Groot datalek bij Jeugdzorg. Wat kan je er van leren?

Uit onderzoek van RTL Nieuws blijkt dat door een fout bij Bureau Jeugdzorg Utrecht dossiers van duizenden kwetsbare kinderen zijn gelekt. De door twee klokkenluiders aangeleverde documenten maken de onzorgvuldigheid in de zorgsector pijnlijk duidelijk.

Wat ging er mis?

In 2015 heeft Bureau Jeugdzorg Utrecht zijn naam veranderd in Samen Veilig Midden-Nederland (SAVE). Toen drie jaar later de oude website offline ging kwam de oude domeinnaam vrij. SAVE stuurt patiëntdossiers onbeveiligd en geautomatiseerd naar e-mailadressen van verschillende werknemers; ook naar e-mailadressen die nog aan de oude website zijn gekoppeld. De dossiers werden verstuurd in platte tekst zonder beveiliging of authenticatie. Door het registreren van de oude domeinnaam kreeg men de beschikking over deze zeer gevoelige informatie.

Wat leren we hiervan?

Een goede toepassing van de AVG gaat verder dan het vaststellen van beleid en het creëren van awareness bij medewerkers. Het is belangrijk om in ieder onderdeel van de bedrijfsvoering oog te hebben voor privacy en passende beveiligingsmaatregelen. Zo voorkomt u kwetsbaarheden die kunnen leiden tot een datalek.

Wat leren we hiervan?

Wees zorgvuldig met persoonsgegevens en het versturen of delen daarvan. Breng bij (grote) IT- of organisatieveranderingen de risico’s en kwetsbaarheden van uw IT-infrastructuur in kaart door het uitvoeren van een PIA (Privacy Impact Assessment). Het kan bijvoorbeeld gaan om het beheer van ongebruikte domeinnamen, databases en verouderde e-mailboxen.

Zorg voor een e-mailbeleid, waarin u bijvoorbeeld kunt vaststellen dat gezondheidsgegevens altijd beveiligd worden verzonden. Implementeert u een beveiligde e-mailoplossing maar is deze nog niet compatibel met alle systemen die u gebruikt? Documenteer dan om welke systemen het gaat, zodat u alert bent op de kwetsbaarheden en deze bij een volgende wijziging of overgang op een ander systeem kunnen worden meegenomen.

Kortom: denk bij ieder bedrijfsproces aan de privacy en passende beveiligingsmaatregelen en documenteer deze.

Kunnen wij u helpen?

Wilt u weten of u de juiste stappen heeft genomen om de AVG te implementeren in uw organisatie? Of wilt u weten welke veranderingen nodig zijn om volledig aan de AVG te voldoen?

Onze AVG Juristen ondersteunen u graag. Neem contact op met AVG Juristen voor een vrijblijvende kennismaking.

Keshia Echter

mr. K.S. (Keshia) Echter

privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Zaamzorg Amsterdam, PRO Groep, Kindercentrum Panta Rhei, stichting Nieuw Unicum en Equipe Zorgbedrijven.

AVG Juristen, praktisch met privacy

Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.

Krijg een persoonlijk consult.

Bel ons vandaag nog 030 – 785 27 91