Is zulke ransomware nu een datalek? De Autoriteit Persoonsgegevens (AP) meldde recent niets over Wannacry op diens site. Straks meer over de AP en datalekken. Het nationale centrum voor cybersecurity uiteraard wel al zijn de disclaimers (bij doorklikken) haast even lang als de aanwijzingen. Over hoe (zonder disclaimer) gijzeling door ransomware in huis, tuin en keuken software kan worden voorkomen, zie een bericht op de NOS site. Sorry, ja met cookies.
Bij goede software gaat het vanuit een beveiligingsperspectief om drie uitgangspunten: integriteit van de gegevens, beschikbaar en vertrouwelijkheid. Het laatste uitgangspunt was bij deze ransomware niet aan de orde. Het tweede element des te meer. De richtsnoeren van de AP over melden datalekken staan voornamelijk in het teken van het laatste uitgangspunt. Toch vermeldt artikel 13 onder bescherming van persoonsgegevens (waar een datalek een inbreuk op is) ook bescherming tegen verlies. Mij dunkt, als je er niet bij kunt (anders dan een ongewisse bitcoin betaling) is dat ook verlies. Artikel 32 van de AVG is uitvoeriger over de bescherming van persoonsgegevens. Aan de drie uitgangspunten wordt zelfs een vierde toegevoegd, namelijk ‘weerbaarheid’. Maar de daarop volgende meldplicht in artikel 33 AVG staat weer voornamelijk in het teken van een inbreuk op de vertrouwelijkheid in plaats van minder ideologisch en meer techniekneutraal, hoe wij in een verknoopte digitale wereld software moeten kunnen vertrouwen waarvan wij afhankelijk zijn en waartoe onze persoonsgegevens veelal wel moeten worden verwerkt.
Tijdig updaten is trouwens het devies om besmetting door ransomware te voorkomen. Bij de NHS werkte dat alleen al daarom niet omdat pc’s daar nog vaak op Windows XP draaien waar al tijden geen updates meer voor beschikbaar komen.
Dat updaten overigens soms juist een averechts effect kan hebben, bleek in een eerdere UK casus.
Bij een nachtelijke update van het besturingssysteem door de echtgenoot van een barrister (zeg maar advocaat) kwam vertrouwelijke informatie van 250 mensen online beschikbaar. In Engeland bestaat de boetebevoegdheid van de Engelse variant van de AP, de Information Commissioner’s Office (ICO), al veel langer en minder geclausuleerd dan hier. Wie geabonneerd is op de gratis update van PDP, ziet regelmatig forse boetes na datalekken langskomen en zo zagen we ook deze casus. In dit geval kwam deze barrister er met een boete van £1.000 na een datalek overigens nog mild van af. Vraag mij niet hoe na de update die vertrouwelijke informatie online beschikbaar kwam. Gekker is eigenlijk dat een professional diens cliëntgegevens op een huis, tuin en keuken systeem verwerkt in plaats van daartoe bijvoorbeeld een SaaS dienst in te schakelen die de nodige waarborgen biedt.
SaaS is uiteraard geen oplossing voor ziekenhuis systemen. Dat moet je dataveiligheid anders borgen en voor de Nederlandse gezondheidszorg is dat NEN Norm 7510, al geldt die formeel niet voor beroepsbeoefenaren die geen zorg verlenen in de zin van de (thans) Wet gebruik BSN in de zorg. En voor wie wel, lijkt het ook nogal vaak mis te gaan getuige de meldingen aan de AP, met voorshands nog geen boete (tenzij men het wel heel bont heeft gemaakt). Maar mogelijk is daar sprake van een zekere over-rapportage, namelijk ook melding van incidenten die geen datalek zijn. Bij de niet NEN Norm 7510 beroepsbeoefenaren en bij vele andere branches is zeer waarschijnlijk sprake van een forse onderrapportage. Opvallend is de ‘framing’ in het bericht in Zorgvisie. Waar sprake is van ongeautoriseerde toegang (bijvoorbeeld account was niet tijdig afgesloten na uit dienst) of het verzenden van patiëntgegevens aan de verkeerde hulpverlener is niet snel sprake van “buitmaken” van patiëntgegevens zoals Zorgvisie het noemt en van “stelen” al helemaal niet. Gebrek aan nuancering zoals deze kan twee kanten opwerken. Het kan professionals voorzichtiger maken. Dat is op zich toe te juichen. Het kan er ook toe leiden dat de patiënt het niet meer vertrouwt terwijl de moderne zorg niet meer zonder gegevensuitwisseling kan. En dat zou te betreuren zijn.
Ik ben benieuwd hoe Zorgvisie komende week zal berichten over de Wannacry aanval. Nederlandse zorginstellingen lijken niet te zijn aangedaan. Dat is toch een pluim of hoed voor de Nederlandse zorg en in het bijzonder de Information Security Officers die trouwhartig ook al die meldingen aan de AP hebben gedaan.