Uitkomsten literatuuronderzoek Setting the
C ONCLUSIE EN RELATIE MET DE THEORIE :
4. Het vierde kenmerk dat bijdraagt aan het hoge aantal datalekken in de sector wordt veroorzaakt doordat processen sterk mensafhankelijk zijn De processen wijken onderling sterk van elkaar af,
6.4 Mogelijkheden voor vervolgonderzoek
De uitkomsten van dit onderzoek bieden mogelijkheden voor vervolgonderzoeken. Interessant is om straks de werkelijke uitkomsten van het aantal datalekken één jaar na invoering van de AVG te vergelijken met het jaar daarvoor. Wat zijn de grootste veranderingen en wat zijn de oorzaken hiervan. Tevens is het interessant om een soortgelijk onderzoek uit te voeren bij
overheidsinstellingen of commerciële bedrijven.
Daarnaast is het interessant om onderzoek uit te voeren naar de cultuur op de werkvloer bij ziekenhuizen. Hoe reageert het personeel op wijzigingen die doorgevoerd worden door de afdeling ICT. Wat weten zij over datalekken en herkennen ze daadwerkelijk datalekken, of toch niet?
39 Ook is het interessant om een heel zorgproces naast de eisen van de NEN 7510 en de AVG te leggen. Is het proces ingeregeld conform de geldende wet- en regelgeving of kunnen er nog
beveiligingsmaatregelen getroffen worden? En in hoeverre overlappen de AVG en de NEN 7510 elkaar of zitten er tegenstrijdigheden in?
40
Bibliografie
De bibliografie bevat weinig gekwalificeerde literatuur, omdat er weinig literatuur over het onderwerp beschikbaar is. Er is gezocht middels Google Scholar, PiCarta, UvA CatalogusPlus en de zoekmachine van Google. Hierbij heb ik de volgende zoektermen gehanteerd: “Datalekken”, “Datalekken in ziekenhuizen”, “Datalekken in sector gezondheid en welzijn”, “Data breach”, “Data breaches”, “Data breach hospital”, “Kenmerken datalekken ziekenhuis”, “Kenmerken datalekken sector gezondheid en welzijn”. Uit de resultaten komen geen wettenschappelijke artikelen naar voren welke de situatie in Nederland omschrijven. Hierdoor heb ik de informatie ontleend aan de volgende minder gekwalificeerde literatuur:
Article 29 Data Protection Working Party. (2018, 02 06). Guidelines on Personal data breach
notification under Regulation 2016/679. Opgehaald van Autoriteit Persoonsgegevens:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/europese_guidelines_ meldplicht_datalekken.pdf
Autoriteit Persoonsgegevens. (2015, december 8). Beleidsregels voor toepassing van artikel 34a van
de Wbp. Opgehaald van De meldplicht datalekken in de Wet Bescherming
Persoonsgegevens:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplic ht_datalekken_0.pdf
Autoriteit Persoonsgegevens. (2016). Meldplicht datalekken. Opgehaald van
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken Autoriteit Persoonsgegevens. (2017). Meldengen datalekken 1e kwartaal 2017 . Opgehaald van
Overzichten meldingen datalekken:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/overzicht_meldingen_ datalekken_q1_2017.pdf
Autoriteit Persoonsgegevens. (2017, mei 10). Meldengen datalekken 1e kwartaal 2017 - Sector
gezondheid en welzijn. Opgehaald van Overzicht meldingen datalekken eerste kwartaal 2017:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/meldingen_datalekken _gezondheid_en_welzijn_q1_2017.pdf
Autoriteit Persoonsgegevens. (2018, 01 14). Functionaris voor de gegevensbescherming. Opgehaald van Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/zelf-
doen/functionaris-voor-de-gegevensbescherming
Autoriteit Persoonsgegevens. (2018, 01 14). Functionaris voor de gegevensbescherming (FG). Opgehaald van Autoriteit Persoonsgegevens:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese- privacywetgeving/functionaris-voor-de-gegevensbescherming-fg
Autoriteit Persoonsgegevens (2018). Meldplicht datalekken: facts & figures. Opgehaald van Overzicht feiten en cijfers 2017:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/01_2018-02- 23_2017_jaarrapportage_algemeen.pdf
BDO. (2017, 02 13). Vooral doorzetten! Zorginstellingen, maak werk van informatiebeveiliging. Opgehaald van Artikel: Vijf aanbevelingen voor informatiebeveiliging zorginstellingen: https://www.bdo.nl/nl-nl/perspectieven/vijf-aanbevelingen-voor-informatiebeveiliging- zorginstellingen
41 Centraal Bureau voor de Statistiek. (2017, juni 27). Publiek-gefinancierde zorginstellingen; kerncijfers,
2006-2014. Opgehaald van Statline:
http://statline.cbs.nl/StatWeb/publication/?DM=SLNL&PA=81451ned&D1=0-2&D2=0- 2&D3=a&HDR=G1%2cG2&STB=T&VW=T
College Bescherming Persoonsgegevens. (2008, 11). Rapportage van een onderzoek in 2007 door het
College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg naar de informatiebeveiliging in 20 ziekenhuizen. Opgehaald van Informatiebeveiliging in
ziekenhuizen voldoet niet aan de norm:
https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/rapporten/rap_2008_in formatiebeveiliging_ziekenhuizen.pdf
College Bescherming Persoonsgegevens. (2013). CPB Richtsnoeren: Beveiliging van
persoonsgegevens.
College Bescherming Persoonsgegevens. (2013). Onderzoeksrapport: Toegang tot digitale
patiëntendossiers binnen zorginstellingen. Opgehaald van College Bescherming
Persoonsgegevens:
https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/mijn_privacy/rap_2013 -patientendossiers-binnen-zorginstellingen.pdf
Cooper, D., Schindler, S., & Blumberg, B. (2008). Business Research Methods. Berkshire: McGraw-Hill Education.
Couzy, F. (2017, 06 19). Op het ‘dark web’ kost een creditcardnummer €2. Financieel Dagblad. De IT-auditor. (2018, 07 08). Wat is een IT-auditor? Opgehaald van De IT-auditor:
https://www.deitauditor.nl/wat-is-een-it-auditor/
De Telegraaf. (2018, 06 05). Fiscus is pas over een jaar klaar voor nieuwe privacywet. Opgehaald van De Telegraaf: https://www.telegraaf.nl/financieel/2129462/fiscus-is-pas-over-een-jaar-klaar- voor-nieuwe-privacywet
ECLI:NL:RVS:2011:BU6383, 201011851/1/H3 (Raad van State 11 30, 2011).
Europees Parlement. (2016, 04 27). algemene verordening gegevensbescherming. Opgehaald van EUR-Lex: http://eur-lex.europa.eu/legal-content/NL/ALL/?uri=CELEX:32016R0679 Europese Unie. (2016, 5 4). Publicatieblad. Opgehaald van Autoriteit Persoonsgegevens:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_- _679_definitief.pdf
Experian® Data Breach Resolution. (2017). Data breach industry forecast. Opgehaald van Fourth annual 2017: https://www.experian.com/assets/data-breach/white-papers/2017-experian- data-breach-industry-forecast.pdf
Financieel Dagblad. (2017, mei 14). 200.000 Slachtoffers door cyberaanval WannaCry, zegt Europol. Opgehaald van Financieel Dagblad: https://fd.nl/economie-politiek/1201672/200-000- slachtoffers-door-cyberaanval-wannacry-zegt-europol
Groep gegevensbescherming artikel 29. (2017, 04 5). Richtlijnen voor functionarissen voor
gegevensbescherming (Data Protection Officer, DPO). Opgehaald van Autoriteit
Persoonsgegevens:
42 Hooghiemstra, T., Oud, J., Radema, M., Spruit, M., & Wielaard, P. (2016). Onderzoek naar de
beveiliging van patiëntgegevens. PBLQ.
Houten, P. v., Spruit, M., & Wolters, K. (2015). Informatiebeveiliging onder controle. Amsterdam: Pearson Benelux BV.
Miltenburg, O. v. (2017, 02 28). Gegevens 2385 patiënten AMC-ziekenhuis lagen op straat. Opgehaald van Tweakers: https://tweakers.net/nieuws/121831/gegevens-2385-patienten-amc-
ziekenhuis-lagen-op-straat.html
Nationaal Coördinator Terrorismebestrijding en Veiligheid. (2017). Cybersecuryitybeeld Nederland. Opgehaald van CSBN 2017.
NEN. (2017, 03 14). Nieuwe versie NEN 7510 ‘Informatiebeveiliging in de zorg’ gepubliceerd voor
commentaar. Opgehaald van NEN: https://www.nen.nl/NEN-Shop/Nieuwsberichten-Zorg-
Welzijn/Nieuwe-versie-NEN-7510-Informatiebeveiliging-in-de-zorg-gepubliceerd-voor- commentaar.htm
NOS. (2017, 05 11). Nog veel datalekken in ziekenhuizen. Opgehaald van NOS: https://nos.nl/artikel/2172606-nog-veel-datalekken-in-ziekenhuizen.html
NOS. (2018, 04 5). Tientallen onbevoegden bekeken medisch dossier Barbie. Opgehaald van NOS: https://nos.nl/artikel/2225867-tientallen-onbevoegden-bekeken-medisch-dossier- barbie.html
NRC. (2017, 05 15). Waarom zijn ziekenhuizen zo kwetsbaar? NRC. Opgehaald van
https://www.nrc.nl/nieuws/2017/05/15/waarom-zijn-ziekenhuizen-zo-kwetsbaar-9125422- a1558818
Office for Civil Rights (OCR) and U.S. Department of Health and Human Services. (2017, 4 27). Update
on Administration and Enforcement of the HIPAA Privacy, Security, and Breach Notification Rules. Opgehaald van http://www.cpofnys.org/wp-content/uploads/2017/05/HIPAA-
presentation-Lisa-Lee-Anderson.pdf
Robson, C. (2002). Real World Research. John Wiley And Sons Ltd.
Saunders, M., Lewis, P., & Thornhill, A. (2004). Methoden en technieken van onderzoek. Amsterdam: Pearson Education Benelux.
Staatsblad. (2017, 11 28). Besluit van 10 november 2017, houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders (Besluit elektronische gegevensverwerking door zorgaanbieders).
Staatsblad van het Koninkrijk der Nederlanden.
Swaen, B. (2017, 11 3). Wat is kwalitatief en kwantitatief onderzoek? Opgehaald van Scribbr: https://www.scribbr.nl/onderzoeksmethoden/kwalitatief-vs-kwantitatief-onderzoek/
U.S. Department of Health & Human Services. (2016, 07 23). Breach Notification Rule. Opgehaald van Health Information Privacy: https://www.hhs.gov/hipaa/for-professionals/breach-
notification/index.html
U.S. Department of Health and Human Services. (2016, 06 10). OCR 101 and Lessons Learned from
HIPAA Breaches. Opgehaald van Presented to the Health Care Compliance Association-
43 info.org/Portals/0/PDFs/Resources/Conference_Handouts/Regional_Conference/2016/seattl e/Leeprint2.pdf
Vaitheeswaran, V. (2010, december 1). De Amerikaanse gezondheidszorg is klaar voor IT-investering
van $ 30 mrd. Opgehaald van Financieel Dagblad:
https://fd.nl/frontpage/Print/Bijlage/FD_Outlook/663421/een-enorme-hit Wbp. (2001). Artikel 13.
Wbp. (2001). artikel 34a, eerste lid,. WBP. (2001). Artikel 35 lid 2.
Woning, K. v., & Slobbe, J. (2015, 03 30). Cybersecurityrisico’s medische apparatuur. Opgehaald van De IT-Auditor: https://www.deitauditor.nl/informatiebeveiliging/cybersecurityrisicos- medische-apparatuur/
44
Bijlage 1: Gebruikte afkortingen
AVG Algemene Verordening Gegevensbescherming CBP College Bescherming Persoonsgegevens CSBN Cybersecuritybeeld Nederland
FG Functionaris gegevensbescherming
NCTV Nationaal Coördinator Terrorismebestrijding en Veiligheid
RvB Raad van Bestuur
45
Bijlage 2: Gehanteerde vragenlijst
46
Bijlage 3: Kerngegevens deelnemers onderzoek
Interview 1: Dienstverlener
Gesproken met: Directeur en functionaris gegevensbescherming; Levert diensten aan: Ziekenhuizen, huisartsen en apotheken, verpleeg- en
verzorgingshuizen en thuiszorg, laboratoria, gehandicaptenzorg, geestelijke gezondheidszorg; Soort dienstverlening: Netwerkdienstverlener ten behoeve van optimale
samenwerking tussen de zorgverlener, patiënt en zorg; Datum interview: vrijdag 9 maart 2018.
Interview 2: Ziekenhuis
Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Algemeen ziekenhuis
Som der bedrijfsopbrengsten: € 150.000.000 – € 200.00.000; Gemiddeld aantal personeelsleden 1.300 – 1.400 FTE;
Aantal bedden: 350 – 400;
Aantal geopende DBC’s in 2017 150.000 – 200.000; Datum interview: donderdag 15 maart 2018.
Interview 3: Dienstverlener
Gesproken met: Directeur;
Levert diensten aan: Ziekenhuizen, verpleeg- en verzorgingshuizen en thuiszorg, GGD en commerciële partijen.
Soort dienstverlening: Leveren van cloud architectuur. Datum interview: vrijdag 23 maart 2018.
Interview 4: Ziekenhuis
Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Academische ziekenhuis
Som der bedrijfsopbrengsten: € 1.350.000.000 – € 1.400.000.000 ; Gemiddeld aantal personeelsleden 11.000 – 11.100 FTE;
Aantal bedden: 950 – 1.000;
Aantal geopende DBC’s in 2017 800.000 – 850.000; Datum interview: vrijdag 30 maart 2018.
Interview 5: Ziekenhuis
Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Algemeen ziekenhuis
Som der bedrijfsopbrengsten: € 100.000.000 – € 150.000.000 ; Gemiddeld aantal personeelsleden 900 – 950 FTE;
Aantal bedden: 250 – 300;
Aantal geopende DBC’s in 2017 100.000 – 150.000; Datum interview: vrijdag 6 april 2018.
47
Interview 6: Ziekenhuis
Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Topklinische ziekenhuis
Som der bedrijfsopbrengsten: € 550.000.000 – € 600.000.000 Gemiddeld aantal personeelsleden 4.650 – 4.700 FTE;
Aantal bedden: 550 - 600;
Aantal geopende DBC’s in 2017 700.000 – 750.000; Datum interview: Woensdag 18 april 2018.
Interview 7: Ziekenhuis
Gesproken met: Functionaris gegevensbescherming; Soort ziekenhuis: Algemeen ziekenhuis
Som der bedrijfsopbrengsten: € 150.000.000 – € 200.000.000 Gemiddeld aantal personeelsleden 1.200 – 1.250 FTE;
Aantal bedden: 350 - 400;
Aantal geopende DBC’s in 2017 150.000 – 200.000; Datum interview: Vrijdag 20 april 2018.