Diefstal van medische gegevens is een probleem dat veel vaker voorkomt dan voorheen werd gedacht. Hiervan is sprake in 18 van de 20 branches die werden geanalyseerd voor het onlangs gepubliceerde ‘Verizon 2015 Protected Health Information Data Breach Report’. De meeste organisaties buiten de gezondheidszorg beseffen zich niet eens dat zij medische gegevens in hun bezit hebben. Vaak gaat het om vertrouwelijke medische informatie van werknemers zoals zorgdeclaraties en informatie over deelname aan gezondheidsprogramma’s. Deze gegevens worden over het algemeen onvoldoende beschermd.
Dit zijn enkele bevindingen van het eerste rapport van het Data Breach Investigations Report (DBIR)-team van Verizon dat een gedetailleerde analyse biedt van bevestigde gevallen van PHI*-diefstal waarbij in totaal meer dan 392 miljoen gegevensbestanden werden buitgemaakt. Verizon deed hiervoor onderzoek naar 1.931 incidenten in 25 landen waaronder Nederland.
“Veel organisaties doen niet genoeg om deze bijzonder gevoelige en vertrouwelijke informatie te beschermen”, zegt Suzanne Widup, senior security analyst en hoofdredacteur van het rapport van Verizon Enterprise Solutions. “Dit kan ingrijpende gevolgen hebben voor de betrokken personen en hun familie, en resulteert daarnaast in hogere zorgkosten voor overheden, organisaties en particulieren. Beschermde medische gegevens zijn momenteel een zeer gewild doelwit voor cybercriminelen.”
Volgens recente onderzoeken waarnaar het rapport verwijst, houden mensen soms cruciale informatie achter voor zorgverleners omdat zij zich zorgen maken over de mogelijkheid dat hun medische gegevens worden gestolen.
“Zorginstellingen moeten zich beseffen dat patiënten hun persoonlijke informatie aan hen toevertrouwen, en dat het beschamen van dit vertrouwen verstrekkende gevolgen kan hebben”, aldus Widup.
Het rapport noemt als voorbeeld dat terughoudendheid met informatie een snelle diagnose van een overdraagbare ziekte in de weg zou kunnen zitten, zeker als het gaat om een aandoening waarop een sociaal stigma rust.
Hoe PHI-incidenten verschillen van andere vormen van gegevensdiefstal
Incidenten waarbij medische gegevens worden gestolen, wijken op verschillende manieren af van de eerdere incidenten waarover Verizon gegevens verzamelde voor zijn DBIR-reeks. Een van de aspecten die afwijkt, is het type aanvaller. Bij deze PHI-incidenten is het aantal betrokkenen binnen en buiten de organisatie vrijwel gelijk, met slechts vijf procentpunten verschil. Medische gegevens worden dus vaak gestolen door insiders.
Volgens het rapport zijn aanvallers vooral uit op persoonlijk herleidbare informatie in medische dossiers, zoals creditcardnummers en Burgerservicenummers. Deze informatie kunnen zij gebruiken voor financiële misdrijven en belastingfraude.
Er is ook sprake van verschillen in de manier waarop medische gegevens worden buitgemaakt. De meest voorkomende oorzaak is de diefstal van draagbare apparaten (laptop, tablets, USB-sticks), gevolgd door menselijke fouten zoals het verzenden van een medisch dossier naar de verkeerde ontvanger of het verlies van een laptop. De derde meest voorkomende oorzaak is misbruik van toegangsrechten door werknemers. Deze drie oorzaken staan aan de basis van 86 procent van alle gevallen van diefstal van medische gegevens.
Volgens het rapport van Verizon verstrijken er vaak maanden of zelfs jaren voordat een incident wordt gedetecteerd. In het laatste geval is de kans drie keer hoger dat er sprake was van een insider die misbruik maakte van zijn of haar toegangsrechten binnen het LAN, en is de kans twee keer zo groot dat het doelwit een server was, en waarschijnlijk een database die daarop draaide.
Hoe diefstal van medische gegevens kan worden voorkomen
Gedetailleerde medische gegevens kunnen het eenvoudiger maken voor cybercriminelen om zich schuldig te maken aan identiteitsdiefstal en het indienen van frauduleuze zorgdeclaraties. Onderzoeksjournalisten en brancheanalisten blijven hun licht werpen op de diefstal van deze uiterst persoonlijke gegevens om de broodnodige aandacht voor dit probleem te vragen.
Volgens het rapport van Verizon heeft bijna de helft van de Amerikaanse bevolking sinds 2009 te maken gekregen met de diefstal van medische informatie. De FBI heeft zorginstellingen begin 2015 hiervoor gewaarschuwd. Het gaf daarbij aan dat de zorgsector minder goed is voorbereid op cyberaanvallen dan de financiële sector en detailhandel. Het noemt de kans op gegevensdiefstal in de zorgsector dan ook ‘waarschijnlijk’.
Om een oplossing voor dit probleem te bieden, reikt Verizon in zijn rapport inzichten en aanbevelingen aan die organisaties helpen om hun gegevens effectief te beschermen. Verizon wijst er daarnaast op dat medische gegevens op veel meer locaties kunnen zijn opgeslagen dan organisaties zich mogelijk beseffen.