Het was deze weer weer regelmatig raak. Meerdere organisaties kwamen in het nieuws door tekort schieten beveiliging. Voor het Amsterdamse ziekenhuis OLVG resulteerde dit zelfs in een boete van de Autoriteit Persoonsgegevens. In dit artikel bespreken we drie nieuwsartikelen van deze week.
Verduistering en heling bij Defensie
Maandag 8 februari 2021 verschenen twee medewerkers van het facilitair bedrijf van defensie voor de meervoudige kamer van de rechtbank in Arnhem. Ze worden verdacht van verduistering van onder andere stoelen, wasdrogers, koelkasten en 154 rolkasteduren. Deze zaak telt in totaal vijf verdachten, meldt de Stentor.
Defensie ontdekte de zaak doordat medewerkers van de kazerne in Apeldoorn kwamen deze spullen tegen op Markplaats. Na de aangifte is de Koninklijke Marechaussee een onderzoek gestart.
Het Openbaar Ministerie (OM) verdenkt de verdachten ervan als sinds begin 2018 meubilair en elektrische apparaat te hebben gestolen. Een van de verdachten zou bovendien papierwerk hebben vervalst om het verdwijning van de 154 rolkastdeuren te verbergen.
Opnieuw beveiligingsproblemen GGD
Enkele weken geleden kwam in het nieuws dat de beveiliging van persoonsgegevens bij de GGD niet op orde is. Deze week bleek ook de beveiliging van de website coronatest.nl niet op orde te zijn. De NOS heeft stukken in handen waaruit dit blijkt. Via deze website kunnen mensen testafspraken maken en hun testuitslagen zien. Voor het maken van afspraken registreert de website onder andere gegevens zoals e-mailadressen, postcodes en telefoonnummers. Daarnaast verwerkt de website ook Burgerservicenummers. Stuk voor stuk waardevolle informatie voor criminelen. Deze informatie helpt hun bij criminele activiteiten zoals bijvoorbeeld phising.
Vanwege het gebruik van DigiD moet de website aan een aantal (strenge) beveiligingseisen voldoen. Sinds de lancering van de website op 12 augustus 2020 wordt niet aan alle eisen voldaan. De overkoepelende organisatie GGD GHOR heeft in een reactie laten weten dat ze volop bezig zijn om te voldoen aan een zestal eisen. Bij sommige eisen hebben ze echter drie weken vertraging opgelopen.
Doordat de beveiliging van de website flink tekort schiet zou het ministerie van Binnenlandse Zaken de website af te sluiten van DigiD. Het maken van een testafspraak of het inzien van de testuitslag is dan niet meer mogelijk.
Onbevoegde toegang tot medische dossier bij OLVG
Signalen uit de media, twee datalekker én een tip van een burger; het leidde ertoe dat de Autoriteit Persoonsgegevens (AP) een onderzoek startte naar het ziekenhuis OLVG. Na het onderzoek concludeerde de AP dat het OLVG niet goed omging met toegang tot de medische dossiers van patiënten. Het OLVG krijgt hiervoor een boete opgelegd van €440.000.
Medisch dossier
In een medisch dossier staan de medische gegevens over de gezondheid van een patiënt. Daarnaast bevat het dossier ook andere persoonsgegevens zoals adressen, telefoonnummers en Burgerservicenummers. Gegevens die gebruikt worden voor bijvoorbeeld identiteitsfraude. Het is dus belangrijk dat deze gegevens goed zijn beveiligd.
Onbevoegde toegang tot dossiers
Het ziekenhuis hield bij wie wanneer een medisch dossier bekeek door middel van ‘logging’. Maar deze ‘logs’ werden niet regelmatig gecontroleerd. Hierdoor werd onbevoegde toegang niet tijdig worden gesignaleerd. Daarnaast maakte het OLVG géén gebruik van een zo geheten two-factor authenticatie. Het gebruik van two-factor authenticatie maakt het lastiger om onbevoegde toegang te krijgen. Door deze methode niet te gebruiken…
Zorgsector
Ondanks dat de zorg veel met de meest gevoelige persoonsgegevens werkt, is de beveiliging hiervan vaak niet goed. Het AP stelt dat de zorgsector in de top 3 van sectoren staat met de meeste datalekken. Zij roepen zorginstellingen dan ook op om nogmaals goed na te denken over de gegevensbescherming.
Wijzigingen doorgevoerd
Het OLVG heeft inmiddels de bescherming van persoonsgegevens verbeterd. Ze werken nu met een two-factor authenticatie én controleren de logging structureel.
0 Reacties