Britse gezondheidsdienst berispt voor delen patiëntgegevens via WhatsApp
De Britse privacytoezichthouder ICO heeft de Britse gezondheidsdienst NHS Lanarkshire berispt voor het twee jaar lang delen van patiëntgegevens via WhatsApp terwijl dit niet was toegestaan. In meer dan vijfhonderd gevallen werden namen, telefoonnummers, adresgegevens, foto's, video's en screenshots met klinische informatie in een WhatsApp-groep gedeeld. Het ging om gegevens van zowel kinderen als volwassenen.
De gezondheidsdienst liet personeel tijdens het begin van de coronapandemie WhatsApp gebruiken voor het uitwisselen van basale informatie. De gezondheidsdienst had geen toestemming gegeven voor het verwerken van patiëntgegevens via de chatapp en wist ook niet dat personeel een WhatsApp-groep was gestart waarin dit wel gebeurde. Daarnaast werd per ongeluk een persoon aan de WhatsApp-groep toegevoegd die geen medewerker van de gezondheidsdienst was, en zo ook allerlei patiëntgegevens te zien kreeg.
Nadat NHS Lanarkshire ontdekte dat patiëntgegevens via WhatsApp werden gedeeld informeerde het de ICO. De Britse privacytoezichthouder ontdekte dat de gezondheidsdienst geen specifiek beleid had opgesteld voor het gebruik van WhatsApp. De richtlijnen die er wel waren bleken onduidelijk, zo bleek uit intern onderzoek van de gezondheidsdienst. Verder onderzoek van de ICO wees uit dat er ook geen Data Protection Impact Assessment (DPIA) en risicoassessment was uitgevoerd, waarmee de Britse GDPR is overtreden.
De Britse privacytoezichthouder besloot geen boete op te leggen. Sinds vorig jaar hanteert de ICO een apart beleid voor de publieke sector. Volgens de toezichthouder zijn hoge boetes namelijk geen effectief afschrikmiddel voor deze sector. Daarnaast zorgen hoge boetes voor lagere budgetten voor belangrijke diensten. Slachtoffers van het datalek, die vaak van deze diensten gebruikmaken, worden zo twee keer gedupeerd.
Wel heeft de gezondheidsdienst een reprimande gekregen en moet het verschillende maatregelen doorvoeren. Zo moet het een systeem overwegen voor het beveiligd uitwisselen van medische afbeeldingen, moeten voor het gebruik van nieuwe apps DPIA's worden uitgevoerd, moet personeel voldoende worden ingelicht over het gebruik van nieuwe apps, moet al het beleid rond het WhatsApp-incident worden herzien en moet al het personeel bekend zijn met de verantwoordelijkheden om datalekken direct te rapporteren.
Nou dan kunnen boetes voor rijden door rood licht en te hard rijden ook afgeschaft.
Gebeurd elke dag weer, boetes zijn niet effectief als afschrikmiddel.
Kots
Nou dan kunnen boetes voor rijden door rood licht en te hard rijden ook afgeschaft.
Gebeurd elke dag weer, boetes zijn niet effectief als afschrikmiddel.
Kots
Dan komt er uiteindelijk geen geld meer binnen,en dat is niet de bedoeling. ;-)
Minimaal voor een jaar.
Voor zakelijk gebruik kan een organisatie m.i. iets beters verzinnen dan een reclame bedrijf inhuren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
