Datalek

Bij een datalek is er sprake van een inbreuk op persoonsgegevens. Het gaat dan om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens waar Alliade verantwoordelijk voor is zonder dat dit de bedoeling is.

Het kan hierbij gaan om gegevens van cliënten, eigen medewerkers maar ook van andere personen waarvan wij gegevens gebruiken binnen onze organisatie. Wanneer wij gebruik maken van gegevens zonder dat hier een rechtmatig doel voor is dan wordt dit ook beschouwd als een datalek. 

Voorbeelden van datalekken​

• Een persoon heeft toegang tot een verkeerd cliëntdossier; 
• op een kwijtgeraakte USB-stick staan niet beveiligde cliëntgegevens;
• op een gestolen laptop staan niet beveiligde personeelsgegevens;
• een hacker heeft toegang gehad tot gegevens van of over cliënten of medewerkers;
• via een virus / malware / phishing zijn jouw inloggegevens (ongemerkt) gestolen en hiermee is toegang verkregen tot de bedrijfssystemen, met de bijbehorende rechten;
• een systeem met daarop cliëntgegevens is tijdelijk niet beschikbaar door een storing;
• een brand in een datacentrum heeft alle data vernietigd en er is geen kopie van de data voor handen.

Wanneer er (vermoeden van) een datalek is dan is het belangrijk dit zo snel mogelijk te melden via privacy@alliade.nl. In sommige gevallen zijn wij als organisatie verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Hierbij wordt er niet gekeken naar weekenden of mogelijke vakantie's van personen. 

Geef hierbij een zo duidelijk mogelijke omschrijving van (het vermoeden van) het incident.  Denk hierbij aan: 

• Datum en tijdstip; 
• Om hoeveel gegevens het (ongeveer) gaat; 
• Om welk soort gegevens gaat het; 
• Of bekend is hoe dit heeft kunnen gebeuren; 
• Of er al directe acties ondernomen zijn om het incident te laten stoppen; 
• Of er al personen geinformeerd zijn die betrokken zijn bij het incident. 

Afhankelijk van het soort incident zal de Data Protection Officer samen met jou bespreken hoe de verdere afhandeling zal zijn. 

Let op: ook wanneer je niet zeker weet of iets een datalek is of wanneer het om een menselijke fout gaat is het belangrijk om een melding te doen. Datalekken worden nooit 100% voorkomen, het kan iedereen overkomen. De gevolgen voor de organisatie, jouw collega's en cliënten kunnen vele malen groter zijn wanneer er geen melding wordt gedaan. Samen kijken we naar de juiste oplossing om de gevolgen te beperken. 

Bij een datalek kan er spraken zijn van meerdere risico's

Geen zorg meer kunnen leveren

In het ergste geval worden systemen getroffen of buitgemaakt door een datalek waarmee de zorg voor cliënten uitgevoerd wordt. Wanneer wij niet meer bij deze gegevens kunnen kan dit grote gevolgen hebben voor het kunnen leveren van de zorg. Denk hierbij bijvoorbeeld aan het niet meer beschikbaar hebben van de cliëntendossiers. 

Identiteitsfraude 

Wanneer bepaalde persoonsgegevens in handen van anderen komen is er een risico op identiteitsfraude. Hierbij maken criminelen misbruik van de persoonsgegevens door zich voor te doen als de persoon waarvan de gegevens zijn. Dit kan grote gevolgen hebben voor de betreffende persoon.

Invloed op de persoonlijke levenssfeer

Wanneer er gevoelige gegevens van personen in verkeerde handen vallen kan dit ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokken persoon. Denk hierbij aan het publiekelijk toegangkelijk zijn van gegevens over een zorgbehandeling of publicatie van intieme persoonlijke informatie. 

Imagoschade

Wanneer er een datalek plaatsvindt bij Alliade kan dit imagoschade opleveren. In het ergste geval kan dit gebeuren doordat cliënten en verwanten hierdoor het vertrouwen in onze organisatie verliezen. Ook kan het zijn dat Alliade op een nagatieve manier in de media verschijnt. 

Financiële schade 

Alliade kan door een datalek indirect en direct financiele schade lijden. Direct door claims of het krijgen van boetes (bijvoorbeeld door de Autoriteit Persoonsgegevens). Indirect door bijvoorbeeld een vermindering van cliënten in zorg als gevolg van imagoschade. 

Belangrijke maatregelen waarmee we onder andere het risico op een datalek door malware (bijvoorbeeld door ransomware / phishingmails) verkleinen, zijn onder meer:

• het analyseren van phishingmails; 
• het creëren van bewustwording rondom phishingmails; 
• op tijd software-updates installeren;
• geen verouderde (netwerk)protocollen gebruiken;
• computernetwerken en -systemen segmenteren (scheiden).