Medewerker zwakste schakel bij privacy-incidenten

Laatst las ik op internet een artikel dat refereert aan twee onderzoeken over cybersecurity. Deze onderzoeken tonen aan dat medewerkers het grootste probleem vormen bij security-incidenten in de gezondheidszorg. Het gaat dan om zowel onzorgvuldige als kwaadwillende medewerkers. In andere sectoren schijnen insiders lang niet zo vaak aan de basis van een datalek te staan.

Even wat cijfers uit het onderzoek op een rij:

• Er is een verrassend hoge bereidheid van bijna één op vijf medewerkers in de zorg om gevoelige informatie voor relatief lage bedragen te verkopen.
• Bij bijna zestig procent van de security-incidenten zijn medewerkers betrokken.
• Een kwart van de medewerkers in de zorg kent iemand die zijn inloggegevens verkocht.

Ik moet even bijkomen van dit soort getallen. Gelukkig gaat het hier om Amerikaanse onderzoeken. Ik kan me slecht voorstellen dat deze cijfers ook op de Nederlandse markt van toepassing zijn. Of ben ik naïef? En zijn dit soort gevallen voor ons land niet ondenkbaar?

Barbie
Er werd snel bevestigd dat ik naïef was. Helaas. Het uitwisselen en doorsturen van persoonsgegevens in de digitale wereld vindt op steeds grotere schaal plaats. Patiëntgegevens zijn en blijven een privéaangelegenheid en de omgang hiermee moet aan de uiterste zorgvuldigheid voldoen. Afgelopen week ging het mis in het Haga-ziekenhuis in Den Haag, waar tal van onbevoegden het medisch dossier van Samantha de Jong, ook wel bekend als Barbie, hebben ingezien. De mensen hadden misschien wel gerechtvaardigde toegang tot het dossier, maar er was zeker geen sprake van een behandelrelatie.

Ook als de cijfers in Nederland vergeleken met bovenstaand onderzoek een stuk lager liggen, is het belangrijk om aandacht te hebben voor de menselijke factor bij het beschermen van gegevens. Helemaal met de nieuwe privacywet, die eind mei van kracht wordt. Zo is het essentieel om te bepalen wie toegang heeft tot welke informatie. Dus dat niet-geautoriseerde mensen geen toegang krijgen tot gegevens. En dat als mensen wel geautoriseerd zijn, er wel sprake moet zijn van een behandelrelatie of dat de toegang op andere wijze nodig is voor hun werk.

Het nemen van de juiste maatregelen als zorgorganisatie is geen vraag meer, maar bittere noodzaak. Er zijn verschillende producten beschikbaar om organisaties hierbij te helpen. Het Haga ziekenhuis doet dit al; de Barbie-case kwam naar boven bij een routinecontrole. Het kwaad was echter al geschiedt, omdat een aantal mensen zich niet kon beheersen.

Je kan echter meer doen. Vergeet bijvoorbeeld niet dat er naast je productiesystemen nog een voor velen verborgen wereld is van testomgevingen, opleidingsomgevingen en onderzoeksomgevingen. Bij dit gedeelte kunnen wij u in ieder geval ondersteunen.