medewerkers: de mens is vaak de zwakste schakel.
5. Stel een duidelijk datalekprocedure op, zodat iedereen weet wat te doen.

Blijf alert
Misschien wel het allerbelangrijkste: beveiliging is geen eenmalige actie. Een keer alles goed inrichten is geen garantie voor de toekomst. De wereld staat niet stil en cyberdreigingen nemen alsmaar toe. Daarom is het essentieel om:

• Beveiligingsmaatregelen te blijven testen en updaten.
• Nieuwe ontwikkelingen te volgen en daarop in te spelen.
• Privacy en security te zien als een doorlopend proces.

Gebruik erkende normenkaders
Normenkaders zoals ISO 27001, NEN 7510 (zorg) en BIO (overheid) helpen organisaties bij het opzetten en borgen van informatiebeveiliging. Ze volgen de PDCA-cyclus (Plan–Do–Check–Act) voor continue verbetering. Door dergelijke normenkaders te implementeren, creëer je een stevig fundament en duidelijke houvast voor een duurzaam beveiligingsbeleid.

Borg privacy processen
Tot slot is het belangrijk om ook je privacy processen actueel te houden. Volg het privacy beleid van jouw organisatie en houd een actueel verwerkingsregister bij. Vraag jezelf regelmatig af:

• Verzamelen we alleen de gegevens die strikt noodzakelijk zijn?
• Verwijderen we tijdig gegevens die we niet meer nodig hebben?
• Hebben alleen bevoegde personen toegang tot gevoelige informatie?
• Is het aantal plekken waar we gevoelige gegevens opslaan tot een minimum beperkt?
• Zijn er nieuwe of gewijzigde verwerkingen waarvan we de risico’s in kaart moeten brengen?