IT-student vindt datalek bij tandartsen

Lang hoefde hij er niet voor te zoeken: slechts drie à vier minuten, laat Koers weten aan de NOS. Die op het datalek stuitte toen hij een gastles voorbereidde. De praktijken maakten de gegevens per ongeluk toegankelijk in Zorgsom, een systeem waarmee patiënten een indicatie kunnen krijgen van hoeveel ze terugkrijgen van hun zorgverzekering. De gegevens waren niet voorzien van wachtwoorden of andere beveiligingsmaatregelen. Koers kon zelfs de data van de patiënten aanpassen.

Met de nieuwe privacywet AVG, ook wel GDPR geheten, die op 25 mei ingaat, kan dit soort datalekken worden bestraft, laat Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens weten aan de NOS. "Nu kunnen we alleen boetes opleggen als sprake is van opzet of schuld. Maar straks geldt: als het fout is, is het fout." Juist in een sector die zoveel met gevoelige informatie werkt, is dat volgens hem belangrijk.

Zorg is koploper

Sinds 2016 moeten datalekken verplicht worden gemeld bij de Autoriteit Persoonsgegevens. De zorg is koploper bij het lekken van data. Van de tienduizend datalekken die vorig jaar zijn gemeld, zouden bijna een derde uit de zorg afkomstig zijn. Vooral ziekenhuizen en apotheken lekten veel data, in de meeste gevallen door informatie per ongeluk naar de verkeerde persoon te sturen. Daar staat volgens Wolfsen tegenover dat de zorg volgens hem datalekken relatief snel en goed meldt.

Wolfsen vertelt de NOS dat tegen dit soort datalekken straks sneller en makkelijker op kan worden getreden.

De NOS heeft een video op de site staan waarin Koers uitlegt hoe hij per toeval de gegevens van duizenden patiënten ontdekte.