Datalekken in de gezondheidszorg: hoogste aantal meldingen bij de Autoriteit Persoonsgegevens
In 2024 ontving de Autoriteit Persoonsgegevens (AP) opnieuw de meeste datalekmeldingen uit de sector Gezondheid & welzijn. In totaal ging het om 6.873 meldingen. De zorgsector staat daarmee al jarenlang bovenaan het overzicht van datalekmeldingen. Dat is niet verrassend, want zorginstellingen verwerken dagelijks grote hoeveelheden persoonsgegevens, zoals medische dossiers, labuitslagen en behandelplannen. Dit soort gegevens is gevoelig en persoonlijk. Een klein incident, zoals een brief met medische informatie die bij de verkeerde patiënt in de brievenbus valt, moet daarom al bij de AP worden gemeld.
Uit onderzoeken van de AP blijkt dat het in deze sector vaak gaat om menselijke fouten, zoals verkeerd geadresseerde brieven, foutieve e-mails of inzage door onbevoegde collega’s. Ook blijkt uit meldingen dat de manier van werken binnen zorginstellingen leidt tot meer risico op datalekken. Den daarbij aan veel handmatige handelingen en intensieve communicatie tussen verschillende afdelingen. Daarbij komt dat zorgorganisaties vaak wel protocollen hebben voor privacybescherming, maar dat de praktijk weerbarstig is. Het hoge aantal meldingen laat zien dat er structurele aandacht nodig is voor veilig omgaan met gegevens in de dagelijkse werkprocessen.
AI-chatbots veroorzaken onverwachte datalekken in de zorg
Opvallend in 2024 waren de meldingen over het gebruik van AI-chatbots. Medewerkers voerden persoonsgegevens in bij chatbots zoals taalmodellen, vaak uit gemak of tijdsdruk. Bijvoorbeeld om een e-mail op te stellen of een verslag te herschrijven.
Wat zij vaak niet beseffen, is dat deze gegevens terechtkomen bij externe aanbieders van de chatbot. Hierdoor ontstaat onbedoeld een datalek. De AP ontving in de zomer van 2024 meerdere meldingen over dit soort incidenten. In veel gevallen handelde de medewerker op eigen initiatief, zonder overleg met de organisatie.
Dit soort situaties laat zien hoe belangrijk het is om niet alleen technische maatregelen te nemen, maar ook medewerkers goed te informeren over nieuwe risico’s. Digitale hulpmiddelen zijn waardevol, maar vereisen duidelijk beleid en toezicht.
Papieren post blijft grote bron van datalekken in de zorg
Ondanks digitalisering blijft ook papieren communicatie een belangrijke bron van datalekken. In zorginstellingen worden nog vaak medische brieven verstuurd naar huisadressen of andere instellingen. Eén typefout in een adres kan al leiden tot een datalek. Ook komt het voor dat brieven in verkeerde enveloppen terechtkomen of door elkaar raken tijdens het verpakken.
Bijvoorbeeld: een patiënt ontvangt een brief met labuitslagen die bedoeld was voor iemand met een vergelijkbare naam. Of een medewerker verstuurt een verwijsbrief naar een oud adres, omdat het patiëntendossier niet tijdig is bijgewerkt. Ook komt het voor dat enveloppen met gevoelige informatie verkeerd worden gesorteerd door externe postverwerkers.
Juist in de zorg zijn deze fouten extra belastend. Patiënten vertrouwen erop dat hun gegevens zorgvuldig worden behandeld. Een datalek kan het vertrouwen ernstig schaden, zelfs als de gevolgen beperkt zijn. In sommige gevallen weigeren patiënten vervolgzorg, uit angst dat hun gegevens opnieuw op straat komen te liggen. Dat maakt het voorkomen van dit soort fouten belangrijk voor zowel privacy als zorgcontinuïteit.
Privacybewustzijn en trainingen voor zorgmedewerkers noodzakelijk
Zorginstellingen beschikken vaak over interne procedures voor datalekmeldingen. Toch is dat niet voldoende om fouten te voorkomen. Wat echt verschil maakt, is continue aandacht voor bewust omgaan met persoonsgegevens.
Trainingen helpen medewerkers om risico’s beter te herkennen. Denk aan e-learning of microlearning over privacyregels, praktijkvoorbeelden en het correct afhandelen van gegevens. Organisaties die investeren in trainingen zien vaak een daling in het aantal incidenten.
Daarnaast is het raadzaam om regelmatig phishingsimulaties uit te voeren. Hiermee testen organisaties hoe alert hun medewerkers zijn bij verdachte berichten. In sectoren met veel persoonsgegevens is dit een belangrijke maatregel om gegevens goed te beschermen.
Datalekken melden is belangrijk, maar voorkomen begint bij dagelijks handelen
Het hoge aantal datalekmeldingen in de zorgsector toont aan dat deze organisaties hun meldplicht serieus nemen. Dat is positief. Tegelijkertijd betekent het ook dat er dagelijks risico’s zijn. Die risico’s verdwijnen niet vanzelf. Daarom is het belangrijk om dataveiligheid te zien als een vast onderdeel van het werk. Niet als een eenmalig project, maar als iets dat meegroeit met de praktijk. Met duidelijke afspraken, doorlopende privacybewustzijn, begrijpelijke richtlijnen en actieve betrokkenheid van alle medewerkers. Zo wordt privacy geen blokkade, maar een vanzelfsprekend onderdeel van goede zorg.
