Wat kan er misgaan bij het verzenden van 450 mailtjes tegelijkertijd? | Dataplus

Door het invullen van een verkeerd veld door een medewerker van een zorggroep zijn de gegevens van honderden patiënten op straat komen te liggen.

E-mailadressen van patiënten van een zorggroep zijn verspreid door een fout van een medewerker. De verzender plakte alle e-mailadressen per abuis niet in het bcc-veld, maar in het normale ‘to’-veld, meldt een anonieme tipgever aan een landelijke nieuwsgroep.

Daardoor kregen alle geadresseerden de e-mailadressen van alle andere geadresseerden te zien. Het gaat om circa 450 geadresseerden, maar het is niet bekend hoeveel daarvan patiënten van de instelling zijn. “De mail is gestuurd naar 450 relaties”, zegt een woordvoerder van de zorggroep. “Ik kan niet aangeven wat hun relatie met ons is.”

Uit de e-mail blijkt echter dat de mail is opgesteld met patiënten in het achterhoofd: de geadresseerden worden uitgenodigd voor hun eerste afspraak op de nieuwe locatie van het autismecentrum.

Werkgevers

“Ik sta bij dit centrum op de wachtlijst en heb deze mail ook gehad”, meldt de tipgever. “Dit is vervelend, omdat ik niet weet hoe betrouwbaar die andere mensen zijn die deze mail hebben gehad. Dat mijn persoonlijke informatie op straat ligt, vind ik niet handig naar mijn huidige of toekomstige werkgevers.”

Volgens de Nederlandse Vereniging voor Autisme kunnen dit soort incidenten inderdaad vervelend zijn voor mensen met autisme. “Er hangt nog steeds een stigma rond autisme”, zegt woordvoerder Karol Henke. “Mensen met autisme worden nog steeds gediscrimineerd.”

Dat juist patiënten van deze zorggroep de dupe zijn, is bijzonder vervelend. “Mensen met autisme houden van afspraken. Daarom is een incident als dit bijzonder kwalijk, want het lekken van data mag niet.”

Extra meekijken

De zorggroep zegt de fout te betreuren. “We hebben onze excuses gemaakt aan de betrokkenen en melding gemaakt bij de Autoriteit Persoonsgegevens”, zegt woordvoerder Koen. “Daarnaast zullen dit soort mails vanaf nu alleen nog maar worden verstuurd als iemand extra meekijkt.”

Fouten met e-mail zijn de grootste bron van datalekken, blijkt uit cijfers van de Autoriteit Persoonsgegevens. Twee op de drie datalekken worden veroorzaakt doordat iemand persoonsgegevens naar het verkeerde adres stuurt. In hoeveel gevallen het gaat om fouten met het ‘bcc’-veld, is onbekend.

In dit geval is het datalek extra gevoelig omdat een groot deel van de geadresseerden dezelfde medische indicatie heeft: daardoor is er volgens de Autoriteit Persoonsgegevens sprake van medische informatie. “Gegevens over iemands gezondheid zijn gevoelig. De AVG bepaalt dan ook dat dit bijzondere persoonsgegevens zijn”, laat een woordvoerder weten.

Een nieuwe dag, een nieuw lek

Datalekken zijn aan de orde van de dag. De boetes kunnen flink oplopen. Het veilig omgaan met gegevens is daarom erg belangrijk. In de zorgsector wordt met gevoelige gegevens gewerkt. Eerder schreven wij al meer over Veilig data delen in de zorg. Het devies blijft: voorkomen is beter dan genezen.

Interesse?

Maak een afspraak met een AVG specialist om meer te weten te komen over ZIVVER of Mimecast!

Oplossingen Dataplus

Awareness & Training

De menselijke factor speelt een grote rol. Cybersecurity is meer dan systemen. Het gaat ook om het gedrag van medewerkers. Als uw medewerkers niet bewust zijn van de digitale gevaren om hun heen loopt uw bedrijf gevaar. U moet uw systemen natuurlijk veilig inrichten.

Maar uw personeel trainen en bewustmaken is even belangrijk. Om een beeld te krijgen van het awareness-niveau op het gebied van phishing kunt u een phishing campagne afnemen. Er hoeft maar één medewerker verkeerd te klikken bij echte phishing en uw organisatie kan onnodige schade oplopen. Een goede test en een goede les voor uw medewerkers.

Autoriteit Persoonsgegevens

Dat u aan awareness heeft gewerkt moet u ook kunnen aantonen aan de Autoriteit Persoonsgegevens in het geval van een datalek of hack. Een eenmalige test helpt u om verbeterpunten aan het licht te brengen. Bij een abonnement op Dataplus cybersecurity kunt u regelmatig uw volwassenheidsniveau meten en vastleggen in een rapport en een certificaat. Zo kunt u vastleggen per medewerker of ze voldoen aan de awareness-eisen. Dit is positief voor de aantoonbaarheid, maar heeft ook een positieve bijdrage aan de betrokkenheid.

De AVG schrijft expliciet sterke encryptie en authenticatie voor als beveiligingsmaatregel voor gevoelige informatie. Daarmee stelt de wet organisaties voor een uitdaging. Het feit dat menselijke fouten de belangrijkste oorzaak zijn van datalekken, maakt de uitdaging nog groter.

Monitoring

Het meten en vastleggen van potentiële verdachte activiteiten op een netwerk is belangrijk om uw preventie op orde te brengen. Als u dit combineert met goede logging dan bent u continue op de hoogte van uw situatie. Mocht er ondanks dat toch een datalek plaatsvinden dan kunt u de schade beperken en op een wettelijk verplichte en volledige manier rapporteren. Dan wordt het datalek geregistreerd in het datalekregister. Met uw datalekregister kunt u aan de Autoriteit Persoonsgegevens (AP) laten zien dat u zich houdt aan de meldplicht datalekken.

Als gecertificeerd partner van Mimecast en ZIVVER zijn wij gespecialiseerd in advies met betrekking tot Softwarelicenties, Cybersecurity, Clouddiensten en Software Asset Management. Daarnaast zijn wij een van de weinigen die in staat zijn u een totaaloplossing te bieden op basis van een unieke aanpak met betrekking tot cybersecurity.

Mimecast

Mimecasts S1 Advanced Threat Security-oplossing biedt alle medewerkers in uw organisatie bescherming tegen geavanceerde aanvallen zoals spearphishing (een gerichte vorm van phishing) en whaling (gerichte aanvallen op hooggeplaatste personen). Ook helpt deze cloudgebaseerde oplossing datalekken voorkomen. Ook kunt u voor geselecteerde medewerkers het Secure Large File Send (LFS) instellen. Mimecast is voor 100% vormgegeven en ontwikkeld voor de cloud en helpt duizenden organisaties bij het beheersen van de risico’s die aan e-mailen kleven. Mimecast biedt:

  • Een extra beveiligingslaag voor Office 365 tegen zich steeds verder ontwikkelende en veranderende bedreigingen
  • Whaling, bescherming van URL’s en bijlagen voor medewerkers en het bedrijf.
  • Een onafhankelijk, ongelimiteerd archief biedt een echt archief met toegang voor alle medewerkers en beheerders die behoefte hebben aan krachtige e-discovery.
  • Continuïteit in het versturen en ontvangen van e-mails, zelfs als Office 365 getroffen is door een storing.
  • Mimecast is ontwikkeld en gebouwd voor de cloud met alle mogelijkheden voor e-mailrisicomanagement die toegankelijk zijn via één beheerconsole.

ZIVVER

ZIVVER is een oplossing die organisaties helpt bij deze uitdagingen. Deze software geeft unieke bescherming tegen de grootste risico’s op datalekken.

Met ZIVVER-e-mail je zoals je gewend bent. De software waarschuwt nog vóór je een bericht verstuurt voor onbedoelde missers. ZIVVER ‘denkt mee’ of je wel de juiste inhoud, juiste ontvanger en juiste veiligheid hebt gekozen. Zo nodig stelt ZIVVER voor om het bericht aan te passen of extra beveiliging in te schakelen. Dit gebeurt op basis van de bedrijfsregels die speciaal voor jouw organisatie zijn ingesteld.

Verzending gebeurt altijd via een volledige versleutelde verbinding. Dat is uniek. Maar vooral heel simpel en veilig. Je kunt ook grote bestanden tot 5TB versturen via ZIVVER. Beperkingen in jouw mailbox of bij de ontvanger spelen geen rol. Mocht het toch fout gaan, dan kun je het verstuurde ZIVVER-bericht altijd terugtrekken. Het bericht is dan niet meer te lezen door de ontvanger. Hiermee voorkom of beperk je een datalek. In logs is informatie beschikbaar over wie, wanneer toegang tot het bericht had. Melding doen bij de Autoriteit Persoonsgegevens is daarmee makkelijk en in overeenstemming met de AVG.

Je kunt ZIVVER gebruiken via de Outlook plug-in, de ZIVVER-webapplicatie (voor Apple-gebruikers) of de mobiele app voor iOS of Android. Het werkt op elke smartphone, tablet en computer. Met ZIVVER communiceer je makkelijk met medewerkers of klanten die (nog) geen gebruikers zijn. Zij ontvangen per e-mail een melding dat er een veilig bericht voor hen klaar staat. Vervolgens kunnen zij hier – ook zonder account! – op reageren en ook bestanden terugsturen via ZIVVER.

Vragen?

Wilt u ook veiliger uw informatie delen binnen uw zorgorganisatie? Laat u adviseren door Dataplus over de mogelijkheden. Voor zorginstellingen bieden we speciale aanbiedingen en diensten. We brengen uw huidige situatie in kaart, geven de risico’s weer en geven u concrete oplossingen om uw cybersecurity helemaal op orde te brengen.

Neem direct contact met ons op of vul het contactformulier in en wij zullen met u contact opnemen!

TelefonischE-mailAfspraak op kantoor

Call Now Button
nl_NLNederlands
en_USEnglish nl_NLNederlands