Lessen voor de praktijk uit twee onderzoeken van het College bescherming persoonsgegevens.

Auteur: Sofie van der Meulen, Axon advocaten

Het College bescherming persoonsgegevens (hierna: ‘CBP’) houdt toezicht op de naleving en toepassing van wetten die het gebruik van persoonsgegevens regelen. De Wet bescherming persoonsgegevens (hierna: ‘Wbp’) stelt eisen aan het verwerken (zoals opslaan en verzamelen) van persoonsgegevens. Persoonsgegevens zijn gegevens betreffende een geïdentificeerde of identificeerbare persoon. Op 11 september en 27 november 2014 publiceerde het CBP onderzoeksrapporten over de verwerking en beveiliging van persoonsgegevens. Het eerste onderzoek betreft de verwerking van persoonsgegevens via de app en website Okki Gekke-bekken-club. Het tweede rapport gaat over een onderzoek naar de beveiliging van het netwerk van het Groene Hart Ziekenhuis. De rapporten laten zien waar het CBP op let als het toetst of voldaan wordt aan de eisen die de Wbp stelt.

Rapport Okki Gekke-bekken-club
Het onderzoeksrapport ‘Kapers op de kust – over het kapen van persoonsgegevens door kinderapps’ van de organisatie Mijn Kind Online, verschenen op 15 juli 2014, was voor het CBP aanleiding om een onderzoek in te stellen naar de app Okki Gekke-bekken-club van Blink Uitgevers B.V.

De app was erop gericht jonge kinderen te stimuleren hun tanden goed te poetsen. Via de app konden kinderen een foto van hun gebit maken en deze foto opsturen naar de website www.gekkebekkenclub.nl. Daarnaast werd de optie om naam, leeftijd, woonplaats en e-mailadres in te vullen aangeboden. Kinderen konden een plaatje van een dier kiezen om hun gezicht te verhullen zodat er geen herkenbare foto’s op de website gepubliceerd zouden worden. Vastgesteld is dat er echter ook niet-gemaskeerde foto’s van kinderen gepubliceerd zijn, met daarbij een vermelding van de naam, leeftijd en de woonplaats.

Geen toestemming om persoonsgegevens te verwerken
Om persoonsgegevens rechtmatig te mogen verwerken is er een grondslag nodig voor de verwerking. Een van die grondslagen is ondubbelzinnige toestemming van de betrokkene. Hoewel de app de kinderen expliciet vroeg om akkoord te gaan met het versturen van de foto en de publicatie op internet was dit niet voldoende. Kinderen kunnen namelijk geen rechtsgeldige toestemming geven als zij jonger dan 16 jaar zijn. Kinderen die moeten leren tanden poetsen hebben duidelijk deze leeftijd nog niet bereikt. Voor een rechtmatige verwerking van persoonsgegevens is in een dergelijk geval de toestemming van de wettelijk vertegenwoordiger vereist. Kinderen en ouders moeten deze toestemming altijd weer kunnen intrekken en de gegevens kunnen laten verwijderen.

Niet voldaan aan informatieplicht en meldplicht
De app bevatte geen waarschuwing dat de kinderen toestemming moesten vragen aan hun ouders, en de website en app boden geen mogelijkheid tot intrekking van de toestemming. Zowel de app als de website bevatten geen privacy beleid of andere informatie over de verwerking van persoonsgegevens en de doeleinden van de verwerking. Dit is in strijd met de informatieverplichtingen uit de Wbp en de algemene verplichting uit de Wbp om persoonsgegevens op behoorlijke en zorgvuldige wijze te verwerken.

Daarnaast heeft het CBP vastgesteld dat Blink Uitgevers geen meldingen heeft gedaan van het verwerken van persoonsgegevens. Inmiddels zijn deze meldingen gedaan.

Gegevens onvoldoende beveiligd bij verzending
Het e-mailadres werd weliswaar niet gepubliceerd op de website, maar werd, evenals de andere gegevens, onversleuteld verzonden via internet. Het CBP oordeelt dat de gegevens daarom onvoldoende beveiligd waren en geeft aan dat het gebruik van SSL een algemene aanvaarde en technisch eenvoudige maatregel is om de gegevens te beveiligen.

Lessen uit dit rapport voor het verwerken van persoonsgegevens via apps en websites:

• Zorg voor de juiste grondslag voor de verwerking van persoonsgegevens.
• Informeer gebruikers over de wijze van verwerking van persoonsgegevens, de doeleinden van de verwerking en de rechten en plichten van betrokkene in een privacy beleid.
• Zorg voor passende maatregelen om persoonsgegevens te beveiligen tegen onrechtmatige verwerking of verlies. Gebruik in ieder geval SSL voor het verzenden van gegevens via internet.

Rapport beveiliging netwerk Groene Hart Ziekenhuis
Door een beveiligingslek zijn in 2012 patiëntgegevens van het Groene Hart Ziekenhuis (hierna: ‘GHZ’) toegankelijk geweest via internet. Nadat destijds geconstateerd is dat de beveiliging gebreken vertoonde heeft het CBP het GHZ verzocht om aan te tonen dat de beveiliging van patiëntgegevens in overeenstemming is gebracht met artikel 13 Wbp.

Artikel 13 Wet bescherming persoonsgegevens
Op basis van dit artikel moeten passende technische en organisatorische maatregelen genomen worden om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen moeten een passend beveiligingsniveau garanderen gelet op de risico’s van de verwerking en de aard van de te beschermen gegevens. Wat is nu de reikwijdte van het begrip ‘passende maatregelen’?

De beveiliging moet in ieder geval voldoen aan de stand der techniek. Daarnaast moeten de maatregelen in verhouding staan tot de aard van de te beschermen gegevens. Medische gegevens behoren tot de categorie van bijzondere persoonsgegevens onder de Wbp. Dit betekent dat er hogere eisen aan de beveiliging van deze gegevens worden gesteld dan aan de beveiliging van ‘gewone’ persoonsgegevens. De norm NEN-7510 geeft aanwijzingen voor het toepassen van de Code voor informatiebeveiliging (NEN-ISO/IEC 27002) in de gezondheidszorg. Daarnaast leggen de CBP richtsnoeren ‘Beveiliging van persoonsgegevens’ uit hoe het CBP met de norm van artikel 13 Wbp omgaat.

Wie moet de maatregelen nemen?
De ‘verantwoordelijke’ is verantwoordelijk voor het nemen van beveiligingsmaatregelen. De Wbp definieert de ‘verantwoordelijke’ als degene die, al dan niet gezamenlijk met een ander, het ‘doel en de middelen voor de verwerking van persoonsgegevens vaststelt’. De ‘bewerker’ is degene die ten behoeve van de verantwoordelijke de gegevens verwerkt, zonder aan het rechtstreeks gezag van de verantwoordelijke te zijn onderworpen. Als de verantwoordelijke het systeem laat beheren door een bewerker moet de verantwoordelijke ervoor zorgen dat de bewerker voldoende waarborgen biedt ten aanzien van de beveiliging en daarop toezien. Hiervoor is op grond van de Wbp een bewerkersovereenkomst vereist.

Onderzoek CBP
In reactie op het verzoek van het CBP heeft het GHZ een auditrapport toegestuurd. Uit dit rapport blijkt dat het GHZ weliswaar verbetermaatregelen heeft getroffen, maar dat er diverse medische systemen op het netwerk zijn aangesloten waarop end of life besturingssoftware draait. End of life software is software die niet meer bijgewerkt wordt door de leverancier op het gebied van beveiliging. De medische systemen in het GHZ hebben toegang tot het internet via het netwerk. Het netwerk is niet gesegmenteerd waardoor een eenmaal geïnfecteerd systeem een bedreiging vormt voor andere aan het netwerk gekoppelde systemen waarin medische gegevens van patiënten worden verwerkt.

Het CBP heeft hierop besloten zelf te onderzoeken of de beveiliging van patiëntgegevens in het GHZ voldoet aan artikel 13 Wbp. Het GHZ moet in ieder geval aan de volgende eisen voldoen:

• Beveiligingsrisico’s (doorlopend) in kaart brengen;
• Organisatorische en/of technische maatregelen treffen om de geconstateerde risico’s zoveel mogelijk te beperken (denk hierbij bijvoorbeeld aan updates);
• Het netwerk beveiligen door (technische) scheiding zoals segmentering van diverse domeinen waar het een groot netwerk betreft.

Oordeel end of life software: ernstig beveiligingsrisico
End of life software maakt het netwerk kwetsbaar voor inbreuken. De software wordt niet up-to-date gehouden zoals voorgeschreven in de richtsnoeren beveiliging van het CBP. Het gebrek aan updates en controle van de software werkt de aanwezigheid van onbekende beveiligingsrisico’s in de hand. Het GHZ heeft zelfs aangegeven dat sommige systemen niet meer gescand kunnen worden omdat het risico bestaat dat het systeem dan uitvalt. Ook weet het GHZ van een aantal medische apparaten niet op welke software ze draaien. Dit alles zorgt ervoor dat er niet passend en tijdig actie ondernomen kan worden in het geval van een geïdentificeerde bedreiging. Gebruik van end of life software zonder aanvullende maatregelen te treffen is daarom in strijd met artikel 13 Wbp.

Updates van software: let op bij inkoopprocedures
CBP heeft met de Nederlandse Vereniging van Ziekenhuizen (hierna: ‘NVZ’) gesproken over het gebruik van apparatuur die draait op end of life software. Dit komt volgens de NVZ bij meerdere ziekenhuizen voor. Het blijkt daarnaast lastig te zijn om updates af te dwingen bij leveranciers. Dit is een punt van aandacht voor inkooptrajecten.

Oordeel niet gesegmenteerd netwerk: ernstig beveiligingsrisico in strijd met artikel 13 Wbp
Een niet gesegmenteerd netwerk draagt het risico in zich dat er in een geval van een inbreuk in een van de aangesloten systemen, het hele netwerk direct bereikbaar is voor verdere inbreuken. In combinatie met end of life software en toegang tot internet via het netwerk is het gebruikmaken van een niet gesegmenteerd netwerk in beginsel in strijd met artikel 13 Wbp, tenzij er passende aanvullende maatregelen worden genomen.

Ook aanvullende maatregelen niet voldoende
Het GHZ heeft aanvullende maatregelen genomen door het netwerk te laten monitoren en te beschermen met een Intrusion Prevention Systeem (IPS) tussen het interne netwerk en het internet en door een firewall te implementeren. Alleen bekende verdachte verkeersstromen worden gemonitord. Ook zal gewerkt worden aan segmentering van het netwerk, maar dit zal niet voor april 2016 gereed zijn. De aanvullende monitoring is volgens het CBP onvoldoende omdat alleen bekende verdachte verkeersstromen bekeken worden, terwijl end of life software nu juist het risico van onbekende kwetsbaarheden in zich draagt. Deze worden op deze manier pas achteraf, na een beveiligingsincident, gedetecteerd. Daarnaast is monitoring door de firewall te beperkt omdat er niet structureel gerapporteerd wordt over de beveiliging door de beheerder. Reactieve monitoring is onvoldoende om aan artikel 13 Wbp te voldoen. Volgens het CBP zou het GHZ het netwerk proactief moeten monitoren door bijvoorbeeld de logbestanden dagelijks te controleren, te bepalen of er sprake is van technische kwetsbaarheden en hier opvolging aan te geven.

Bij afwezigheid van proactieve monitoring kan toch nog voldaan worden aan de vereisten van artikel 13 Wbp als er andere maatregelen genomen zijn om de persoonsgegevens te beveiligen. Als voorbeeld noemt het CBP het regelmatig uitvoeren van penetratietesten op de apparatuur die draait op end of life software. Hierover heeft het GHZ verklaard dat deze testen niet zullen plaatsvinden omdat het vermoeden al bestaat dat een deel van de apparatuur kwetsbaarheden zal vertonen. Het uitvoeren van een penetratietest brengt daarom risico’s met zich mee en vergt bovendien veel tijd. Het CBP geeft aan dat dit geen reden is om van inventarisatie af te zien. Bovendien snijdt het GHZ zich met de verwijzing naar het vermoeden van kwetsbaarheden in de vingers. Dit betekent namelijk dat het GHZ geen actie onderneemt op geconstateerde beveiligingsrisico’s.

Het CBP concludeert dat het GHZ in strijd handelt met artikel 13 Wbp. Later heeft het GHZ tegen deze conclusie zienswijzen ingediend en zijn er aanvullende maatregelen genomen waarmee het GHZ inmiddels niet meer in strijd handelt met artikel 13 Wbp.

Lessen voor de beveiliging van patiëntgegevens:

• Inventariseer alle software en wanneer deze end of life is. Zorg voor tijdige updates van de software en vervang de end of life software omdat deze niet meer wordt ondersteund door de leverancier.
• Geadviseerd wordt om end of life software niet te gebruiken, maar als vervanging niet direct mogelijk is zorg dan voor aanvullende maatregelen om beveiligingsrisico’s zoveel mogelijk te beperken. Het systeem afkoppelen van het netwerk of op een gescheiden netwerk plaatsen met strikte toegangscontrole zijn maatregelen die hiervoor genomen kunnen worden.
• Pas proactieve monitoring van het netwerk toe om afwijkend gedrag van gebruikers en systemen te detecteren.
• Voer periodiek penetratietesten en controles uit om kwetsbaarheden in systemen en apparatuur te ontdekken en tref maatregelen om de kwetsbaarheden zo snel mogelijk te verhelpen.
• Let bij het laten ontwikkelen en vervangen van software op de voorwaarden van leveranciers; onder andere ten aanzien van beveiliging en het leveren van updates. Let ook op voorwaarden in geval van overname of faillissement van de leverancier. Een ‘escrow’ kan de afhankelijkheid van de softwareleverancier beperken en de continuïteit van het gebruik van de software beschermen, onder andere door afspraken te maken over het vrijgeven van de broncode.

Houd het Digitalezorg.nl Magazine in de gaten!
Deze bijdrage stond in het teken van de verwerking en beveiliging van persoonsgegevens. Maar in de zorg is meer te beveiligen dan alleen patiëntgegevens. Wat te denken van de beveiliging van de medische apparaten zelf? Kan een slecht beveiligd netwerk naast verlies of onrechtmatige verwerking van patiëntgegevens, ook leiden tot gezondheidsschade bij patiënten?

In het volgende Digitalezorg.nl Magazine wordt een artikel gepubliceerd over cyber security in de zorg waarin de beveiliging van medische apparatuur onder de loep genomen zal worden vanuit juridisch perspectief en vanuit het perspectief van  informatiebeveiliging.

Links

Website CBP
www.cbpweb.nl

CBP Richtsnoeren beveiliging persoonsgegevens
http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf

CBP Richtsnoeren publicatie persoonsgegevens op internet
http://www.cbpweb.nl/downloads_rs/rs_20071211_persoonsgegevens_op_internet_definitief.pdf

Opinie 02/2013 van artikel 29-Werkgroep over apps op smart apparaten
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_nl.pdf