Ineens een datalek

Ineens een datalek

DearBytesBlogIneens een datalek

woensdag 10 februari 2016

drawing-tekening-datalek

Drie weken na activering van de Meldplicht Datalekken is het eerste “grote” datalek een feit (update: althans, het eerste dat met naam en toenaam de pers heeft bereikt (bedankt voor deze nuance Ad Koolen)). Het St. Anna Ziekenhuis in Geldrop heeft laten weten dat gegevens van 4.559 patiënten toegankelijk zijn geweest voor onbevoegden.

Een aantal details die het (in mijn optiek) een interessante case maken:

  • De data is toegankelijk geweest voor onbevoegden. Of onbevoegden het ook daadwerkelijk hebben ingezien, wordt niet duidelijk. Toch wordt er melding gemaakt, zowel naar de Autoriteit Persoonsgegevens als de betrokkenen. Dit is conform de beleidsregels meldplicht datalekken.
  • Het ziekenhuis zegt zelf dat de melding bij de Autoriteit Persoonsgegevens “vanuit het oogpunt van zorgvuldigheid” is gedaan. Maar als ik het zo op een afstandje bekijk is dat (ook) simpelweg de wettelijke verplichting geweest.
  • Dat de melding ook aan betrokkenen is gedaan, betekent gelet op voorgaande dat de data in kwestie niet versleuteld was. Zou de data wel versleuteld zijn geweest, had een melding aan betrokkenen niet nodig geweest. Wellicht dat hier ook anders besloten is vanwege de rol van de media, maar als de data versleuteld zou zijn geweest, had diezelfde media er wellicht ook geen aandacht aan geschonken? Ik denk in aannames, ik weet het, maar toch: versleutel uw persoonsgegevens.
  • Het incident is bekend geworden bij het ziekenhuis nadat zij daarop werd geattendeerd door Omroep Max. Dit is volgens het boekje: volgens zo’n beetje alle rapporten die iets roepen over verwerking van incidenten (Mandiant, Verizon) wordt de ruime meerderheid van datalekken initieel door derden ontdekt. Dit komt door gebrekkige security monitoring door organisaties in het eigen netwerk en op eigen data.
  • Het vorige punt zegt ook iets over het gegeven dat het 21 dagen heeft geduurd voordat we een eerste voorbeeld hebben van de meldplicht datalekken: dat er niet eerder melding is gedaan, wil niet zeggen dat er geen datalek is geweest.

We gaan meer van deze voorbeelden zien, dat is wel zeker. Hopen dat we niet telkens Omroep Max nodig hebben om erachter te komen..