Omgaan met privacygevoelige informatie, zoals patiëntgegevens, moet met grote omzichtigheid gebeuren. Hackers liggen immers op de loer, maar ook menselijke fouten kunnen ongewild schade veroorzaken. En hoe zit het intussen met Artificiële Intelligentie (AI) en privacy?

Alarmerend
Bij het versturen van gevoelige gegevens is het zaak alert te zijn. Uit de cijfers van de Autoriteit Persoonsgegevens, de Nederlandse Gegevensbeschermingsautoriteit, blijkt immers dat 64% van de datalekken in de eerste helft van 2018 ontstonden door het mailen van persoonsgegevens naar de verkeerde ontvanger. Een cijfer, weliswaar uit Nederland, dat de wenkbrauwen doet fronsen. Onze DPO Denis Hanjoul licht toe dat de GDPR hier nochtans duidelijk over is en dat privacygevoelige gegevens alleen via beveiligde mails verstuurd mogen worden. “In dergelijke gevallen, waarbij met name gebruik wordt gemaakt van nieuwe technologieën, dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de grote risico’s te beoordelen, rekening houdend met de aard, omvang, context en doelen van de verwerking en de bronnen van de risico’s.”

Phishing
En de risico’s zijn tegenwoordig niet min. Hackers zijn professioneler en driester dan ooit wetend dat de impact voor organisaties in de zorgsector catastrofaal kan zijn. Zo kwam de verzekeraar Allianz Partners eind vorig jaar in het nieuws omdat medische info, adressen en bankgegevens van 160.000 Belgische klanten gestolen bleken. Ransomware wordt meestal verspreid via frauduleuze mails, phishing, het is dan ook een kwestie van alert te zijn. Doe hier de test en ontdek of jij verdachte berichten herkent. En lees alvast deze tips.

Mobiel

In het Threat rapport van SophosLabs lezen we dat een goede beveiliging van het endpoint cruciaal is, maar dat ook geldt voor data op mobiele toestellen. Een bedrijfsmailbox op een slecht of niet beveiligd mobiel apparaat verleent immers heel makkelijk toegang tot bedrijfsdata. Denis Hanjoul raadt daarom aan om dus best ook je smartphone, iPad of laptop met een sterk wachtwoord of een privacy filter te beveiligen. Lees hier onze blog over de Siilo app, de gratis app voor zorgprofessionals.

Veilig

Sterke wachtwoorden zijn dus zeker noodzakelijk. Al te vaak stellen mensen zich tevreden met te voor de hand liggende cijfercombinaties zoals 123456 of woorden als qwerty, welkom, paswoord enz. waardoor ze de poort openzetten voor misbruik. Hier alvast een lijstje van te vermijden paswoorden.
Het probleem met wachtwoorden is echter dat je er op den duur een hele lijst van moet bijhouden. Een nuttige tool die hier komaf mee maakt, is LastPass, een toepassing van het Amerikaanse bedrijf LogMeIn. Eén wachtwoord genereert een unieke sleutel waarmee je jouw gegevens vergrendelt en ontgrendelt. Onze DPO analyseerde voor ons of deze tool GDPR proof is. Hier lees je meer over de technische en organisatorische maatregelen (TOMs) die het bedrijf LogMeIn treft. Het gaat dan met name om AES-256 bit encryptie, hashing, MFA (multi-factor authentication), enz. Je kan als gebruiker ook een verwerkersovereenkomst met hen afsluiten en je hebt de mogelijkheid je data te exporteren of te wissen. Meer uitleg over hun compliance met de GDPR vind je op hun website. DPO Hanjoul : “Een mogelijke zwakte ligt in het feit dat – in geval van een security breach – al je paswoorden voor het grijpen liggen, maar LastPass had de afgelopen 10 jaar slechts 1 incident en toen hadden de hackers enkel toegang tot geëncrypteerde hashes. Meer uitleg (voor de toffe nerds onder ons ) lees je hier.  Wel is het zo dat ze data van Europa naar Amerika sluizen, maar in principe staat de GDPR dat niet in de weg. Ze handelen hier onder het EU-US Privacy Shield.”

Gevoelige informatie veilig versturen kan via file sharing solutions. In deze blog namen we WeTransfer, Telegram en Firefox Send onder de loep.

Artificiële Intelligentie (AI) en privacy
En ten slotte, wat met AI toepassingen in de gezondheidszorg zoals beeldherkenning, clinical decision support, voorspellende analyse, virtuele assistent enz.? Op dit moment is er nog geen specifieke AI-regelgeving, maar er bestaan op Europees vlak wel guidelines en als AI gebruikmaakt van persoonsgegevens is Artikel 22 van de GDPR van toepassing. Zolang AI echter niet voldoende ontwikkeld is om als een essentieel onderdeel van kwaliteitsvolle zorg te worden beschouwd, kan Artikel 9 lid 2 (h) van de GDPR, dat vermeldt dat de verwerking van patiëntgegevens noodzakelijk is voor het verstrekken van gezondheidszorg, niet dienen als rechtsgrond.

Het laatste woord is hiermee niet gezegd over dit thema. We zullen er ook in de komende weken vanuit diverse invalshoeken nog aandacht aan besteden.