Mogelijkheden voor vervolgonderzoek

De uitkomsten van dit onderzoek bieden mogelijkheden voor vervolgonderzoeken. Interessant is om straks de werkelijke uitkomsten van het aantal datalekken één jaar na invoering van de AVG te vergelijken met het jaar daarvoor. Wat zijn de grootste veranderingen en wat zijn de oorzaken hiervan. Tevens is het interessant om een soortgelijk onderzoek uit te voeren bij

overheidsinstellingen of commerciële bedrijven.

Daarnaast is het interessant om onderzoek uit te voeren naar de cultuur op de werkvloer bij ziekenhuizen. Hoe reageert het personeel op wijzigingen die doorgevoerd worden door de afdeling ICT. Wat weten zij over datalekken en herkennen ze daadwerkelijk datalekken, of toch niet?

39 Ook is het interessant om een heel zorgproces naast de eisen van de NEN 7510 en de AVG te leggen. Is het proces ingeregeld conform de geldende wet- en regelgeving of kunnen er nog

beveiligingsmaatregelen getroffen worden? En in hoeverre overlappen de AVG en de NEN 7510 elkaar of zitten er tegenstrijdigheden in?

40

Bibliografie

De bibliografie bevat weinig gekwalificeerde literatuur, omdat er weinig literatuur over het onderwerp beschikbaar is. Er is gezocht middels Google Scholar, PiCarta, UvA CatalogusPlus en de zoekmachine van Google. Hierbij heb ik de volgende zoektermen gehanteerd: “Datalekken”, “Datalekken in ziekenhuizen”, “Datalekken in sector gezondheid en welzijn”, “Data breach”, “Data breaches”, “Data breach hospital”, “Kenmerken datalekken ziekenhuis”, “Kenmerken datalekken sector gezondheid en welzijn”. Uit de resultaten komen geen wettenschappelijke artikelen naar voren welke de situatie in Nederland omschrijven. Hierdoor heb ik de informatie ontleend aan de volgende minder gekwalificeerde literatuur:

Article 29 Data Protection Working Party. (2018, 02 06). Guidelines on Personal data breach

notification under Regulation 2016/679. Opgehaald van Autoriteit Persoonsgegevens:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/europese_guidelines_ meldplicht_datalekken.pdf

Autoriteit Persoonsgegevens. (2015, december 8). Beleidsregels voor toepassing van artikel 34a van

de Wbp. Opgehaald van De meldplicht datalekken in de Wet Bescherming

Persoonsgegevens:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplic ht_datalekken_0.pdf

Autoriteit Persoonsgegevens. (2016). Meldplicht datalekken. Opgehaald van

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken Autoriteit Persoonsgegevens. (2017). Meldengen datalekken 1e kwartaal 2017 . Opgehaald van

Overzichten meldingen datalekken:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/overzicht_meldingen_ datalekken_q1_2017.pdf

Autoriteit Persoonsgegevens. (2017, mei 10). Meldengen datalekken 1e kwartaal 2017 - Sector

gezondheid en welzijn. Opgehaald van Overzicht meldingen datalekken eerste kwartaal 2017:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/meldingen_datalekken _gezondheid_en_welzijn_q1_2017.pdf

Autoriteit Persoonsgegevens. (2018, 01 14). Functionaris voor de gegevensbescherming. Opgehaald van Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/zelf-

doen/functionaris-voor-de-gegevensbescherming

Autoriteit Persoonsgegevens. (2018, 01 14). Functionaris voor de gegevensbescherming (FG). Opgehaald van Autoriteit Persoonsgegevens:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese- privacywetgeving/functionaris-voor-de-gegevensbescherming-fg

Autoriteit Persoonsgegevens (2018). Meldplicht datalekken: facts & figures. Opgehaald van Overzicht feiten en cijfers 2017:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/01_2018-02- 23_2017_jaarrapportage_algemeen.pdf

BDO. (2017, 02 13). Vooral doorzetten! Zorginstellingen, maak werk van informatiebeveiliging. Opgehaald van Artikel: Vijf aanbevelingen voor informatiebeveiliging zorginstellingen: https://www.bdo.nl/nl-nl/perspectieven/vijf-aanbevelingen-voor-informatiebeveiliging- zorginstellingen

41 Centraal Bureau voor de Statistiek. (2017, juni 27). Publiek-gefinancierde zorginstellingen; kerncijfers,

2006-2014. Opgehaald van Statline:

http://statline.cbs.nl/StatWeb/publication/?DM=SLNL&PA=81451ned&D1=0-2&D2=0- 2&D3=a&HDR=G1%2cG2&STB=T&VW=T

College Bescherming Persoonsgegevens. (2008, 11). Rapportage van een onderzoek in 2007 door het

College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg naar de informatiebeveiliging in 20 ziekenhuizen. Opgehaald van Informatiebeveiliging in

ziekenhuizen voldoet niet aan de norm:

https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rapporten/rap_2008_in formatiebeveiliging_ziekenhuizen.pdf

College Bescherming Persoonsgegevens. (2013). CPB Richtsnoeren: Beveiliging van

persoonsgegevens.

College Bescherming Persoonsgegevens. (2013). Onderzoeksrapport: Toegang tot digitale

patiëntendossiers binnen zorginstellingen. Opgehaald van College Bescherming

Persoonsgegevens:

https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/mijn_privacy/rap_2013 -patientendossiers-binnen-zorginstellingen.pdf

Cooper, D., Schindler, S., & Blumberg, B. (2008). Business Research Methods. Berkshire: McGraw-Hill Education.

Couzy, F. (2017, 06 19). Op het ‘dark web’ kost een creditcardnummer €2. Financieel Dagblad. De IT-auditor. (2018, 07 08). Wat is een IT-auditor? Opgehaald van De IT-auditor:

https://www.deitauditor.nl/wat-is-een-it-auditor/

De Telegraaf. (2018, 06 05). Fiscus is pas over een jaar klaar voor nieuwe privacywet. Opgehaald van De Telegraaf: https://www.telegraaf.nl/financieel/2129462/fiscus-is-pas-over-een-jaar-klaar- voor-nieuwe-privacywet

ECLI:NL:RVS:2011:BU6383, 201011851/1/H3 (Raad van State 11 30, 2011).

Europees Parlement. (2016, 04 27). algemene verordening gegevensbescherming. Opgehaald van EUR-Lex: http://eur-lex.europa.eu/legal-content/NL/ALL/?uri=CELEX:32016R0679 Europese Unie. (2016, 5 4). Publicatieblad. Opgehaald van Autoriteit Persoonsgegevens:

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_- _679_definitief.pdf

Experian® Data Breach Resolution. (2017). Data breach industry forecast. Opgehaald van Fourth annual 2017: https://www.experian.com/assets/data-breach/white-papers/2017-experian- data-breach-industry-forecast.pdf

Financieel Dagblad. (2017, mei 14). 200.000 Slachtoffers door cyberaanval WannaCry, zegt Europol. Opgehaald van Financieel Dagblad: https://fd.nl/economie-politiek/1201672/200-000- slachtoffers-door-cyberaanval-wannacry-zegt-europol

Groep gegevensbescherming artikel 29. (2017, 04 5). Richtlijnen voor functionarissen voor

gegevensbescherming (Data Protection Officer, DPO). Opgehaald van Autoriteit

Persoonsgegevens:

42 Hooghiemstra, T., Oud, J., Radema, M., Spruit, M., & Wielaard, P. (2016). Onderzoek naar de

beveiliging van patiëntgegevens. PBLQ.

Houten, P. v., Spruit, M., & Wolters, K. (2015). Informatiebeveiliging onder controle. Amsterdam: Pearson Benelux BV.

Miltenburg, O. v. (2017, 02 28). Gegevens 2385 patiënten AMC-ziekenhuis lagen op straat. Opgehaald van Tweakers: https://tweakers.net/nieuws/121831/gegevens-2385-patienten-amc-

ziekenhuis-lagen-op-straat.html

Nationaal Coördinator Terrorismebestrijding en Veiligheid. (2017). Cybersecuryitybeeld Nederland. Opgehaald van CSBN 2017.

NEN. (2017, 03 14). Nieuwe versie NEN 7510 ‘Informatiebeveiliging in de zorg’ gepubliceerd voor

commentaar. Opgehaald van NEN: https://www.nen.nl/NEN-Shop/Nieuwsberichten-Zorg-

Welzijn/Nieuwe-versie-NEN-7510-Informatiebeveiliging-in-de-zorg-gepubliceerd-voor- commentaar.htm

NOS. (2017, 05 11). Nog veel datalekken in ziekenhuizen. Opgehaald van NOS: https://nos.nl/artikel/2172606-nog-veel-datalekken-in-ziekenhuizen.html

NOS. (2018, 04 5). Tientallen onbevoegden bekeken medisch dossier Barbie. Opgehaald van NOS: https://nos.nl/artikel/2225867-tientallen-onbevoegden-bekeken-medisch-dossier- barbie.html

NRC. (2017, 05 15). Waarom zijn ziekenhuizen zo kwetsbaar? NRC. Opgehaald van

https://www.nrc.nl/nieuws/2017/05/15/waarom-zijn-ziekenhuizen-zo-kwetsbaar-9125422- a1558818

Office for Civil Rights (OCR) and U.S. Department of Health and Human Services. (2017, 4 27). Update

on Administration and Enforcement of the HIPAA Privacy, Security, and Breach Notification Rules. Opgehaald van http://www.cpofnys.org/wp-content/uploads/2017/05/HIPAA-

presentation-Lisa-Lee-Anderson.pdf

Robson, C. (2002). Real World Research. John Wiley And Sons Ltd.

Saunders, M., Lewis, P., & Thornhill, A. (2004). Methoden en technieken van onderzoek. Amsterdam: Pearson Education Benelux.

Staatsblad. (2017, 11 28). Besluit van 10 november 2017, houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders (Besluit elektronische gegevensverwerking door zorgaanbieders).

Staatsblad van het Koninkrijk der Nederlanden.

Swaen, B. (2017, 11 3). Wat is kwalitatief en kwantitatief onderzoek? Opgehaald van Scribbr: https://www.scribbr.nl/onderzoeksmethoden/kwalitatief-vs-kwantitatief-onderzoek/

U.S. Department of Health & Human Services. (2016, 07 23). Breach Notification Rule. Opgehaald van Health Information Privacy: https://www.hhs.gov/hipaa/for-professionals/breach-

notification/index.html

U.S. Department of Health and Human Services. (2016, 06 10). OCR 101 and Lessons Learned from

HIPAA Breaches. Opgehaald van Presented to the Health Care Compliance Association-

43 info.org/Portals/0/PDFs/Resources/Conference_Handouts/Regional_Conference/2016/seattl e/Leeprint2.pdf

Vaitheeswaran, V. (2010, december 1). De Amerikaanse gezondheidszorg is klaar voor IT-investering

van $ 30 mrd. Opgehaald van Financieel Dagblad:

https://fd.nl/frontpage/Print/Bijlage/FD_Outlook/663421/een-enorme-hit Wbp. (2001). Artikel 13.

Wbp. (2001). artikel 34a, eerste lid,. WBP. (2001). Artikel 35 lid 2.

Woning, K. v., & Slobbe, J. (2015, 03 30). Cybersecurityrisico’s medische apparatuur. Opgehaald van De IT-Auditor: https://www.deitauditor.nl/informatiebeveiliging/cybersecurityrisicos- medische-apparatuur/

44

Bijlage 1: Gebruikte afkortingen

AVG Algemene Verordening Gegevensbescherming CBP College Bescherming Persoonsgegevens CSBN Cybersecuritybeeld Nederland

FG Functionaris gegevensbescherming

NCTV Nationaal Coördinator Terrorismebestrijding en Veiligheid

RvB Raad van Bestuur

45

Bijlage 2: Gehanteerde vragenlijst

46

Bijlage 3: Kerngegevens deelnemers onderzoek

Interview 1: Dienstverlener

Gesproken met: Directeur en functionaris gegevensbescherming; Levert diensten aan: Ziekenhuizen, huisartsen en apotheken, verpleeg- en

verzorgingshuizen en thuiszorg, laboratoria, gehandicaptenzorg, geestelijke gezondheidszorg; Soort dienstverlening: Netwerkdienstverlener ten behoeve van optimale

samenwerking tussen de zorgverlener, patiënt en zorg; Datum interview: vrijdag 9 maart 2018.

Interview 2: Ziekenhuis

Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Algemeen ziekenhuis

Som der bedrijfsopbrengsten: € 150.000.000 – € 200.00.000; Gemiddeld aantal personeelsleden 1.300 – 1.400 FTE;

Aantal bedden: 350 – 400;

Aantal geopende DBC’s in 2017 150.000 – 200.000; Datum interview: donderdag 15 maart 2018.

Interview 3: Dienstverlener

Gesproken met: Directeur;

Levert diensten aan: Ziekenhuizen, verpleeg- en verzorgingshuizen en thuiszorg, GGD en commerciële partijen.

Soort dienstverlening: Leveren van cloud architectuur. Datum interview: vrijdag 23 maart 2018.

Interview 4: Ziekenhuis

Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Academische ziekenhuis

Som der bedrijfsopbrengsten: € 1.350.000.000 – € 1.400.000.000 ; Gemiddeld aantal personeelsleden 11.000 – 11.100 FTE;

Aantal bedden: 950 – 1.000;

Aantal geopende DBC’s in 2017 800.000 – 850.000; Datum interview: vrijdag 30 maart 2018.

Interview 5: Ziekenhuis

Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Algemeen ziekenhuis

Som der bedrijfsopbrengsten: € 100.000.000 – € 150.000.000 ; Gemiddeld aantal personeelsleden 900 – 950 FTE;

Aantal bedden: 250 – 300;

Aantal geopende DBC’s in 2017 100.000 – 150.000; Datum interview: vrijdag 6 april 2018.

47

Interview 6: Ziekenhuis

Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Topklinische ziekenhuis

Som der bedrijfsopbrengsten: € 550.000.000 – € 600.000.000 Gemiddeld aantal personeelsleden 4.650 – 4.700 FTE;

Aantal bedden: 550 - 600;

Aantal geopende DBC’s in 2017 700.000 – 750.000; Datum interview: Woensdag 18 april 2018.

Interview 7: Ziekenhuis

Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Algemeen ziekenhuis

Som der bedrijfsopbrengsten: € 150.000.000 – € 200.000.000 Gemiddeld aantal personeelsleden 1.200 – 1.250 FTE;

Aantal bedden: 350 - 400;

Aantal geopende DBC’s in 2017 150.000 – 200.000; Datum interview: Vrijdag 20 april 2018.

In document Datalekken in de gezondheidszorg (pagina 43-52)