Datalekken in de gezondheidszorg

Datalekken in de

gezondheidszorg

Jurriën Visscher

11427760

Amsterdam IT-Audit Programme (AITAP)

23-7-2018

Datalekken in de

gezondheidszorg

Naam en voorletters van de schrijver Visscher, J

Plaats Meppel

Datum 23-7-2018

Naam begeleider Damen, V

Instelling Universiteit van Amsterdam Business School

Voorwoord

Voor u ligt mijn masterscriptie ter afsluiting van mijn mastertraject Amsterdam IT-Audit Programme aan de Universiteit van Amsterdam. Mijn scriptie onderzoekt welke specifieke kenmerken eraan bijdragen dat organisaties in de sector gezondheid en welzijn persoonsgegevens lekken. Daarnaast wordt de vraag beantwoord of de invoering van de AVG zal bijdragen aan het minder lekken van persoonsgegevens in de sector.

Het schrijven van het voorwoord geeft me tevens de mogelijkheid om een aantal mensen te bedanken. Als eerste wil ik alle deelnemers van het onderzoek bedanken voor de tijd die ze beschikbaar hebben gesteld om mij te woord te staan en vrij te spreken over het onderwerp datalekken. Ook wil ik mijn collega Nico Huizing bedanken voor het gebruik mogen maken van zijn netwerk. Dankzij hem ben ik contact gekomen met meerdere zorginstellingen. Daarnaast wil ik mijn scriptie begeleider Vincent Damen bedanken voor de tijd en energie die hij in de begeleiding heeft gestopt. Zijn kritische blik en kennis heeft eraan bijgedragen dat de juiste elementen in de scriptie worden geraakt. Als laatste wil ik mijn vriendin Myrthe bedanken voor de tijd die ze mij heeft gegeven om de scriptie te schrijven en de steun die ik van haar heb gekregen tijdens dit proces. Jurriën Visscher,

Samenvatting

Privacy van burgers is een veel besproken onderwerp binnen de politiek. De wereld digitaliseert steeds verder waardoor het belang van het goed beschermen van persoonsgegevens steeds belangrijker wordt. In deze scriptie is onderzocht welke specifieke kenmerken eraan bijdragen dat organisaties in de sector persoonsgegevens lekken en of de invoering van de AVG zal bijdragen aan het minder lekken van persoonsgegevens in de sector.

De scriptie is kwalitatief van aard waarbij gebruik is gemaakt van literatuuronderzoek en casestudy’s. De casestudy’s zijn uitgevoerd door middel van zeven interviews. De interviews zijn gehouden bij vijf functionarissen gegevensbescherming (hierna FG) van ziekenhuizen en twee externe dienstverleners, welke diensten verlenen aan de gehele sector gezondheid en welzijn.

Naar aanleiding van de uitgevoerde interviews en het literatuuronderzoek leiden de volgende specifieke kenmerken tot het hoge aantal datalekken in de sector:

- Er is veel gevoelige informatie uitwisseling tussen verschillende partijen. - Incidenten kunnen veilig gemeld worden.

- Er is geen commercieel belang om datalekken niet te melden bij de AP.

- Er zijn processen die sterk mensafhankelijk zijn en niet uniform zijn ingeregeld.

Daarnaast werd in deze scriptie het antwoord gezocht op de vraag of de AVG zal bijdragen aan het lekken van minder persoonsgegevens. Mijn antwoord op deze vraag is dat het aantal datalekken gaat dalen in de sector. Het aantal datalekken gaat dalen door een kleine wijziging in de AVG ten opzichte van de Wet Bescherming Persoonsgegevens (hierna Wbp). Onder de Wbp is er sprake van een datalek als men niet redelijkerwijs kan uitsluiten dat de persoonsgegevens onrechtmatig verwerkt zijn. Onder de AVG is er sprake van een datalek als er een doorbreking is van de beveiliging, waarbij iedere inbreuk in verband met persoonsgegevens moet worden gemeld bij de AP, tenzij het niet waarschijnlijk is dat deze een risico inhoudt. Uit de rapporten van de AP en de interviews blijkt dat de meest voorkomende datalek het versturen van persoonsgegevens is, of afgeven van

persoonsgegevens aan de verkeerde ontvanger binnen de zorgketen. Hiervan kan worden uitgesloten dat dit een risico vormt.

De invoering van de AVG heeft er dus voor gezorgd dat er minder datalekken zijn. Tevens heeft de invoering van de AVG er voor gezorgd dat informatiebeveiliging en de beheersing van externe leveranciers naar een hoger niveau is getild. De AVG is echter ingericht op het laten zien dat men voldoet aan de wet- en regelgeving. Hierdoor ligt de focus sterk op technische maatregelen en raakt de grootste risicogroep ‘de mens’ ondergesneeuwd. Het aantal datalekken zal gaan dalen, maar het echte probleem, namelijk de cultuur en bewustwording van de medewerkers binnen de sector, is nog lang niet opgelost. Een probleem welke al onder de aandacht werd gebracht in 2008 door het College Bescherming Persoonsgegevens.

De uitkomsten van deze scriptie zijn relevant voor de IT Auditor bij de uitvoering van adviserende of controlerende opdrachten bij zorginstellingen. De IT Auditor dient rekening te houden met de volgende zaken bij de uitvoering van zijn opdracht:

- De processen zijn niet uniform ingeregeld en zijn sterk mensafhankelijk.

- De waarborging van integriteit en vertrouwelijkheid van informatie-uitwisseling binnen de zorgketen.

- De kwetsbaarheid en beschikbaarheid van de IT Systemen.

- De invloed van de medewerkers op de vertrouwelijkheid van informatie.

Inhoudsopgave

1 INTRODUCTIE 1

1.1AANLEIDING VAN HET ONDERZOEK 1

1.2HOOFDVRAAG EN DEELVRAGEN 1 1.3WETENSCHAPPELIJKE BIJDRAGE 2 1.4GEHEIMHOUDING 2 1.5STRUCTUUR SCRIPTIE 2 2 THEORIE 3 2.1WAT IS EEN DATALEK? 3

2.2WELKE SOORTEN DATALAKKEN ZIJN ER? 4

2.3WELKE HACKING METHODES ZIJN ER OM PRIVACY GEVOELIGE DATA TE VERKRIJGEN VOOR ONBEVOEGDEN? 6

2.4WANNEER MOETEN DATALEKKEN GEMELD WORDEN? 8

2.5WAAROM HEEFT DE SECTOR GEZONDHEID EN WELZIJN DE MEESTE DATALEKKEN? 12

2.6HOE IS INFORMATIEBEVEILIGING IN DE ZORG INGEREGELD? 16

2.7WAT IS DE INVLOED VAN INVOERING VAN DE AVG VOOR DE SECTOR GEZONDHEID EN WELZIJN? 18

3 CASESTUDY’S IN HET PRAKTIJKONDERZOEK 22

3.1WAT ZIJN CASESTUDY’S? 22

3.2WAT IS DE RELEVANTIE VAN CASESTUDY’S? 23

3.3WAAR ZIJN DE CASESTUDY’S UITGEVOERD? 23

4 RESULTATEN CASESTUDY’S 25

4.1KOPLOPER BIJ DE AUTORITEIT PERSOONSGEGEVENS 25

4.2AARD VAN DE DATALEKKEN BINNEN ZORGINSTELLINGEN 26

4.3DATALEKKEN IN AANTALLEN 28

4.4HOOFDOORZAAK VAN DATALEKKEN 28

4.5AANWEZIGHEID VAN EEN SECURITY AWARENESS PROGRAMMA 29

4.6INVESTERINGEN BINNEN ZORGINSTELLINGEN 30

4.7UITBESTEDINGEN VAN DIENSTEN 31

4.8IMPACT VAN WET- EN REGELGEVING 32

4.9IS DE AVG DE OPLOSSING? 33

5 CONCLUSIE 35

5.1CONCLUSIE 35

6 REFLECTIE 37

6.1EIGEN OBSERVATIE 37

6.2RELEVANTIE VOOR DE ITAUDITOR 37

6.3BEPERKINGEN ONDERZOEK 38

6.4MOGELIJKHEDEN VOOR VERVOLGONDERZOEK 38

BIBLIOGRAFIE 40

BIJLAGE 1: GEBRUIKTE AFKORTINGEN 44

BIJLAGE 2: GEHANTEERDE VRAGENLIJST 45

1

1 Introductie

In dit hoofdstuk wordt het onderwerp van de scriptie besproken en waarom dit onderzoek relevant is. Hierdoor kunt u in korte tijd een goed beeld vormen van het onderzoek en lezen uit welke hoofd- en deelvragen het bestaat.

1.1 Aanleiding van het onderzoek

Privacy van burgers is een veel besproken onderwerp binnen de politiek. De wereld digitaliseert steeds verder waardoor het belang van het goed beschermen van persoonsgegevens ook steeds belangrijker wordt. Op 1 januari 2016 is in Nederland de meldplicht datalekken ingegaan.

Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de AP en soms ook aan de mensen van wie de gelekte gegevens zijn.

Men spreekt van een datalek als er inbreuk wordt gedaan op de beveiliging, waardoor

persoonsgegevens verloren gaan of onrechtmatig worden verwerkt (AP, 2015). De AP (2017) laat weten dat in het eerste kwartaal van 2017 al 161 keer melding is gedaan van een datalek in een ziekenhuis of kliniek. Daarbij gaat het om verloren USB-sticks, gestolen laptops, foutief

geadresseerde medische informatie of Burgerservicenummers die in verkeerde handen terechtkomen.

De gezondheidssector werkt met gegevens over iemands gezondheid. Het uitlekken van medische gegevens van personen is gevoelig. Derhalve is het relevant om nader onderzoek te verrichten op deze sector. Tevens is het een actueel onderwerp, omdat op 6 april 2016 de AVG is goedgekeurd door het Europees Parlement, waardoor organisaties boetes kunnen krijgen voor het lekken van persoonsgegevens. De lidstaten hebben tot 25 mei 2018 de tijd gehad om deze nieuwe regelgeving te implementeren.

Er is onderzoek verricht naar het soort en de hoeveelheid datalekken, echter niet naar de kenmerken die bijdragen aan het lekken van data. Gezien het feit dat er in Nederland de meeste datalekken plaatsvinden in de sector gezondheid en welzijn, richt het onderzoek zich op deze sector.

Dit onderzoek zal bijdragen aan het inzichtelijk maken van de specifieke kenmerken van het lekken van persoonsgegevens bij organisaties in de sector gezondheid en welzijn. Tevens zal worden

beoordeeld of de invoering van de AVG zal bijdragen aan het minder lekken van persoonsgegevens in de sector. De uitkomsten van het onderzoek zijn zowel relevant voor IT Auditors als voor de sector zelf. IT Auditors kunnen naar aanleiding van het onderzoek gerichter advies geven op het probleem en de sector zelf kan het probleem bij de kern aanpakken.

1.2 Hoofdvraag en deelvragen

De probleemstelling van het onderzoek is als volgt:

“Welke specifieke kenmerken dragen eraan bij dat organisaties in de sector gezondheid en welzijn persoonsgegevens lekken?”

2 Hierbij zijn de volgende deelvragen geformuleerd:

 Wat is een datalek?

 Welke soort datalekken zijn er?

 Welke hacking methodes zijn er om privacy gevoelige data te verkrijgen voor onbevoegden?  Wanneer moet een datalek gemeld worden?

 Waarom heeft de sector gezondheid en welzijn de meeste datalekken?  Hoe is informatiebeveiliging in de zorg ingeregeld?

 Wat is de invloed van invoering van de AVG voor de sector gezondheid en welzijn?

1.3 Wetenschappelijke bijdrage

Het onderzoek zal kwalitatief van aard zijn, waarbij gebruik wordt gemaakt van de volgende twee onderzoeksmethoden:

- Literatuuronderzoek - Casestudy

Als eerste zal middels een literatuuronderzoek worden onderzocht wat de kenmerken zijn die bijdragen aan het lekken van persoonsgegevens in de sector gezondheid en welzijn. Middels casestudy’s zal vastgesteld worden of de literatuur aansluit op de praktijk of dat er andere kenmerken te onderkennen zijn.

Een casestudy is volgens Robson (2002) “een strategie voor het doen van onderzoek die

gebruikmaakt van een empirisch onderzoek van een bepaald hedendaags verschijnsel binnen de actuele context, waarbij van verschillende soorten bewijsmateriaal gebruik wordt gemaakt”. Bij een

casestudy kunnen verschillende methoden voor het verzamelen van gegevens worden toegepast zoals interviews, waarneming ter plaatse, documenten analyse en vragenlijsten.

Uit het overzicht meldingen datalakken 1e kwartaal 2017, 2e kwartaal 2017 en 3e kwartaal 2017 van de AP ( 2017) in de sector gezondheid en welzijn, blijkt dat de meeste meldingen binnen de sector gezondheid en welzijn plaatsvinden bij ziekenhuizen en specialistenpraktijken. Derhalve zullen er meerdere casestudy’s worden uitgevoerd bij ziekenhuizen en specialistenpraktijken. Hierbij zullen diepte interviews gehouden worden met functionarissen, welke verantwoordelijk zijn voor de beheersing van datalekken.

1.4 Geheimhouding

In het onderzoek komen elementen naar voren die een bepaalde mate van geheimhouding verplichten. Het lekken van persoonsgegevens is een gevoelig onderwerp en kan leiden tot

reputatieschade. Derhalve zal er in dit onderzoek worden gewerkt met geanonimiseerde gegevens, om de functionarissen en organisaties te beschermen.

1.5 Structuur scriptie

In hoofdstuk twee worden de deelvragen van dit onderzoek beantwoord. Vervolgens wordt in hoofdstuk drie de onderzoeksopzet besproken en zullen in hoofdstuk vier de onderzoeksresultaten weergegeven worden. In hoofdstuk vijf zal de conclusie van dit onderzoek worden weergegeven en tot slot in hoofdstuk zes de relevantie van de uitkomsten voor de IT Auditor.

3

2 Theorie

De geformuleerde deelvragen in hoofdstuk één zullen middels literatuuronderzoek worden beantwoord in dit hoofdstuk.

2.1 Wat is een datalek?

Bijna alle organisaties maken gebruik van persoonsgegevens. In Nederland zijn er regels opgesteld over hoe om te gaan met persoonsgegevens. Deze regels zijn sinds 1 september 2001 opgenomen in de Wbp.

Sinds de invoering in 2001 en de toenemende mate van digitalisering werd privacy steeds belangrijker en daardoor ook de bescherming van privacy. In artikel 13 van de (Wbp, 2001) is het volgende opgenomen: “De verantwoordelijke legt passende technische en organisatorische

maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te

voorkomen”.

In de richtlijnen van het College Bescherming Persoonsgegevens (hierna CBP) (2013) is te lezen dat passende maatregelen betrekking hebben op de proportionaliteit tussen de te treffen

beveiligingsmaatregelen en de persoonsgegevens die beschermd moeten worden. Wanneer persoonsgegevens een gevoeliger karakter hebben, moeten deze beter beveiligd worden. Een organisatie die met persoonsgegevens werkt, dient dus niet te allen tijde de zwaarste

beveiligingsmaatregelen te treffen. Eenvoudigweg kan gesteld worden dat des te gevoeliger de persoonsgegevens zijn, des te zwaarder de beveiliging daarvan zal moeten zijn.

Op 1 januari 2016 werd artikel 34a aan de Wbp toegevoegd. In de memorie van toelichting op de wetswijziging is geschreven door de Staatssecretaris van Veiligheid en Justitie dat het doel van de toevoeging van een meldplicht is ‘het herstellen en behouden van vertrouwen in de verwerking van persoonsgegevens’. Tevens is het doel om datalekken te voorkomen en de eventuele schade hiervan te beperken.

Een datalek moet sinds 1 januari 2016 gemeld worden, maar wat is precies een datalek? De AP (2016) geeft de volgende definitie: “Bij een datalek gaat het om toegang tot of vernietiging, wijziging

of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens”.

Bij een datalek is er inbreuk gedaan op de passende beveiligingsmaatregelen, zoals opgenomen in artikel 13 van de Wbp. Voorbeelden van datalekken zijn:

- Een laptop wordt gestolen uit het ziekenhuis. De laptop bevat gevoelige, niet versleutelde gegevens over de gezondheid en het welzijn van patiënten.

- Wanneer de organisatie wordt gegijzeld door ransomware worden de bestanden ontoegankelijk gemaakt voor de organisatie. Hierdoor worden de persoonsgegevens blootgesteld aan onrechtmatige verwerking en is derhalve sprake van een datalek.

-

sportverening. De sportvereniging richt zich specifiek op mensen met levensovertuiging X. Hierbij is er sprake van een datalek met gegevens van gevoelige aard.

4 SAMENVATTING

In de paragraaf stond het antwoord op de vraag ‘wat is een datalek’ centraal. Het antwoord op deze vraag luidt als volgt: “een datalek is het toegang tot of vernietigen, wijzigen of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van de organisatie”.

2.2 Welke soorten datalakken zijn er?

Er zijn meerdere soorten datalekken te onderscheiden in verschillende sectoren. Uit het overzicht Meldplicht datalekken: facts & figures, overzicht feiten en cijfers 2017 van de AP (2018), blijkt dat er in totaal 10.009 meldingen gemaakt zijn van datalekken. Tevens blijkt hieruit dat de sector

gezondheid en welzijn de meeste datalekken meldt (30%).

Uit het overzicht meldingen datalakken 1e _{kwartaal 2017, 2}e _{kwartaal 2017, 3}e _{kwartaal 2017 en 4}e kwartaal 2017 van de AP (2017) in de sector gezondheid en welzijn is de volgende tabel opgebouwd, waaruit blijkt welke type datalekken de AP onderscheidt en hoe vaak dit type datalekken is

opgetreden in 2017.

Figuur 1: Type datalekken 2017

Vervolgens is er in de sector gezondheid en welzijn ook onderscheid te maken tussen de tien meest gelekte gegevens, hieronder genoemd van klein naar groot:

- gegevens over iemands ras;

- paspoortkopieën of kopieën van andere legitimatiebewijzen; - financiële gegevens;

- toegangs- of identiteitsgegevens;

- emailadressen of andere adressen voor elektronische communicatie; - telefoonnummers;

- BSN;

- gegevens over iemands gezondheid; - geslacht, geboortedatum en/of leeftijd; - naam, adres en woonplaatsgegevens.

In het jaar 2017 zijn er in totaal 3.105 datalekken gemeld bij de AP in de sector gezondheid en welzijn. Er kan onderscheid worden gemaakt binnen de sector gezondheid en welzijn welke soort organisatie de meeste meldingen maakt.

1.854 475 304 194 100 69 94 14 - 200 400 600 800 1.000 1.200 1.400 1.600 1.800 2.000

Persoonsgegevens verstuurd of afgegeven aan verkeerde ontvanger Overig Apparaat, gegevensdrager en/of papier kwijtgeraakt of gestolen Brief of postpakket kwijtgeraakt of geopend retour ontvangen Hacking, malware en/of phishing persoonsgegeven per ongeluk gepubliceerd Persoonsgegevens van verkeerde klant getoond in klantportaal persoonsgegevens bij oud papier gezet persoonsgegeven nog aanwezig op afgedankt apparaat/gegevensdrager

5 De resultaten hiervan zijn weergegeven in de tabel hieronder:

Soort Aantal meldingen Procentueel

Ziekenhuizen en specialistenpraktijken 772 25%

Overige gezondheid en welzijn 628 20%

Apotheken 545 18%

Niet vermeld 1.160 27%

Totaal 3.105 100%

Tabel 1: Aantal meldingen per soort organisatie

Uit tabel 1 blijkt dat de meeste meldingen plaatsvinden binnen de sector gezondheid en welzijn bij de categorie “niet vermelde” organisaties. De groep “niet vermelde” organisaties bestaat uit een grote groep organisaties AP (2018), namelijk:

- fysiotherapeuten;

- GGZ-instellingen en verslavingsklinieken; - Huisartsen;

- Jeugdzorg;

- maatschappelijke dienstverlening; - psychiaters, psychologen en pedagogen; - tandartsen;

- verpleeghuizen en verzorgingshuizen; - zorgverzekeraars.

Het is niet uit de rapporten van de AP te herleiden of er binnen de groep “niet vermeld” één groep organisaties het meeste datalekken heeft. Het zelfde geldt voor de groep “overige gezondheid en welzijn” hierbij kan de organisatie zelf aangeven wat voor soort organisatie het is. Aangezien de AP niet specifiek rapporteert over een soort organisatie binnen de groep “niet vermeld” en “overige gezondheid en welzijn” wordt ervan uitgegaan dat de datalekken normaal gespreid zijn in deze groep. De grootste categorie organisaties welke specifieke benoemd is betreft ziekenhuizen en specialistenpraktijken. Derhalve zal de focus in deze scriptie met name liggen op ziekenhuizen en specialistenpraktijken.

SAMENVATTING

In deze paragraaf is onderzocht wat voor soort datalekken er zijn. Uit het literatuuronderzoek blijkt dat de volgende drie soorten datalekken het meeste voorkomen:

- persoonsgegevens verstuurd of afgegeven aan verkeerde ontvanger; - overig;

6

2.3 Welke hacking methodes zijn er om privacy gevoelige data te verkrijgen

voor onbevoegden?

In deze paragraaf worden hacking methodes besproken om privacy gevoelige data te verkrijgen voor onbevoegden. In figuur 1 op bladzijde 4 is te zien dat 3% van de datalekken wordt veroorzaakt door hacking, malware en/of phising. Ondanks het lage percentage is hacking een belangrijk thema in de sector gezondheid en welzijn, omdat er in de zorg veel diensten worden uitbesteed en dit vormt een risico. Tevens hangen hacking methodes nauw samen met informatieveiligheid en kunnen zij

desastreuse gevolgen hebben voor zorginstellingen.

In Nederland publiceert de Nationaal Coördinator Terrorismebestrijding en Veiligheid jaarlijks het Cybersecuritybeeld in Nederland (hierna: CSBN). Het CSBN geeft inzicht in de ontwikkelingen op het gebied van cybersecurity. Uit het rapport van 2017 blijkt dat de dreiging van beroepscriminelen steeds verder groeit en zich voornamelijk richt op grote bedrijven, met als doel financieel gewin. Tevens heeft het Nationaal Coördinator Terrorismebestrijding en Veiligheid (hierna: NCTV) (2017) gesprekken gevoerd met vertegenwoordigers van Nederlandse organisaties. Uit deze gesprekken met de vertegenwoordigers uit de zorgsector kwamen de volgende bevindingen naar voren:

Manifestaties: “De zorgsector heeft veel te maken met ransomware besmettingen, social engineering

via telefoon en phishing-emails, en malwarebesmettingen via drive-by download”.

Dreigingen; actoren: “Beroepscriminelen worden gezien als de grootste dreiging. Interne

medewerkers blijven een belangrijke groep vormen vanwege de mogelijkheid dat zij (onbewust) informatie lekken”.

Dreigingen; middelen: “Er wordt de afgelopen tijd meer ransomware waargenomen, zowel gericht als

ongericht. Daarnaast komt phishing vaak voor, veelal op basis van publiek bekende gegevens (bijvoorbeeld van openbare websites of uit datasets van eerdere hacks van derde partijen). Er zijn gevallen bekend van pogingen tot CxO-fraude, op basis van bekende gegevens”

Weerbaarheid: “De mens blijft een zwakke schakel. Het kunnen achterhalen van de afzender van

e-mails is nog steeds niet gemakkelijk, wat de organisaties kwetsbaar maakt. Er is weinig grip op veiligheid van eHealth systemen, hierdoor is men afhankelijk van leveranciers.

Ook in geval van clouddiensten bestaat er een grote afhankelijk van de leveranciers. Om de weerbaarheid te vergroten, is gestart met Zorg-CERT. Sommige organisaties nemen technische maatregelen, zoals het blokkeren van privé-webmail om besmettingen via die weg te voorkomen. Er wordt deelgenomen aan gezamenlijke oefeningen en er worden systemen opgezet om veilig

bestanden te delen tussen organisaties”.

Hieruit blijkt dat een aantal methodes door cybercriminelen wordt gebruikt in de zorgsector, namelijk: ransomware, social engineering via telefoon, phishing e-mail, malware bestemmingen via drive-by download en CxO-fraude. Deze methodes worden hieronder beschreven.

Volgens Houten en Spruit en Wolters (2015) doet ransomware het volgende “vercijfert belangrijke

gegevens en programmatuur op de geïnfecteerde computer en biedt de gebruiker de mogelijkheid om tegen betaling de sleutel te krijgen waarmee alles weer ontcijferd kan worden. Een bekend recent

voorbeeld van ransomware is de cyberaanval Wannacry. In het Financieel Dagblad (2017) is te lezen dat ziekenhuizen vaak laat zijn met het updaten van software, omdat er levensbelangrijke en dure medische apparaten op oude besturingssystemen draaien. Ziekenhuizen zijn bang dat een patch de software kapot maakt.

7 Hierdoor kan ransomware zich snel verspreiden op de systemen binnen een ziekenhuis. Bij de

Wannacry aanval heeft dit er zelfs voor gezorgd dat sommige ziekenhuizen patiënten naar huis moesten sturen, omdat ze geen gebruik konden maken van computers.

Social engineering is (Houten et al., 2015) het: “onder valse voorwendselen proberen gevoelige

gegevens te bemachtigen of ongeautoriseerde toegang te krijgen tot een gebouw of locatie”. Een

veel gebruikte manier om social engineering toe te passen is phishing hierbij wordt gebruik gemaakt van de zwakheden van de eindgebruiker (de mens). Vaak wordt dit gedaan door het sturen van een misleidende mail met een valse link. Wanneer de eindgebruiker op de link klikt en vervolgens inlogt (op een valse site) laat hij zijn login en wachtwoord achter bij de hacker die vervolgens de situatie uitbuit.

Naast ransomware en social engineering is er nog een potentieel risico om besmet te raken en zodoende data te lekken, namelijk via drive-by download. Hierbij is geen interactie nodig vanaf de eindgebruiker. Indien je op een verkeerde website komt, kan het zijn dat er een kwaadaardige code wordt binnengehaald, dit wordt een drive-by genoemd. Veelal maken hackers gebruik van een zero-day, dit is een lek in software dat ontdekt is door een derde, maar nog niet door de maker. Overigens kan een zogenoemde ‘verkeerde site’ ook een legitieme site zijn, zoals The New York Times. In het verleden is het hackers gelukt om via deze site slachtoffers te maken.

Het NCTV (2017) beschrijft CoX-fraude als volgt: “vorm van fraude waarbij een crimineel zich

voordoet als directeur (CEO of CFO) van een organisatie, specifiek gericht op een financieel medewerker van de organisatie, om een malafide transacties buiten de procedures om te laten plaatsen.

Een andere vorm die niet benoemd wordt door het CSBN is spyware, dit is een vorm van malware. Spyware stuurt gegevens door naar een derde, dit kunnen gevoelige bestanden zijn. Ook benoemt het CSBN de SQL-injectie niet. Op 28 februari 2017 schreef Miltenburg (2017) dat 2385 patiënt gegevens van het AMC-ziekenhuis op straat lagen door een SQL-injectie. Bij een SQL-injectie stuurt een hacker (legitieme) commando’s naar een webapplicatie, welke de commando’s verwerkt en gegevens terugstuurt. Hierdoor kan de database onbedoeld gevoelige data terugsturen. Ook proberen hackers het wachtwoord van de beheerder te kraken, zodat ze toegang krijgen tot de gehele database.

SAMENVATTING

In deze paragraaf is antwoord gegeven op de vraag ‘welke hacking methodes zijn er om privacy gevoelige data te verkrijgen voor onbevoegde’. Uit het literatuuronderzoek blijkt dat binnen de zorgsector de volgende methodes veelgebruikt zijn om privacy gevoelige data te bemachtigen:

- ransomware;

- social engineering via telefoon en phishing-emails; - malwarebesmettingen via drive-by download.

Hierbij wordt de mens gebruikt als tussenpersoon om de data te verkrijgen, omdat deze wordt gezien als de zwakste schakel.

8

2.4 Wanneer moeten datalekken gemeld worden?

In paragraaf 2.1 is besproken wat een datalek is. In deze paragraaf wordt uiteengezet wanneer een datalek gemeld moet worden. Volgens artikel 34a lid één van de Wbp moet een datalek worden gemeld aan de AP als het leidt tot een aanzienlijke kans op ernstig nadelige gevolgen, of ernstige gevolgen voor de bescherming van persoonsgegevens. Daarnaast kan volgens artikel 34a lid twee van de Wbp een datalek ook gemeld moeten worden aan de betrokkene, indien het waarschijnlijk

ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Hieruit kan geconcludeerd worden dat een aantal afwegingen gemaakt moeten worden bij de beslissing wanneer een datalek gemeld moet worden. Deze zijn in figuur 2 schematisch weergegeven.

De afweging of een beveiligingslek een datalek is kan worden gedaan aan de hand van het volgende schema:

Dit is geen datalek

Dit is een datalek

Is er sprake van een inbreuk op de beveiling?

Zijn bij de inbreuk persoonsgegevens verloren

gegaan?

Kan ik redelijkerwijs uitsluiten dat er

persoonsgegevens onrechtmatig zijn verwerkt?

Ja

Nee

Nee

Nee Ja

Figuur 3: is dit een datalek?

Beveiligingslek Beveiligingsincident Datalek Melden aan de Autoriteit

Persoonsgegevens

Melden aan de betrokkene

9 Is er sprake van een inbreuk op beveiliging?

In paragraaf 2.1 is opgenomen dat de organisatie passende technische en organisatorische

maatregelen dient te treffen ter beveiliging van persoonsgegevens. Deze zijn in figuur 4 schematisch weergegeven.

Figuur 4: Beveiligingsmaatregelen (bron: Beleidsregels voor toepassing van artikel 34a van de Wbp)

Een dreiging kan zijn een tekortkoming in de beveiliging. Hiervoor kan de organisatie preventieve maatregelen treffen om te voorkomen dat de dreiging leidt tot een beveiligingsincident. Wanneer de preventieve maatregelen niet voorkomen hebben dat de dreiging daadwerkelijk heeft

plaatsgevonden spreken we van een beveiligingsincident. Een beveiligingsincident is bijvoorbeeld een inbraak van een hacker of een malware besmetting. Een beveiligingsincident kan worden opgemerkt door middel van detectieve maatregelen.

Zijn bij de inbreuk persoonsgegevens verloren gegaan?

Wanneer een beveiligingsincident zich heeft voorgedaan en als gevolg hiervan de persoonsgegevens verloren zijn gegaan en de organisatie niet beschikt over een complete en actuele reservekopie, is er sprake van een datalek.

Kan ik redelijkerwijs uitsluiten dat de persoonsgegevens onrechtmatig zijn verwerkt? Volgens de AP (2015) betekent onrechtmatig verwerken het volgende: “de aantasting van de

persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan”.

Wanneer is vastgesteld dat er sprake is van een beveiligingsincident, moet worden gecontroleerd of de repressieve en herstelmaatregelen effectief zijn geweest. Aan de hand hiervan kan de organisatie bepalen of bij de inbreuk persoonsgegevens verloren zijn gegaan of dat de organisatie redelijkerwijs kan uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt.

Als de organisatie ondanks de getroffen repressieve en herstelmaatregelen niet redelijkerwijs kan uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt, dan moet de inbreuk worden gezien als een datalek.

Het melden van een datalek aan de autoriteit persoonsgegevens

Een datalek moet gemeld worden bij de AP conform artikel 34a, lid één, Wbp, als er

persoonsgegevens van gevoelige aard zijn gelekt en het lek leidt tot een aanzienlijke kans op ernstig nadelige gevolgen of ernstige gevolgen heeft voor de bescherming van persoonsgegevens. De organisatie moet zelf bepalen of er van één van deze twee voorwaarde sprake is.

10 Als eerste moet de organisatie bepalen of er persoonsgegevens van gevoelige aard zijn gelekt. Voorbeelden van persoonsgegevens van gevoelige aard zijn:

- bijzondere persoonsgegevens zoals godsdienst, ras, politieke voorkeur; - gegevens over de financiële situatie;

- gegevens die kunnen leiden tot een slechte reputatie, zoals gokverslaving; - inloggegevens en wachtwoorden;

- gegevens die kunnen worden gebruikt voor identiteitsfraude zoals een BSN-nummer. Vervolgens moet worden bepaald of er sprake is van ernstige nadelige gevolgen of ernstige gevolgen voor de bescherming van de persoonsgegevens. Naast de gevoelige aard van de persoonsgegevens is daarbij het volgende relevant:

- Hoe groter de omvang van het lek, hoe meer persoonsgegevens er gelekt zijn. Grote lekken zijn interessant voor het criminele circuit, waardoor de kans groter is dat de personen langer last houden van de nadelige gevolgen van het lek.

- Hoe groter de beslissing is, die op basis van de gelekte persoonsgegevens genomen wordt, hoe groter de nadelige gevolgen zijn.

- Bij verwerkingen binnen de overheid is veelal sprake van het delen van persoonsgegevens binnen verschillende ketens. Hierdoor is het voor het slachtoffer moeilijker om de nadelige gevolgen in te schatten en hierop de juiste beslissingen te nemen.

- De persoonsgegevens zijn gelekt van kwetsbare groepen, bijvoorbeeld kinderen met een verstandelijke handicap, omdat bijvoorbeeld de kans groter wordt geacht dat zij ingaan op phishing berichten.

Als er sprake is van één van deze voorwaarden, is er een aanzienlijke kans op ernstig nadelige gevolgen of ernstige gevolgen voor de bescherming van de persoonsgegevens.

Wanneer er sprake is van hacking is het van belang om in kaart te brengen wat de aard is van de persoonsgegevens en wat het risico van misbruik van deze gegevens is. Hierbij zal een snelle melding gepast zijn en moet tevens aangifte worden gedaan bij de politie.

11 Het melden van een datalek aan de betrokkene

Of het datalek gemeld moet worden aan de betrokkene hangt onder meer af van de repressieve- en herstelmaatregelen die de organisatie getroffen heeft. Ondernemingen die vallen onder de Wet op het financieel toezicht zijn uitgezonderd van de meldplicht aan betrokkene, omdat zij op basis van hun zorgplicht een melding moeten doen. De organisatie waarbij een lek heeft plaatsgevonden, dient de volgende afwegingen te maken:

Cryptografie

Een passende technische beschermingsmaatregel is cryptografie. Cryptografie kan worden

onderscheiden in encryptie en hashing. Bij encryptie worden de persoonsgegevens versleuteld. Door gebruik te maken van de juiste sleutel kunnen de persoonsgegevens ook weer worden ontsleuteld. Bij hashing worden de persoonsgegevens omgezet in een unieke code die altijd even lang is

(afhankelijk van de hash-methode). Deze methode wordt veelal gebruikt bij het bewaren van wachtwoorden. Hierdoor hoeft het echte wachtwoord niet bewaard te worden en kan ook niet teruggerekend worden naar het echte wachtwoord, zoals bij encryptie wel het geval is.

Als de persoonsgegevens conform de actuele stand van de techniek (zoals beschreven in paragraaf 2.1) onbegrijpelijk of ontoegankelijk zijn gemaakt, hoeft er geen melding gemaakt te worden aan de betrokkene.

Biedt de cryptografie voldoende bescherming?

Bieden andere technische beschermingsmaatregelen

voldoende bescherming?

Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levensfeer van de

betrokkene?

Zijn er zwaardere redenen om de melding aan de betrokkene

achterwege te laten?

Geen melding maken

aan de betrokkene

Melding maken

aan de betrokkene

12 Andere technische beschermingsmaatregelen

Naast encryptie zijn er nog twee methodes om de persoonsgegevens bescherming te bieden, namelijk: remote wiping en pseudonimiseren. Bij remote wiping kunnen gegevens die op een apparaat bijvoorbeeld een laptop staan op afstand worden gewist. Hierdoor zijn de

persoonsgegevens ontoegankelijk. Persoonsgegevens kunnen ook gepseudonimiseerd worden. Hierbij kunnen de persoonsgegevens niet meer gekoppeld worden aan de originele identiteit. Als de organisatie kan vaststellen dat de beschermingsmaatregel effectief heeft gewerkt, hoeft er geen melding gemaakt te worden aan de betrokkene.

Ongunstige gevolgen voor de betrokkene

Hierboven zijn voorbeelden van persoonsgegevens van gevoelige aard besproken. Per situatie moet de organisatie de omstandigheden afwegen. Wanneer er daadwerkelijk ongunstige gevolgen zijn voor de betrokkene, kan het slachtoffer door kennisgeving voorzorgsmaatregelen treffen en is het dus essentieel dat er melding wordt gemaakt bij de betrokkene.

Achterwege laten van melding

In artikel 34 lid e van de Wbp, is opgenomen dat melding aan de betrokkene achterwege mag worden gelaten indien dit noodzakelijk is voor de bescherming van de betrokkene. Een voorbeeld van deze situatie is wanneer er medische gegevens gelekt zijn waarin kinderen om hulp vragen zonder dat daar de ouders van op de hoogte zijn. Wanneer er melding zou worden gemaakt, kunnen de ouders hiervan onbedoeld op de hoogte worden gesteld.

Is er geen sprake van een gegronde reden voor het achterwege laten van een melding dan moeten de betrokkene als nog ingelicht worden.

SAMENVATTING

In deze paragraaf is het antwoord gegeven op de vraag ‘wanneer een datalek gemeld moet worden’. Samenvattend luidt het antwoord op deze vraag als volgt: een datalek moet gemeld worden bij de AP als er persoonsgegevens van gevoelige aard zijn gelekt en het lek leidt tot een aanzienlijke kans op ernstig nadelige gevolgen of ernstige gevolgen heeft voor de bescherming van persoonsgegevens. Een datalek kan ook gemeld moeten worden bij de betrokkene, echter hangt dit af van de

repressieve- en herstelmaatregelen die de organisatie getroffen heeft.

2.5 Waarom heeft de sector gezondheid en welzijn de meeste datalekken?

In deze paragraaf wordt een antwoord gezocht op de vraag waarom de sector gezondheid en welzijn van alle sectoren de meeste datalekken heeft, volgens de AP (2017). De paragraaf is opgedeeld in meerdere onderwerpen die herkend kunnen worden doordat deze vetgedrukt zijn.

Cybercrime

Een kenmerk van ziekenhuizen is de openheid. Immers, in een ziekenhuis komen en gaan patiënten dagelijks en komen er gasten op bezoek bij de patiënten. Volgens Woning en Slobbe (2015) is “de

digitale omgeving van een ziekenhuis vaak relatief open ingericht omdat het in geval van nood noodzakelijk is direct bij zoveel mogelijk relevante informatie te kunnen komen. Deze openheid geldt dus voor het gebouw, de IT-infrastructuur en de medische apparatuur in geval van nood. Een volledig open omgeving is echter een aandachtspunt voor cybersecurity omdat zonder mitigerende

maatregelen ook kwaadwillende zich eenvoudig toegang kunnen verschaffen”.

Uit onderzoek (Hooghiemstra, Oud, Radema, Spruit, & Wielaard, 2016) blijkt dat medische

apparatuur steeds meer komt met een eigen besturingssysteem, databasemanagementsysteem en applicatieprogrammatuur. Deze medische apparatuur verwerken zelf steeds meer patiëntgegevens, zijn verbonden met andere systemen en worden intensief op afstand beheerd. De risico’s hierbij zijn

13 dat het beveiligingsniveau niet altijd in pas loopt met de voor deze systemen benodigde

beveiligingsniveaus en het ontbreken van heldere richtlijnen en voorlichting.

In het artikel van het NRC (2017) bevestigt Edward Driehuis, medewerker van Securelink dat bedrijven helpt te beschermen tegen digitale aanvallen, dat steeds meer Nederlandse Ziekenhuizen “vaker apparatuur gebruiken die digitaal contact zoekt met de buitenwereld. CT-scanners,

röntgenapparatuur, camera’s: alles hangt aan het internet. Zo zoeken ze naar updates of houden contact met externe beheerders die vaak het onderhoudswerk voor ziekenhuizen doen. Alles is aan elkaar geknoopt, en veel van die apparaten zijn notoir kwetsbaar. Vooral de hele dure machines met een lange levensduur worden niet goed beschermd tegen aanvallen. De software is na een aantal jaren ernstig verouderd, maar wordt niet gerepareerd uit angst dat er iets misgaat en de machine voor een bepaalde tijd niet werkt”.

In hetzelfde artikel van het NRC (2017) zegt Pepijn Janssen, medewerker van Redsocks dat bedrijven helpt te beschermen tegen digitale aanvallen, dat systeembeheerders zich bewust zijn van de kwetsbaarheden van dure machines. Hierop nemen ze maatregelen door bijvoorbeeld bij de computer die de MRI-scan aanstuurt de internetbrowser en/of de usb-poorten uit te schakelen. De collega van Janssen voegt hieraan toe in het Financieel Dagblad (2017) dat ziekenhuizen bang zijn om dure apparatuur te voorzien van de meeste recente software, het zogenoemde patchen, omdat ze bang zijn dat het apparaat stuk gaat. Systemen met oude software versies zijn kwetsbaar voor digitale aanvallen. Ook fusieziekenhuizen zijn volgens Janssen kwetsbaar, omdat hun netwerken bestaan uit aan elkaar geplakte, bestaande systemen met een ander veiligheidsbeleid. Hierdoor is het lastig om verdacht netwerkverkeer te monitoren en zo tijdig maatregelen te treffen.

Dat de kwetsbaarheid van systemen een probleem is, laat het rapport van Experian® Data Breach Resolution (2017) zien. Uit dit rapport blijkt dat ransomware een topprioriteit blijft in de sector gezondheid en welzijn en dat de gevolgen van ransomware catastrofaal kunnen zijn. Ransomware zorgt voor grote verstoringen binnen organisaties. Ondanks de maatregelen van systeembeheerders maakt ransomware slim gebruik van de kwetsbaarheden. Zo maakte het zogenoemde “WannaCry” gebruik van een lek in de protocollen waarmee computers binnen een beschermd netwerk met elkaar communiceren. Hierdoor kan het gebeuren dat een computer bij de MRI scan die niet eens met het internet verbonden is, toch besmet raakt en hierdoor de MRI niet gebruikt kan worden. We kunnen van geluk spreken dat hackers veelal niet eens door hebben dat ze een organisatie in de sector gezondheid en welzijn plat hebben gelegd. Als de hackers dit wel wisten dan zouden ze veel hogere bedragen aan losgeld eisen. Ransomware blijkt een eenvoudige en veilige manier voor hackers om geld te verdienen. Veel organisaties kiezen er namelijk voor om het losgeld te betalen zodat het systeem weer werkt. Het meest bijzondere aan ransomware is misschien nog wel dat de hackers zelfs een helpdesk in het leven brengen waarmee ze organisaties helpen om geld over te maken in bitcoins. De verwachting is dat in de toekomst de ransomware aanvallen geavanceerder en veel gerichter zullen plaatsvinden.

Medische persoonsgegevens zijn lucratief.

De sector gezondheid en welzijn is volgens Experian® Data Breach Resolution (2017) het middelpunt van cybercrime, omdat medische persoonsgegevens lucratief en gemakkelijk te verkopen zijn. De elektronische patiëntdossiers zijn een belangrijk doelwit voor hen.

14 Dat medische persoonsgegevens lucratief en gemakkelijk

te verkopen zijn, blijkt wel uit het artikel van Couzy (2017) in het Financieel Dagblad. Volgens dit artikel worden op AlphaBay Market (een soort Marktplaats op het Darkweb) ook databestanden met patiëntgegevens aangeboden, welke rechtstreeks uit de zorginstelling gehackt zijn. Het gaat zelfs zo ver dat bij de

patiëntgegevens een lijst zit met medicijnen welke op de naam van de patiënt besteld kunnen worden. Uit figuur 5 blijkt dat een medisch dossier op het Darkweb €20 kost en de gegevens van maar liefst 500.000 medische dossiers €300.000 kosten, dit komt neer op slechts €0,60 per medisch dossier.

Figuur 5: Prijslijst Darkweb (Bron EY / Alphabay Market)

Volgens Couzy (2017): “hoefden hackers veelal alleen maar een ziekenhuis binnen te lopen, achter een onbemande balie te kruipen, een USB-stick in een computer te prikken en thuis af te wachten totdat de computer door een werknemer wordt geopend, zodat ze alle gegevens kunnen uitlezen”.

Ook zegt hij dat het niet nodig is dat bedrijven veel geld uitgeven aan hun systemen om deze 100% veilig te maken, maar dat het beter is om te kijken naar de zwakke schakels binnen het bedrijf, zoals de werknemers.

Medewerkers zijn de zwakste schakel

Dat medewerkers de zwakste schakel zijn, blijkt ook uit het artikel van het NRC (2017). In dit artikel staat geschreven dat in 2016 65.000 medewerkers van Nederlandse ziekenhuizen een mailtje hebben gekregen van Stichting Zorgtaart, welke in werkelijkheid niet eens bestaat. In deze mail stond dat als ze op de link klikten, ze een taart konden winnen. Meer dan 11.000 medewerkers klikten op deze link zonder na te denken over de consequenties. Deze medewerkers hadden geluk dat het onderdeel was van de campagne over informatiebeveiliging van de Nederlandse Vereniging van Ziekenhuizen. Hackers gebruiken deze truc namelijk veelvuldig om ransomware te installeren.

Volgens het rapport van BDO (2017) is 30% van de datalekken in organisaties terug te leiden naar mankementen in de IT en maar liefst 70% is het gevolg van menselijke fouten. Tevens geeft dit rapport aan dat de meeste winst is te halen bij de eigen medewerkers van ziekenhuizen. Opvallend is dat uit de enquête die BDO heeft gehouden onder 53 zorginstellingen in 2016 slechts bij 27% van de ondervraagde organisaties een security training- and awareness- programma is uitgerold. Hierbij moet ook nog rekening worden gehouden met de kwaliteit van deze trainingen. Volgens Elke van Tiggelen, senior manager bij BDO steunen de meeste organisaties nog teveel op een awareness training die neerkomt op een paar uur praten over het onderwerp en dan weer doorgaan tot de orde van de dag. Hierdoor wordt wel meer bewustzijn rondom informatiebeveiliging gecreëerd, maar verander je geen gedrag. Een essentiële rol in het veranderen van gedrag bij medewerkers heeft de Raad van Bestuur (hierna: RvB). Als de RvB informatiebeveiliging niet hoog op de agenda zet, gaan mensen lager in de organisatie er nooit serieus mee om en laten ze zich al helemaal niet aanspreken op hun gedrag. Uit de enquête van BDO blijkt dat bij 59% van de ondervraagden de RvB

verantwoordelijk is voor informatiebeveiliging. Uit deze gegevens blijkt dat een

informatiebeveiligingsbeleid verder gaat dan technische maatregelen. Als de medewerkers niet in het beleid worden meegenomen, is de kans groot dat er datalekken optreden.

Toegang tot patiëntdossiers

Medewerkers zijn de zwakste schakel binnen ziekenhuizen, maar zij zijn ook de personen die werken met de patiëntdossiers. Derhalve is het relevant om te beschrijven hoe dit is ingeregeld en of hier kwetsbaarheden in zitten.

15 Het bestaansrecht van een ziekenhuis is het verlenen van de zorg aan patiënten. Om deze zorg goed te kunnen verlenen werken zorginstellingen met digitale patiëntendossiers. In artikel 21, eerste lid onder a, juncto artikel 9 van de Wbp en het eerste en tweede lid van het Burgerlijk Wetboek is opgenomen dat “toegang tot gegevens in gedigitaliseerde patiëntendossiers alleen rechtmatig is

indien en voor zover een medewerker rechtstreeks betrokken is bij de behandeling van of zorgverlening aan een patiënt en/of bij de beheersmatige afwikkeling van die

behandeling/zorgverlening en de toegang beperkt blijft tot de gegevens die noodzakelijk zijn voor de uitvoering van de taken van die medewerker”. Hierdoor hebben ziekenhuizen procedures opgesteld

waarin bepaald is wie bevoegd is tot de patiëntdossiers en zijn er technische maatregelen getroffen. Volgens de bovengenoemde wet zou een medewerker pas toegang tot een patiëntdossier mogen krijgen nadat in een behandelplan is beschreven dat de betreffende medewerker onderdeel gaat uitmaken van het behandelteam en wordt dit vastgelegd in het systeem. Echter uit het

onderzoeksrapport van CBP (2013) blijkt dat deze wijze van autoriseren in de praktijk nauwelijks voorkomt.

In geval van nood kunnen medewerkers gebruik maken van de breaking the glass procedure. Middels deze procedure kunnen medewerkers toegang krijgen tot meer gegevens dan toegewezen voor hun functie. Middels een pop-up in het systeem moet de medewerker aangeven waarom het

noodzakelijk is dat zij deze gegevens kunnen zien en zo krijgen zij toegang.

Ziekenhuizen moeten volgens artikel 35 lid 2 van de Wbp (2001) een volledig overzicht bijhouden van personen die het medisch dossier hebben geraadpleegd, dit wordt logging genoemd. De patiënt kan dit overzicht zelfs opvragen, blijkt uit de uitspraak (ECLI:NL:RVS:2011:BU6383, 2011) door de Raad van State, tenzij een gemotiveerd beroep kan worden gedaan op artikel 43, aanhef en onder e van de Wbp (2001). Uit het onderzoeksrapport van het CBP (2013) blijkt dat de meest onderzochte

zorginstellingen niet structureel logging bijhouden. Reden hiervan is dat soms de technische mogelijkheden hiervoor ontbreken. Andere zorginstellingen geven aan dat logging het systeem dermate vertraagt dat het systeem niet meer goed functioneert. De meeste zorginstellingen loggen wel wanneer de breaking the glass procedure, zoals hierboven beschreven, wordt gebruikt.

Logging

Een belangrijk onderdeel van logging is het achteraf controleren wie, op welk moment, welke gegevens heeft bekeken en of deze persoon daar recht op had. Uit het onderzoeksrapport van het CBP (2013) blijkt dat alleen bij de breaking the glass procedure dit achteraf gecontroleerd wordt. Zelfs bij zorginstellingen waar wel gelogd wordt, vindt die niet plaats. In sommige gevallen wel steekproefsgewijs, bij vermoedens van misbruik of bij klachten.

Een tekort aan mensen voor het controleren van logging wordt door zorginstellingen aangedragen als reden om dit niet uit te voeren. De controle van logging is een essentieel onderdeel van de toegangsbeveiliging van zorginstellingen. Het CBP (2013) geeft aan dat wanneer de autorisatie verbeterd wordt binnen zorginstellingen de logging ook slimmer gecontroleerd kan worden. Ondanks dat het nu een tijdrovende klus is en er te weinig mensen zijn, mag er niet van worden afgezien. Zorginstellingen geven tevens aan dat ze niet kunnen voldoen aan de inregeling van elektronische patiëntdossiers conform de actuele stand van de techniek, omdat hiermee hoge kosten gepaard gaan. Het CBP (2013) geeft aan dat hoge kosten geen valide wettelijke reden is om een blijvende achterstand op te lopen in het gebruik van elektronische patiëntdossiers.

Ter compensatie hebben zorginstellingen gedragscodes, personeelsbeleid (met o.a. screening van de medewerkers), training over bewustwording (awareness), geheimhoudingsregelingen en sancties ingevoerd.

16 Deze maatregelen kunnen volgens het CBP (2013) niet compenseren tegenover het niet inzetten van afdoende technische maatregelen. Met andere woorden: de getroffen maatregelen mogen niet afhankelijk zijn van de zelfbeheersing van medewerkers.

SAMENVATTING

In deze paragraaf is het antwoord gegeven op de vraag ‘waarom heeft de sector gezondheid en welzijn de meeste datalekken’. Met andere woorden welke specifieke kenmerken dragen eraan bij dat de sector de meeste datalekken heeft. Samenvattend zijn dit de volgende specifieke kenmerken:

- De digitale omgeving van ziekenhuizen is relatief open ingericht. - De hoge mate van kwetsbaarheid van apparatuur en systemen. - De medische gegevens zijn lucratief voor hackers.

- Er is te weinig aandacht voor de mens bij informatieveiligheid, terwijl zij de zwakte schakel zijn.

- logging (op rechtmatig gebruik) van patiëntdossiers is een te zware taak voor ziekenhuizen.

2.6 Hoe is informatiebeveiliging in de zorg ingeregeld?

In deze paragraaf wordt uiteengezet hoe informatiebeveiliging in de zorg is ingeregeld en hoe deze tot stand is gekomen in de Nederlandse zorgsector.

Volgens Hooghiemstra et al. (2016) is informatiebeveiliging ‘het treffen en onderhouden van een samenhangend pakket maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens in de organisatie te waarborgen’. Het beschermen van privacygevoelige gegevens zoals patiëntgegevens maakt hier deel van uit, evenals het voorkomen en aanpakken van ongeautoriseerd gebruik van (privacygevoelige) gegevens.

Informatiebeveiliging is niet iets wat eenmaal gedaan moet worden, het is een continu proces die om betrokkenheid vraagt van de hele organisatie. Informatiebeveiliging richt zich op risico’s door

bedreigingen voor de informatievoorziening, zoals menselijke fouten of hackers. Risico’s kunnen worden gemitigeerd middels beveiligingsmaatregelen. Waarbij een optimum gevonden dient te worden in het aantal beveiligingsmaatregelen. Teveel beveiligingsmaatregelen zijn kostbaar en leiden tot onwerkbare situaties en te weinig beveiligingsmaatregelen leiden tot grote risico’s. Derhalve zal per organisatie bepaald moeten worden middels een risicoanalyse hoeveel risico zij bereid is te lopen. Dit proces dient periodiek herhaald te worden, aangezien er nieuwe risico’s bij kunnen komen of risico’s kunnen wijzigen. Hierdoor moeten mogelijk de beveiligingsmaatregelen ook gewijzigd worden.

De Nederlandse norm voor informatieveiligheid in de zorg is sinds 2005 de NEN 7510, welke gebaseerd is op de in april 2005 gepubliceerde revisie van de Code voor Informatiebeveiliging (ISO 27001/27002). De NEN (2017) “geeft richtlijnen en uitgangspunten voor het bepalen, instellen en

handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke

gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening”. Het netwerk

van zorgaanbieders, patiënten, zorgverzekeraars, overheidsinstanties en andere belanghebbenden die een rol spelen in het verzamelen, verwerken en transporteren van informatie zorgt voor een grote complexiteit in de zorg op het gebied van informatieveiligheid. Hierdoor was er een grote vraag naar standaarden voor informatie opslag, berichtenopmaak, communicatieprotocollen, definities en codering van medische termen en informatiebeveiliging.

Naar aanleiding van de invoering van de NEN 7510 in 2005 heeft het CBP (2008) onderzoek gedaan naar de stand van zaken omtrent de implementatie van de NEN 7510 bij ziekenhuizen in het

algemeen. Tevens werd de invulling van informatiebeveiliging onderzocht en werd gecontroleerd of de getroffen maatregelen voldeden aan de wet- en regelgeving. Uit dit onderzoek blijkt dat

17 informatiebeveiliging in ziekenhuizen niet voldeed aan de norm en de meeste ziekenhuizen niet voldeden aan de NEN 7510. Tevens ontbreekt het bewustzijn bij medewerkers omtrent het belang van informatiebeveiliging. Het CBP concludeert dat “informatiebeveiliging staat of valt met het gedrag van medewerkers en effectieve controle op gedrag ontbreekt nog te vaak’. Door de slechte uitkomsten van het onderzoek moesten de ziekenhuizen een plan van aanpak opstellen waaruit blijkt hoe zij aan de NEN 7510 gaan voldoen. Tevens dreigt de CBP bij onvoldoende opvolging handhavend op te treden. Gevolg van de slechte uitkomsten van het onderzoek was dat alle ziekenhuizen in 2010 de resultaten van een extern uitgevoerde audit over moesten dragen aan de CBP, waaruit bleek wat het niveau van de informatiebeveiliging op dat moment was.

Vervolgens is in 2010 éénmalig een externe audit uitgevoerd op basis van een baseline van 133 normelementen en een volwassenheidsscore op de schaal van één tot vier. De uitkomsten zijn op individueel niveau teruggekoppeld en er is één landelijke rapportage gepubliceerd. Hierna heeft de externe audit nooit meer vervolg gekregen en is er alleen afgesproken dat de zorgaanbieders verder gaan met de implementatie van de NEN 7510.

In 2013 publiceerde het CBP (2013) vervolgens een onderzoeksrapport waarin geschreven wordt dat de NEN 7510 een gezaghebbende sectorale uitwerking is van Artikel 13 van de Wbp. Met andere woorden, als een ziekenhuis voldoet aan de NEN 7510 standaard mag er vanuit worden gegaan dat het ook voldoet aan artikel 13 van de Wbp. Volgens het CBP worden de volgende aspecten van NEN 7510 betrokken bij de beoordeling of er een passend niveau van maatregelen is getroffen omtrent het verlenen van toegang aan medewerkers aan elektronische patiëntdossiers:

- “Er is beleid voor het verlenen van toegang tot informatie.

- Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.

- Dit beleid is zodanig dat uitsluitend toegang wordt verleend aan medewerkers indien en voor zover zij direct betrokken zijn bij de behandeling van de specifieke patiënt en/of betrokken zijn bij de beheersmatige afwikkeling daarvan en dit beleid wordt ook door inzet van technologische middelen afgedwongen.

- Activiteiten die gebruikers uitvoeren met persoonsgegevens worden vastgelegd in logbestanden (logging).

- De logbestanden worden periodiek gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van persoonsgegevens en waar nodig wordt actie ondernomen.”

Op 28 november 2017 is in het Staatsblad (2017) van het Koninkrijk der Nederlanden het besluit ex art. 26 van de Wbp gepubliceerd: het besluit elektronische gegevensverwerking door

zorgaanbieders. Hierdoor is het voor zorginstellingen verplicht geworden om per 1 januari 2018 een functionaris gegevensbescherming (hierna FG) aan te stelen. Daarnaast moeten zorginstellingen ervoor zorgen dat hun zorginformatiesysteem voldoet aan de NEN 7510 en de informatiesystemen waarmee zorginformatie wordt uitgewisseld voldoen aan de NEN 7510, NEN 7512 en NEN 7513. Opvallend is dat op 25 mei 2018 bij intreding van de AVG dit besluit is komen te vervallen, omdat het is gebaseerd op artikel 26 van de Wbp. Hierna is het nog maar de vraag of het besluit blijft bestaan middels de uitvoeringswet, welke wordt aangepast naar aanleiding van commentaar van de AP. Daarna moet de wet goedgekeurd worden door de Raad van State en vervolgens door de Tweede- en Eerste kamer.

SAMENVATTING

In deze paragraaf is antwoord gegeven op de vraag ‘hoe is informatiebeveiliging in de zorg

ingeregeld’. Het antwoord op deze vraag is dat sinds 2005 de NEN 7510 de Nederlandse norm voor informatiebeveiliging in de zorg is. Als een ziekenhuis voldoet aan deze norm, voldoet zij ook aan artikel 13 van de Wbp, volgens het CBP.

18

2.7 Wat is de invloed van invoering van de AVG voor de sector gezondheid en welzijn?

Deze paragraaf behandelt de invloed van de invoering van de AVG ten opzichte van de huidige Wbp. In de Europese Unie had elke lidstaat een eigen privacy wetgeving welke was gebaseerd op de Europese privacyrichtlijn uit 1995. In 1995 stond het internet nog in de kinderschoenen en werden virussen gemaakt om grapjes uit te halen. In de tussentijd is veel veranderd op het gebied van privacy en digitalisering. Derhalve is de Europese privacywetgeving herzien. Op 4 mei 2016 is de AVG gepubliceerd in het publicatieblad van de (Europese Unie, 2016). De AVG is 20 dagen na deze

publicatie in werking getreden, maar is pas vanaf 25 mei 2018 van toepassing. Er is bewust een periode van twee jaar tussen gelaten om organisatie en toezichthouders voldoende tijd te geven om zich voor te bereiden.

Op 25 mei 2018 heeft de AVG de Wbp vervangen en zal dan de belangrijkste wetgeving op het gebied van persoonsgegevens zijn. Ten opzichte van de Wbp komt de AVG met de volgende veranderingen:

Accountability

Het accountability principe houdt in dat een organisatie in de sector gezondheid en welzijn de juiste technische en organisatorische maatregelen moet treffen maar ook moet kunnen laten zien hoe zij persoonsgegevens verwerkt conform de regels van de AVG. Onderdeel hiervan is het bijhouden van een register met alle verwerkingsactiviteiten. Onder de Wbp heeft de verwerkingsverantwoordelijke alleen een plicht om zijn gegevensverwerking te melden bij de AP. Hiervan houd de AP een openbaar register bij. Bij de ingang van de AVG komt deze plicht te vervallen en krijgt de organisatie een documentatieplicht. Hierbij moeten de volgende gegevens onder andere bewaard worden:

- gegevens over de verantwoordelijke; - doel van de verwerking;

- categorieën van persoonsgegevens die worden verwerkt door de verantwoordelijke; - bewaartermijn van de persoonsgegevens;

- ontvangers van de persoonsgegevens;

- algemene beschrijving van de getroffen technische en organisatorische maatregelen. Een ander onderdeel van het accountability principe is de privacy impact assessment, welke in veel gevallen onder de AVG verplicht wordt. Bij een privacy impact assessment breng je de privacy aspecten die aan een dienst of product verbonden zijn in kaart om de risico’s vervolgens te

verkleinen door aanpassingen te doen. Wanneer je na het doen van aanpassingen het risico niet kan terugbrengen tot een acceptabel niveau dan is het verplicht om de AP te raadplegen. Een privacy impact assessment is verplicht voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken, systematisch en uitvoerig persoonlijke aspecten evalueert of op grote schaal en

systematisch mensen volgt in publiek toegankelijke ruimten. Hierdoor zullen organisaties in de sector gezondheid en welzijn veel te maken krijgen met privacy impact assessments, omdat zij op grote schaal bijzondere persoonsgegevens verwerken.

Functionaris gegevensbescherming

Een ander nieuw punt ten opzichte van de Wbp is dat sommige organisaties verplicht zijn om een FG aan te stellen. Volgens de AP (2018) is een FG een interne toezichthouder op verwerking van

19 Onder de AVG zijn er straks drie soorten organisaties die verplicht zijn een FG aan te stellen volgens de AP (2018) namelijk:

- overheidsinstanties en publieke organisaties ongeacht het type gegevens dat ze verwerken; - organisaties die op grote schaal individuen volgen, bijvoorbeeld voor profilering van mensen; - organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit een

kernactiviteit is.

De Groep gegevensbescherming artikel 29 (2017) schrijft het volgende over ziekenhuizen: “zo is het

de kerntaak van een ziekenhuis gezondheidszorg te bieden. Maar een ziekenhuis kan geen veilige en efficiënte gezondheidszorg bieden zonder de verwerking van medische gegevens, zoals de medische dossiers van de patiënten. Bijgevolg moet de verwerking van dit soort gegevens als een van de kerntaken van elk ziekenhuis worden beschouwd, en moeten ziekenhuizen dus functionarissen voor gegevensbescherming aanwijzen”

Strengere regels

Tevens komen er onder de AVG strengere regels voor de verwerker van persoonsgegevens. Enerzijds moet de verwerkingsverantwoordelijke transparant zijn en de betrokkenen informeren over wat hij met zijn gegevens doet. Aan de andere kant heeft de betrokkene ook een aantal rechten gekregen. Zo kan de betrokkene verzoeken om de gegevens in te zien, te rectificeren, beperking van de gegevens of verwijdering van de persoonsgegevens. Aan deze verzoeken zijn wel voorwaarden verbonden, maar deze strengere regels gaan zeker impact hebben op organisaties in de sector gezondheid en welzijn. Heel belangrijk hierbij is dat de organisatie er voor moet zorgen dat zij niet meer gegevens verzamelt en verwerkt dan nodig is voor het beoogde doel.

Daarnaast is dataportabiliteit nieuw onder de AVG. Hierbij kan een betrokkene de persoonsgegevens opvragen in een gestructureerde, gangbare en machine leesbare vorm zodat hij deze aan een andere verwerkingsverantwoordelijke kan verstrekken.

Privacy by design en privacy by default

De AVG verplicht iedereen die verantwoordelijk is voor de verwerking van persoonsgegevens om “privacy by design” en “privacy by default” toe te passen. Privacy by design houdt in dat er bij de ontwikkeling van nieuwe producten en diensten, zoals bijvoorbeeld een informatiesysteem, rekening gehouden wordt met privacy. Met andere woorden: in de ontwerpfase moet de organisatie al waarborgen inbouwen voor een optimale bescherming van persoonsgegevens en hiervoor

maatregelen treffen. Hierbij moet de organisatie zich afvragen welke gegevens noodzakelijk zijn voor het doel van de verwerking. Met als doel om zo min mogelijk persoonsgegevens te verwerken. Een organisatie heeft zelf ook belang om in een vroeg stadium na te denken over deze belangrijke zaken, omdat wanneer een organisatie dit een laat stadium doet het vaak tijdrovend is en veel geld kost.

Privacy by default houdt in dat een organisatie een product of dienst op een zodanige wijze aanbiedt dat de inbreuk op privacy zoveel mogelijk wordt beperkt. Bijvoorbeeld als iemand zich op een nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is voor dit doel.

Verwerkingsovereenkomsten

In de Wbp was het al verplicht om een verwerkingsovereenkomst af te sluiten, maar bij ingang van de AVG zijn er een aantal verplichte onderwerpen bij gekomen. Wanneer een

verwerkingsverantwoordelijke samenwerkt met een verwerker, is het verplicht een verwerkingsovereenkomst af te sluiten.

20 Belangrijk in de verwerkingsovereenkomsten onder de AVG zijn doelbinding en inschakelen van subverwerkers. Bij doelbinding moet een verwerker alleen de persoonsgegevens verwerken voor zover deze in lijn zijn met de doelen die de verwerkingsverantwoordelijke heeft gesteld.

Wanneer de verwerkingsverantwoordelijke een verwerker heeft ingeschakeld, maar deze op haar beurt weer een subverwerker wil inschakelen, dan is daar vooraf toestemming voor nodig. Daarnaast moet de verwerker ervoor zorgdragen dat de subverwerker zich aan dezelfde afspraken houdt als de verwerker.

Voor de organisaties is het dus zaak om uit te zoeken welke verwerkers worden ingeschakeld en of hier een verwerkingsovereenkomst mee is afgesloten en deze voldoet aan de eisen van de AVG. Wanneer er geen verwerkingsovereenkomst is afgesloten kan de AP boetes opleggen.

Hiernaast moeten er afspraken worden gemaakt over de beveiliging van gegevens, duur van de verwerking en het verwijderen van de gegevens aan het einde van de opdracht. De verwerker dient er ook voor te zorgen dat iedereen die betrokken is bij de verwerking van de persoonsgegevens daar vertrouwelijk mee omgaat.

Boetes

Sinds 1 januari 2016 kan de AP boetes uitdelen bij een overtreding van de Wbp. Echter heeft de AP tot op heden nog geen enkele boete uitgedeeld, slechts waarschuwingen. Toch moeten organisaties er rekening mee houden dat bij ingang van de AVG de boetes fors hoger zullen zijn.

In figuur 6 is weergegeven welke boetes opgelegd kunnen worden volgens de AVG welke is uitgebracht door het Europees Parlement (2016):

21 Wijziging in drempel voor melden aan toezichthouder

De meldplicht van de AVG lijkt op die we kennen van artikel 34a onder de Wbp, maar kent een belangrijk tekstueel verschil. De Article 29 Data Protection Working Party (2018) heeft beschreven hoe zij de wetsartikelen interpreteert. Onder de Wbp is er sprake van een hoge drempel om te melden. Volgens artikel 34a lid één van de Wbp moet een datalek worden gemeld aan de AP als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van

persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van

persoonsgegevens. Onder de AVG dient volgens de Article 29 Data Protection Working Party sprake te zijn van doorbreking van de beveiliging waarbij iedere inbreuk in verband met persoonsgegevens moet worden gemeld bij de AP, tenzij het niet waarschijnlijk is dat deze een risico inhoudt.

SAMENVATTING

In deze paragraaf is antwoord gegeven op de vraag ‘Wat is de invloed van invoering van de AVG voor de sector gezondheid en welzijn’. De invoering van de AVG heeft de volgende consequenties voor organisaties in de sector gezondheid en welzijn.

- invoering van een verwerkingsregister; - invoering van privacy impact assessments; - aanstellen van een FG;

- strengere regels voor de verwerker van persoonsgegevens; - strengere eisen aan verwerkingsovereenkomsten;

- invoering van hogere boetes;

22

3 Casestudy’s in het praktijkonderzoek

In dit hoofdstuk wordt uiteengezet wat casestudy’s zijn en op welke wijze met casestudy’s kan worden vastgesteld dat de praktijk aansluit op de literatuur. Tevens zal uiteen worden gezet waar de casestudy’s zijn uitgevoerd.

3.1 Wat zijn casestudy’s?

In deze scriptie wordt gebruik gemaakt van casestudy’s als onderzoeksmethode en derhalve is het goed om te verduidelijken wat dit begrip inhoudt. Er zijn meerdere definities van een casestudy. Robson (2002) hanteert de volgende definitie: “een strategie voor het doen van onderzoek die

gebruikmaakt van een empirisch onderzoek van een bepaald hedendaags verschijnsel binnen de actuele context, waarbij van verschillende soorten bewijsmateriaal gebruik wordt gemaakt”. Yin

(2003) voegt hieraan toe “dat binnen een casestudy de grenzen tussen het verschijnsel dat wordt

bestudeerd en de context waarin het wordt bestudeerd, niet altijd even duidelijk zijn”. Bij een

casestudy kunnen verschillende methoden voor het verzamelen van gegevens worden toegepast, zoals: interviews, waarneming ter plaatse, documenten analyse en vragenlijsten.

Volgens Saunders en Lewis en Thornhill, (2004) is een casestudy geschikt om antwoord te geven op de vraag “waarom?”, en ook op de vragen “hoe?” en “wat?”. Deze vragen sluiten aan bij de

onderzoeksvraag van deze scriptie waarom zijn er zoveel datalekken in de sector gezondheid en welzijn, hoe kan dit en wat kunnen organisaties hieraan doen. Om data te verzamelen bij casestudy’s worden er drie methodes onderscheiden door Cooper en Schindler en Blumberg (2008) namelijk interviews, observaties en documentenstudies.

In deze scriptie zal data worden verzameld middels interviews. Interviews zijn de meest gebruikte bron voor het verzamelen van informatie. Interviews vormen een cruciaal onderdeel van veel casestudy’s aangezien de geïnterviewde waardevolle inzichten biedt in de probleemstelling en deze de interviewer kan wijzen op andere bronnen van bewijzen, zoals relevante documenten of andere bestaande studies. Vanuit de Universiteit van Amsterdam is het een vereiste om zes tot negen interviews uit te voeren.

Bij de interviews wordt een semi gestructureerde aanpak gehanteerd. Hierbij worden bij alle interviews dezelfde specifieke vragen gesteld, maar heeft de interviewer de ruimte of zijn of haar eigen gedachten te volgen. Hierdoor ontstaat er de mogelijkheid om op bepaalde antwoorden door te vragen of op onderwerpen door te vragen, waarop op voorhand geen rekening mee is gehouden. In figuur 7 is weergegeven hoe de vragen zijn ingedeeld.

Uitkomsten literatuuronderzoek

Setting the

scene

Toekomst

verwachting

Verleden

tot en met

heden

23 Als eerste wordt bij elk interview de setting duidelijk gemaakt, waarbij gedacht moet worden aan ‘met wie zit ik aan tafel’, ‘hoe belangrijk is informatiebeveiliging binnen deze organisatie’ en ‘hoe wordt dit beheerst’. Vervolgens wordt dieper ingegaan op wat er in het verleden tot en met het heden heeft plaatsgevonden bij de organisatie en wat hiervan de oorzaken waren. Als laatste wordt ingegaan op de verwachtingen van de inwerkingtreding van de AVG.

De vragenlijst is naar aanleiding van de uitkomsten literatuuronderzoek opgesteld. De systematiek van het beantwoorden van de deelvragen is hierbij losgelaten, omdat er een scope is aangebracht op de belangrijkste uitkomsten van het literatuuronderzoek. Op deze wijze wordt in de praktijk

onderzoek gedaan naar de kenmerken en oorzaken van datalekken, de beheersing van datalekken en de gevolgen van wet- en regelgeving op de beheersing van datalekken. In hoofdstuk vier wordt per behandeld onderwerp een vertaalslag gemaakt naar de relatie met het literatuuronderzoek. De gehanteerde vragenlijst is als bijlage twee opgenomen in deze scriptie waarbij tevens is vermeld op basis van welke paragraaf in het literatuuronderzoek de vraag tot stand is gekomen.

3.2 Wat is de relevantie van casestudy’s?

Deze scriptie is kwalitatief van aard waarbij het doel is om inzicht te krijgen in de verschillende interpretaties en opvattingen die mensen hebben en de betekenis die ze toekennen aan bepaalde gebeurtenissen of verschijnselen (Swaen, 2017). Waarbij in deze scriptie onderzocht wordt welke kenmerken eraan bijdragen dat organisaties in de sector gezondheid en welzijn persoonsgegevens lekken. Hierbij hebben we eerst een theoretisch kader uiteengezet middels literatuuronderzoek. De resultaten hiervan zijn opgenomen in hoofdstuk twee. In paragraaf 3.1 is uiteengezet dat een casestudy een geschikte methode is om antwoord te geven op de vraag “waarom?”, en ook op de vragen “hoe?” en “wat?”. Middels de casestudy’s kan derhalve vastgesteld worden of er een correlatie is tussen de resultaten uit de literatuur en de praktijk.

3.3 Waar zijn de casestudy’s uitgevoerd?

In deze paragraaf wordt uiteengezet bij welke deelnemers een casestudy is uitgevoerd en waarom de deelnemers representatief zijn voor de gehele populatie.

Nederland telt in 2014 volgens het Centraal Bureau voor de Statistiek (2017) 103 ziekenhuizen. In figuur 8 is zichtbaar op welke niveaus de ziekenhuizen in Nederland opgedeeld kunnen worden.

Figuur 8: Soort ziekenhuizen in Nederland

Een academisch ziekenhuis wordt ook wel een Universitair Medisch Centrum genoemd, omdat deze gelieerd zijn aan een universiteit via de opleiding geneeskunde. In academische ziekenhuizen worden operaties uitgevoerd die zo zeldzaam of ingewikkeld zijn, dat ze vrijwel alleen in deze ziekenhuizen uitgevoerd kunnen worden.