Fouten maken mag

Privacy is niet meer weg te denken uit het dagelijkse nieuws en hoewel men vaak in de media sensationeel bericht over grote technische inbraken of gebreken, hacks, Ransomware, Shadow IT systemen, Cyber aanvallen, is het constateren van een duidelijk datalek bij bedrijven vaak een stuk eenvoudiger en helaas, komt dit veel vaker voor.

We hebben allemaal ongetwijfeld meegekregen wat er alleen al de afgelopen tijd heeft plaatsgevonden, InHolland, De GGD casusStadgenootTicketcounterDUOBlokkerHogeschool van Amsterdam en Universiteit van Amsterdam. En dit zijn gevallen waarvan we het weten.

Miljoenen sets aan persoonlijke gegevens liggen op straat of zijn in handen van criminele organisaties. Met dit soort “lekken”, aanvallen of fouten die gemaakt worden brengt men niet alleen de eigen reputatie in gevaar, loopt men niet alleen kans op boetes maar brengt men vooral de burgers van Nederland in gevaar.

Iedereen waarvan een set aan data gelekt is loopt het risico om volledig kapot gemaakt te worden door fraude. Persoonlijk ben ik erg benieuwd of er sprake kan zijn van “ketenaansprakelijkheid als men als privépersoon te maken krijgt met phishing, smishing of identiteitsfraude en hier schade door ondervindt…

Wie is dan verantwoordelijk en mag ik schade gaan verhalen op alle partijen die persé mijn data moeten of willen hebben omdat ik anders niet mag kopen, consumeren, gebruiken, bestaan.

Hoe kan of ga ik bewijzen door welke van alle datalekken die afgelopen twee weken hebben plaatsgevonden verantwoordelijk is voor mijn geleden schade?

Maar goed, dat zijn belangrijke vragen die ongetwijfeld zeer binnenkort relevant gaan worden en waar jurisprudentie zal uitwijzen welke stappen en rechten de burger heeft.

Met betrekking tot het constateren van een datalek wil ik u meenemen in een praktijkvoorbeeld van een datalek wat ik  persoonlijk heb mogen constateren.

Ziekenhuis protocol behandelkamers

Afgelopen 2 weken ben ik (helaas) geopereerd aan een verstandskies die eigenlijk al 20 jaar eruit had gemoeten maar door de tandarts beoordeeld was als te riskant omdat hij te dicht bij enkele zenuwen lag. Met die nieuwe technologie kon men nu een betere inschatting maken dus,… naar de kaakchirurg, in een van de grootste regionale ziekenhuizen van de regio Rotterdam.

Eerst inschrijven, legitimeren, keurige processen echter wel erg verbaasd over de informatie die zij reeds over mij hadden kunnen verzamelen zonder dat ik informatie daarover heb gegeven of toestemming. Wie mijn verzekeraar is, de huisarts, apotheek, en veel andere gegevens die men kennelijk zomaar mag en kan ophalen uit andere gekoppelde systemen.

Door naar de afdeling.

Na aanmelden ben ik redelijk snel door een van de begeleidende zusters geparkeerd in een behandelkamer voor het voorgesprek en consult waar ik minstens 10 minuten alleen heb mogen verblijven. Op zich niet echt een probleem alleen ik zag dat er twee monitoren open stonden met hierop allemaal informatie die ik niet zou mogen zien, niet gelocked, open en bloot…

Zenuwachtig als ik al was, ben ik eigenlijk hieraan voorbijgegaan en heb ik mij meer druk gemaakt over wat mij te wachten stond, de behandeling!

Maar goed, weekje verder terug voor een controle afspraak en wederom geparkeerd in de behandelkamer. Dit keer eerst een kwartier, tussendoor een scan laten maken op een andere afdeling en daarna terug naar dezelfde ruimte en hier ook weer een kwartier mogen wachten.

Wederom stonden de monitoren gewoon open en wat ik zag was op zich best schokkend.

Alle afspraken van de verschillende artsen, open en bloot, met voor- en achternaam, geboortedatum en andere gegevens….

Nu kan ik mij goed voorstellen hoe het is om “productie” te draaien in een ziekenhuis en dat snelheid en efficiëntie erg belangrijk is. Artsen proberen zo goed mogelijk en zoveel mogelijk patiënten te behandelen en door het proces heen te krijgen tot genezing. De ondersteuning (zuster of verpleging) probeert de arts maximaal te faciliteren door alle informatie snel en efficiënt beschikbaar te hebben.

Maar, helaas is dit gewoon een risicovol datalek!

Als ik een “slecht” persoon zou zijn dan had ik alle dossiers met een dubbelklik kunnen openen, dan had ik (als ik een hacker zou zijn) binnen 1 minuut het ziekenhuis kunnen platleggen als ik daarvoor de middelen (en het verstand) bij mij had, had ik de gegevens van duizenden burgers toegankelijk kunnen maken door spyware of iets dergelijks te installeren, dan had ik het ziekenhuis veel schade kunnen berokkenen,……

Dit soort processen is vrij gebruikelijk in ziekenhuizen en andere bedrijven en instellingen. Op zich logisch, het is ook best irritant dat je 100 maal per dag de pc moet locken en unlocken,… het is echter wel belangrijk om de eigen organisatie en de potentiële slachtoffers te beschermen.

Informatie en data veiligheid, privacy compliance, AVG, processen en protocollen moeten als prioriteit aangemerkt gaan worden door bestuurders, managers, proceseigenaren en dit moet onderdeel gaan worden van de bedrijfscultuur en het in DNA van de dienstverlening terecht gaan komen.

Hoe loopt dit af?

De afgelopen jaren ben ik werkzaam bij Audittrail professionals, een waanzinnig mooi boutique consultancy bedrijf met fantastische specialisten op het gebied van Privacy en Informatiebeveiliging met ook nog een praktische producten voor de borging en meting van compliance.

Om het ziekenhuis de kans te geven om te leren van mijn ervaring heb ik ervoor gekozen om een bericht te sturen (zonder de foto’s die ik heb gemaakt, of de afdeling te noemen waar ik ben behandeld) naar de Functionaris Gegevensbescherming van de organisatie en ben ik keurig door het privacy team uitgenodigd om mijn ervaring verder toe te lichten.

Respect!

Mocht u als individu dit soort ervaringen hebben of nog gaan meemaken, denk na over de potentiële gevolgen die dit kan hebben voor uw gegevens, de gegevens van alle andere Medelanders die misschien ook in het systeem zouden kunnen staan en stuur een bericht naar de verantwoordelijke voor privacy in die organisatie…

Fouten maken mag, en kan altijd gebeuren… het is altijd de vraag: Hoe corrigeer je of verbeter je de processen die leiden tot het risico op een pragmatische manier. Help elkaar een dataveiligere wereld te creëren.

Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail is Microsoft Partner op het gebied van security & compliance en helpt organisaties hun Microsoft omgeving secure en privacy compliant in te richten. Heb je vragen naar aanleiding van dit artikel? Laat het ons weten via mail@audittrail.nl of via 071 –747 17 17.