Vorige maand kwam naar buiten dat er bij een extern diagnostisch laboratorium van Bevolkingsonderzoek Nederland een groot datalek heeft plaatsgevonden. Gegevens van ruim 715.000 deelnemers zijn hierbij gelekt, waaronder namen, e-mailadressen, telefoonnummers én BSN’s. Bij een datalek denk je misschien direct aan gehackte databases en geavanceerde cyberaanvallen. Maar verrassend genoeg zit het probleem vaak veel dichterbij: een verkeerd geadresseerde e-mail, een verkeerd gekozen CC-lijst of een bijlage die eigenlijk niet gedeeld mocht worden.
Datalekken in de zorg: de cijfers
Uit de jaarlijkse rapportage van de Autoriteit Persoonsgegevens blijkt dat de meeste meldingen van datalekken uit de zorg komen. Alleen al in 2024 ging het om 6.873 meldingen. De grootste boosdoener? Vaak worden persoonsgegevens gedeeld met de verkeerde ontvanger. Dat betekent: niet de techniek, maar wijzelf veroorzaken de meeste datalekken.
Wat mag je wél en niet delen?
Bewust omgaan met persoonlijke gegevens maakt een enorm verschil. De privacywet (AVG) schrijft voor dat je alleen gegevens deelt die noodzakelijk zijn voor het doel. In de zorg betekent dat: voldoende informatie verstrekken om goede zorg te verlenen, maar nooit meer dan dat.
Denk hierbij ook aan het medium: gebruik veilige systemen zoals het elektronisch cliëntendossier (ECD) of een beveiligd berichtenportaal. Dit zijn speciale systemen die erop zijn ingesteld dat anderen niet zomaar kunnen meelezen.
Is er geen optie om gegevens door te sturen via een beveiligd portaal? Vermijd dan zoveel mogelijk het gebruik van gewone e-maildiensten. Als het écht niet anders kan, wees je bewust van de risico’s en doe een extra check voor verzending.
Als vuistregel kun je, vóór het delen van gegevens, stilstaan bij de volgende drie vragen:
- Waarom deel ik dit?
- Met wie deel ik dit?
- Via welk kanaal deel ik dit?
Even checken vóór je klikt
Hoe voorkom je dat er een datalek ontstaat door het delen van gegevens? Wij hebben een checklist gemaakt. Zo maak je jezelf én je organisatie datalek-proof:
- Check altijd de ontvanger: is dit de juiste persoon?
- Gebruik veilige kanalen: gebruik liever een beveiligd portaal dan gewone e-mail.
- Deel alleen wat nodig is: beperk gegevens tot het strikt noodzakelijke.
- Dubbelcheck bijlagen: klopt de inhoud én hoort de ontvanger dit te zien?
- Voorkom onnodig gebruik van CC bij het versturen: hoe meer ontvangers, hoe groter de kans op fouten.
- Anonimiseer waar mogelijk: laat persoonsgegevens weg als ze niet nodig zijn.
- Meld fouten direct: sneller oplossen = minder schade
De 4 basisregels voor dataveilig werken
- Deel persoonsgegevens alleen met collega’s die direct bij de zorg betrokken zijn wanneer dit nodig is.
- Deel gegevens buiten de organisatie alleen met toestemming van de zorgvrager.
- Zorg dat informatie niet direct te herleiden is tot de zorgvrager (door bijvoorbeeld de vraag te mailen en de naam van de patiënt telefonisch door te geven)
- Gebruik sterke wachtwoorden en stel apparaten zo in dat meldingen geen gevoelige informatie tonen.
Let op: ook medewerkersgegevens tellen mee
Datalekken gaan niet alleen over patiënten, maar óók over medewerkers. Een klassiek voorbeeld kan zijn dat je bij een cursusinschrijving een volledige export uit het personeelsinformatiesysteem stuurt. Vaak staat daar te veel informatie in: woonplaats, telefoonnummer, burgerlijke staat, contractduur. Onnodig en bovendien een formeel datalek. Oeps!
Volg onze cursus Dataveiligheid
Wil jij zeker weten dat jij en je collega’s dataveilig handelen? Volg dan onze compleet herziene cursus Dataveiligheid (voor de VVT en GHZ). Je leert wat er in de wet staat, oefent met praktijkvoorbeelden en scherpt je eigen handelen aan. Zo maak je dataveilig werken vanzelfsprekend!
