Sinds de meldplicht datalekken in werking is getreden begin dit jaar bleef het in eerste instantie stil aan het datalekken front. Met name in de zorg waar gevoelige persoonsgegevens ‘verwerkt’ worden is het natuurlijk goed scoren voor de media. Als zorg(organisatie) heb je wel wat beters aan je hoofd dan een horde pers voor de deur en een boete die flink kan oplopen, het gedoe rondom de meldplicht nog even daargelaten.
In dit artikel wat sensatienieuws vanuit de media, wat ging er mis? Een interessante psychologische verklaring rondom de ‘ik loop niet zo’n risico’-op-datalekken toegelicht en een aantal interessante events die we komende tijd organiseren om awareness en en technisch inzicht te doen vergroten.

Datalekken in de zorg die ‘scoren’ in de media

Zo berichtte omroep Max eerder dit jaar al over patiëntgevens die op straat lagen en een ziekenhuisarchief wat door gevangenen werd gedigitaliseerd. Naast dat de techniek hier niet helemaal klopte (een onbeschermde webserver), is zoiets arbeidsintensief als digitalisering een kostenplaatje wat vaker aan de laagste bieder wordt uitbesteed.

Een tweede groot datalek dit jaar vond plaats in de gemeente Amersfoort waar onverhoopt een verkeerde mail verstuurd werd naar een verkeerd persoon. In die mail stonden gevoelige persoonsgegevens met namen, maar ook met type geleverde zorg. Doordat er een ‘gewone’ mail verstuurd werd en geen speciale ‘zorgmail’ en bovendien de verstuurde data niet encrypted was, hebben een menselijke fout gecombineerd met een onhandige technische inrichting grote gevolgen voor de privacy.

Een derde interessante casus is die van het verlies van een laptop van een co-assistent. Niet in dienst van het ziekenhuis, maar wel in bezit van gevoelige informatie op een privé laptop. Naast de vraag wie verantwoordelijk is, het ziekenhuis, waar een deel van de supervisie valt of de universiteit verantwoordelijk voor de scholing en voorlichting hoe om te gaan met zorgdata. Is het in deze tijd een cruciale vraag hoe patiëntdata op een laptop kan komen zonder versleuteling of mobile device management. In veel organisaties is het zelf meenemen van telefoons of laptops eerder regel dan uitzondering. De uitdaging is dan hoe je dit technisch en organisatorisch in goede banen leidt.

Update 28/11: volgens de privacywaakhond AP zijn er dit jaar alleen al 304 meldingen van datalekken bij ziekenhuizen. De datalekken zijn vaak het gevolg van onveilige verbindingen en menselijke fouten zo berichtte het NRC.

Een datalek schuilt in een klein hoekje

In mei ging het mis met een USB-stick met gevoelige informatie over een gezin die de behandelende GGD in verlegenheid bracht. De betreffende USB stick werd onversleutelt per post verstuurd. En de stick, je raadt het al, die raakte kwijt in de post. De GGD had geen beleid over USB sticks, versleutelen, en waarschijnlijk ook niet over het versturen van informatie per post.

Te druk, of…? Psychologie rondom datalekken

Waarschijnlijk denk je bij bovenstaande voorbeelden – en dan druk ik me netjes uit – “dat is niet zo handig…” of “dat overkomt mij niet”. Maar een datalek schuilt vaak in een klein hoekje. Een niet optimale technische inrichting gecombineerd door een onduidelijk beleid (laten we eerlijk wezen: wie steekt hier echt regelmatig tijd in?), en een gebruiker die een beetje zit te suffen of het gewoon druk heeft, want eerlijk thema’s rondom veiligheid staan niet altijd bovenaan het priolijstje.
Als ik naar de data kijk waar ik zelf regelmatig mee aan het werk ben, valt me altijd op dat mensen een groot vertrouwen in de techniek stellen. Volgens een mooi psychologisch verschijnsel (de optimismebias, leuk toegelicht in dit artikel) zijn mensen altijd optimistisch met het inschatten van de kansen op succes voor zichzelf. En het onderschatten van de kans op narigheid. Een onderdeel van de natuur waar we eigenlijk niet zo veel aan kunnen doen, en wat bovendien ook nog ergens goed voor is: minder stress en een self-fulfilling prophecy, immers als je gelooft in bijvoorbeeld een succesvolle carrière steek je er vaak ook meer tijd in. Het nadeel van de optimismebias is dat mensen vaak ook wat riskanter gedrag vertonen omdat ze denken de dans wel te ontspringen.

Maar hoe voorkom ik nou datalekken in de zorg?

Bij een datalek gaan fouten van gebruikers vaak hand in hand met technische onderdelen die niet optimaal zijn ingericht. Ook het beleid in de organisatie is niet altijd even helder. Eerder dit jaar schreef ik 10 tips om datalekken te voorkomen. En publiceerde we een whitepaper over datalekken.

In de komende tijd organiseren we:

  • een bijscholing op 22 november (deze is alleen voor apothekers, georganiseerd met Pharmaknowledge en Cure4, geaccrediteerd);
  • en een webinar over datalekken in de zorg in dec (voor iedereen toegankelijk en gratis) waarin we dieper ingaan op de organisatorisch aspecten, de juridische kant van de zaak en eenvoudige te implementeren tips voor de techniek bieden.

Stuur me een berichtje: dan houd ik je op de hoogte van de komende events. Geen spam, beloofd!

Joëlle Blankespoor.

 

Bericht: