Omgaan met privacygevoelige informatie, zoals patiëntgegevens, moet met grote omzichtigheid gebeuren. Hackers liggen immers op de loer, maar ook menselijke fouten kunnen ongewild schade veroorzaken. En hoe zit het intussen met Artificiële Intelligentie (AI) en privacy?
Alarmerend
Bij het versturen van gevoelige gegevens is
het zaak alert te zijn. Uit de
cijfers van de Autoriteit Persoonsgegevens, de Nederlandse
Gegevensbeschermingsautoriteit, blijkt immers dat 64% van de datalekken in de
eerste helft van 2018 ontstonden door het mailen van persoonsgegevens naar de
verkeerde ontvanger. Een cijfer, weliswaar uit Nederland, dat de wenkbrauwen
doet fronsen. Onze DPO Denis Hanjoul licht toe dat de GDPR hier
nochtans duidelijk over is en dat privacygevoelige gegevens alleen via beveiligde
mails verstuurd mogen worden. “In dergelijke gevallen, waarbij met name
gebruik wordt gemaakt van nieuwe technologieën, dient de
verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling
te verrichten om de specifieke waarschijnlijkheid en de ernst van de grote
risico’s te beoordelen, rekening houdend met de aard, omvang, context en doelen
van de verwerking en de bronnen van de risico’s.”
Phishing
En de risico’s zijn tegenwoordig niet min. Hackers zijn professioneler en
driester dan ooit wetend dat de impact voor organisaties in de zorgsector
catastrofaal kan zijn. Zo kwam de verzekeraar Allianz Partners
eind vorig jaar in het nieuws omdat medische info, adressen en bankgegevens van
160.000 Belgische klanten gestolen bleken. Ransomware wordt meestal verspreid
via frauduleuze mails, phishing, het is dan ook een kwestie van alert te zijn.
Doe hier
de test en ontdek of jij verdachte berichten herkent. En lees alvast deze tips.
Mobiel

In het Threat rapport van SophosLabs lezen we dat een goede beveiliging van het endpoint cruciaal is, maar dat ook geldt voor data op mobiele toestellen. Een bedrijfsmailbox op een slecht of niet beveiligd mobiel apparaat verleent immers heel makkelijk toegang tot bedrijfsdata. Denis Hanjoul raadt daarom aan om dus best ook je smartphone, iPad of laptop met een sterk wachtwoord of een privacy filter te beveiligen. Lees hier onze blog over de Siilo app, de gratis app voor zorgprofessionals.
Veilig

Sterke wachtwoorden zijn dus zeker noodzakelijk. Al te vaak stellen mensen zich tevreden met te voor de hand liggende cijfercombinaties zoals 123456 of woorden als qwerty, welkom, paswoord enz. waardoor ze de poort openzetten voor misbruik. Hier alvast een lijstje van te vermijden paswoorden.
Het probleem met wachtwoorden is echter dat je er op den duur een hele lijst van moet bijhouden. Een nuttige tool die hier komaf mee maakt, is LastPass, een toepassing van het Amerikaanse bedrijf LogMeIn. Eén wachtwoord genereert een unieke sleutel waarmee je jouw gegevens vergrendelt en ontgrendelt. Onze DPO analyseerde voor ons of deze tool GDPR proof is. Hier lees je meer over de technische en organisatorische maatregelen (TOMs) die het bedrijf LogMeIn treft. Het gaat dan met name om AES-256 bit encryptie, hashing, MFA (multi-factor authentication), enz. Je kan als gebruiker ook een verwerkersovereenkomst met hen afsluiten en je hebt de mogelijkheid je data te exporteren of te wissen. Meer uitleg over hun compliance met de GDPR vind je op hun website. DPO Hanjoul : “Een mogelijke zwakte ligt in het feit dat – in geval van een security breach – al je paswoorden voor het grijpen liggen, maar LastPass had de afgelopen 10 jaar slechts 1 incident en toen hadden de hackers enkel toegang tot geëncrypteerde hashes. Meer uitleg (voor de toffe nerds onder ons ) lees je hier. Wel is het zo dat ze
data van Europa naar Amerika sluizen, maar in principe staat de GDPR dat niet
in de weg. Ze handelen hier onder het EU-US Privacy Shield.”
Gevoelige informatie veilig versturen kan via file sharing solutions. In deze blog namen we WeTransfer, Telegram en Firefox Send onder de loep.
Artificiële
Intelligentie (AI) en privacy
En ten slotte, wat met AI toepassingen in de gezondheidszorg
zoals beeldherkenning, clinical decision support, voorspellende
analyse, virtuele assistent enz.? Op dit
moment is er nog geen specifieke AI-regelgeving,
maar er bestaan op Europees vlak wel guidelines
en als AI gebruikmaakt van persoonsgegevens is Artikel
22 van de GDPR van toepassing. Zolang AI echter niet
voldoende ontwikkeld is om als een essentieel onderdeel van kwaliteitsvolle
zorg te worden beschouwd, kan Artikel
9 lid 2 (h) van de GDPR, dat vermeldt dat de verwerking van patiëntgegevens
noodzakelijk is voor het verstrekken van gezondheidszorg, niet dienen als
rechtsgrond.
Het laatste woord is hiermee niet gezegd over dit thema. We zullen er ook in de komende weken vanuit diverse invalshoeken nog aandacht aan besteden.
Published by