Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Verloren en gestolen mobiele apparaten zijn de belangrijkste oorzaak van datalekken in de zorg
Verloren en gestolen mobiele apparaten zijn de belangrijkste oorzaak van datalekken in de zorg

Verloren en gestolen mobiele apparaten zijn de belangrijkste oorzaak van datalekken in de zorg

by Cliff White updated september 23, 2022 HIPAA-naleving
Reading Time: 9 minutes

Een verloren of gestolen laptop, tablet of smartphone kan een datalek in de zorg aanzienlijk compliceren, zoals een recent verhaal uit Texas duidelijk maakt. De dief die inbrak bij het hoofdkantoor van Sunglo Home Health Services in Harlingen, Texas, brak in één busje in, vond de sleutels van een ander busje, laadde het tweede busje vol met gereedschap en apparatuur en reed weg. Later keerde hij terug naar het kantoor van Sunglo, gebruikte een brandblusser om een raam in te slaan en stal een laptop.

Op die laptop stonden toevallig de burgerservicenummers en persoonlijke gezondheidsinformatie (PHI) van patiënten van Sunglo. De IT-afdeling van Sunglo kon niet zeggen of de data wel of niet versleuteld was. De politie pakte de inbreker later op—het grootste deel van dit verhaal werd op video vastgelegd—maar de laptop werd nooit teruggevonden. Deze inbraak was nauwelijks groot nieuws, maar helaas is het een type verhaal dat veel te vaak voorkomt. Verloren en gestolen mobiele apparaten zijn een van de belangrijkste oorzaken van datalekken in de zorg—en dus ook van HIPAA-nalevingsproblemen volgens een recent onderzoek van Bitglass.

Uit het onderzoek bleek dat:

  • 68 procent van de datalekken in de zorg werd veroorzaakt door het verlies of de diefstal van mobiele apparaten of bestanden.
  • 48 procent van de verloren data stond op een laptop, desktopcomputer of mobiel apparaat.
  • Slechts 23 procent van de datalekken was het gevolg van hacking die niet direct verband hield met het verlies of de diefstal van een mobiel apparaat.

Zoals deze cijfers laten zien, moeten zorgorganisaties (HCO’s) en hun zakenpartners veel beter hun best doen om PHI op mobiele apparaten te beschermen als ze HIPAA-naleving willen bereiken en een datalek of HIPAA-inbreuk willen voorkomen. Ze moeten ervoor zorgen dat PHI altijd versleuteld is, zowel tijdens verzending als opslag, en dat IT-beheerders data op verloren of gestolen apparaten op afstand kunnen wissen. Informatiebeveiligingsbeleid en -training moeten worden uitgebreid om ook het gebruik van mobiele apparaten te dekken.

Overzicht van datalekken in de zorg

Datalekken in de zorg ontstaan wanneer onbevoegden toegang krijgen tot gevoelige informatie over patiënten, artsen of andere medische professionals. Deze informatie kan bestaan uit medische dossiers, persoonlijk identificeerbare informatie of beschermde gezondheidsinformatie (PII/PHI), en financiële informatie.

De gevolgen van deze datalekken kunnen ernstig zijn, waaronder identiteitsdiefstal, financieel verlies en reputatieschade voor de patiënt. Daarnaast kunnen zorgorganisaties en hun zakenpartners juridische en financiële gevolgen ondervinden als ze patiëntgegevens niet goed beschermen.

Er zijn diverse veelvoorkomende oorzaken van datalekken in de zorg, waaronder bedreigingen van binnenuit, hacking en onbedoelde blootstelling. Zorgorganisaties kunnen deze datalekken helpen voorkomen door robuuste cyberbeveiligingsmaatregelen te implementeren, personeel te trainen in het correct omgaan met data en regelmatig hun systemen en processen te beoordelen.

4 Meest Voorkomende Oorzaken van Datalekken in de Zorg

Deze datalekken vertonen enkele verontrustende overeenkomsten. Dit zijn de vier belangrijkste oorzaken van datalekken in de zorg:

  1. Onbeveiligde netwerken: Onbeveiligde netwerken zijn een van de meest voorkomende oorzaken van datalekken in de zorg, omdat ze eenvoudig kunnen worden gehackt als ze niet goed beveiligd zijn. Zonder sterke wachtwoorden, firewalls en encryptie kunnen hackers toegang krijgen tot dergelijke netwerken en vertrouwelijke patiëntinformatie stelen.
  2. Onvoldoende training: Beroepsmatige nalatigheid is een andere grote oorzaak van datalekken in de zorg, omdat gebrekkige training kan leiden tot fouten en een gebrek aan kennis van beste practices. Dit kan ertoe leiden dat medewerkers beveiligingsprotocollen niet goed implementeren of eenvoudig te raden wachtwoorden gebruiken.
  3. Onversleutelde data: Zorgorganisaties slaan vaak gevoelige patiëntgegevens op in niet-versleutelde formaten, waardoor hackers eenvoudig toegang kunnen krijgen en privégegevens kunnen stelen. Om dergelijke data te beschermen, moeten organisaties altijd zorgen dat data versleuteld is voordat deze wordt verzonden of opgeslagen.
  4. Kwaadaardige software: Kwaadaardige software, zoals malware en ransomware, kan door hackers worden gebruikt om toegang te krijgen tot het netwerk van een zorgorganisatie.

Belangrijkste Mobiele Beveiligingsrisico’s die Leiden tot Datalekken in de Zorg

Mobiele technologie stelt zorgprofessionals in staat om op afstand te werken en overal patiëntinformatie te raadplegen. Dit gemak brengt echter bepaalde risico’s met zich mee. Mobiele apparaten zijn kwetsbaar voor diverse beveiligingsrisico’s, waaronder:

  1. Verloren of gestolen mobiele apparaten: Het kwijtraken van een mobiel apparaat met gevoelige patiëntinformatie kan leiden tot een datalek als het apparaat niet met een wachtwoord is beveiligd of versleuteld is.
  2. Malware- en phishingaanvallen: Kwaadaardige software en phishingaanvallen kunnen zorgprofessionals verleiden tot het downloaden of delen van gevoelige informatie, die vervolgens voor kwaadwillende doeleinden kan worden gebruikt.
  3. Onbeveiligde wifi-netwerken: Zorgprofessionals maken vaak gebruik van openbare wifi-netwerken om patiëntinformatie te raadplegen, wat risico’s met zich meebrengt als het netwerk niet veilig is.
  4. Onvoldoende beveiligingsmaatregelen: Veel zorgorganisaties beschikken niet over de juiste beveiligingsmaatregelen om patiëntgegevens te beschermen, zoals sterke wachtwoorden, encryptie en multi-factor authentication.
  5. Persoonlijk gebruik van mobiele apparaten: Zorgprofessionals gebruiken mogelijk hun eigen apparaten om toegang te krijgen tot patiëntinformatie, wat riskant kan zijn als het apparaat niet goed beveiligd is of als ze het delen met anderen.
  6. Verouderde software: Het gebruik van verouderde software op mobiele apparaten maakt ze kwetsbaar voor beveiligingslekken, omdat oudere versies mogelijk niet de nieuwste beveiligingspatches of updates bevatten om nieuwe bedreigingen tegen te gaan.
  7. Nalatigheid van medewerkers: Medewerkers die niet goed getraind zijn in beste practices voor mobiele beveiliging of die protocollen niet volgen, kunnen onbedoeld datalekken veroorzaken door gevoelige informatie te delen, apparaten kwijt te raken of in phishingvalstrikken te trappen.
  8. Apps van derden: Zorgprofessionals gebruiken mogelijk apps van derden om toegang te krijgen tot patiëntinformatie, wat riskant kan zijn als de app niet veilig is of data benadert zonder de juiste autorisatie of toestemming.
  9. Bring your own device (BYOD)-beleid: BYOD-beleid staat zorgprofessionals toe hun eigen apparaten voor werk te gebruiken, wat tot beveiligingsrisico’s kan leiden als de apparaten niet goed beveiligd, gemonitord of beheerd worden door de organisatie.
  10. Fysieke beveiliging: Fysieke beveiligingsrisico’s, zoals diefstal of onbevoegde toegang tot mobiele apparaten, kunnen ook leiden tot datalekken in de zorg als gevoelige informatie niet goed beschermd of versleuteld is.

Welke Soorten Gegevens uit de Zorg Worden Meestal Gestolen?

Hackers breken vaak in op apparaten op zoek naar zeer specifieke informatie. De meest gestolen soorten zorgdata van mobiele apparaten zijn:

  1. Persoonlijke informatie zoals naam, woonadres en burgerservicenummer
  2. Beschermde gezondheidsinformatie (PHI), inclusief medische voorgeschiedenis, diagnoses, laboratoriumuitslagen en verzekeringsinformatie
  3. Kredietkaartinformatie en financiële gegevens
  4. Accountgegevens zoals inlognamen en wachtwoorden
  5. Vertrouwelijke patiëntdata opgeslagen in elektronische medische dossiers
  6. Vertrouwelijke e-mails en sms-berichten over patiëntenzorg
  7. Elektronische medische beelden, zoals röntgenfoto’s, CT-scans, MRI’s, enz.

Statistieken over Datalekken in de Zorg

Wanneer hackers dezelfde kwetsbaarheden kunnen misbruiken en toegang krijgen tot dezelfde soorten zorgdata, neemt de frequentie van datalekken toe, evenals de daaropvolgende financiële schade. Hier zijn vijf verontrustende statistieken over datalekken in de zorg:

  1. 15,1 miljoen zorgdossiers werden in 2018 blootgesteld, het hoogste aantal ooit gemeld.
  2. Meer dan de helft (54%) van de datalekken in de zorg werd veroorzaakt door hacking of IT-incidenten.
  3. De gemiddelde kosten van een datalek in de zorg bedragen $6,45 miljoen.
  4. Bijna 80% van de zorgorganisaties heeft geen incident response plan.

Helaas ziet de toekomst er niet rooskleurig uit voor diefstal van mobiele apparaten, vooral in gevallen waarin dieven vermoeden dat de apparaten PHI bevatten. Volgens het World Privacy Forum (geciteerd door RSA):

“De straatwaarde van gestolen medische informatie is ongeveer $50, tegenover $1 voor een gestolen burgerservicenummer. De gemiddelde uitbetaling voor medische identiteitsdiefstal is $20.000, vergeleken met $2.000 voor gewone identiteitsdiefstal.”

Criminelen volgen het geld, en gestolen PHI is veel waard. Om PHI te beschermen en datalekken in de zorg te voorkomen, moeten HCO’s en hun partners nu actie ondernemen. Ze moeten hun IT-beveiliging versterken, inclusief de beveiliging van smartphones, tablets en laptops.

Hoe Vergelijkt het Aantal Datalekken in de Zorg met Andere Sectoren?

Volgens het Identity Theft Resource Center kende de zorgsector in 2020 het op één na hoogste aantal datalekken, goed voor 11,8% van alle gemelde datalekken. De zakelijke sector kende de meeste datalekken, goed voor 45,1% van de gemelde datalekken, gevolgd door de onderwijssector met 9,7%. Als het echter gaat om het aantal blootgestelde dossiers, voert de zorgsector nog steeds alle andere sectoren aan. In 2020 was de zorgsector verantwoordelijk voor meer dan 30% van alle blootgestelde dossiers, gevolgd door de financiële sector en de zakelijke sector. Dit onderstreept de aanhoudende kwetsbaarheid en het belang van het verbeteren van cyberbeveiligingsmaatregelen in de zorg.

De 13 Grootste Datalekken in de Zorg Gerangschikt op Impact

Gezien de monetaire waarde van gestolen PHI is het geen verrassing dat datalekken in de zorg 1. vaak voorkomen en 2. kostbaar zijn. Hier zijn 13 van de grootste datalekken in de zorg, gerangschikt op financiële impact:

  1. Anthem Inc.: Dit datalek was het grootste ooit en trof maar liefst 79 miljoen mensen. Hackers kregen toegang tot een database met namen, geboortedata, adressen, burgerservicenummers en andere persoonlijke informatie.
  2. Premera Blue Cross: Dit datalek trof 11 miljoen mensen. De hackers kregen toegang tot dossiers met namen, geboortedata, adressen, burgerservicenummers en e-mails, naast andere gegevens.
  3. UCLA Health System: Meer dan 4,5 miljoen patiëntendossiers werden blootgesteld bij dit datalek. De dossiers bevatten namen, geboortedata, burgerservicenummers en andere gezondheidsinformatie.
  4. Excellus BlueCross BlueShield: Dit datalek trof bijna 10 miljoen mensen. Hackers kregen toegang tot burgerservicenummers, bankrekeningnummers en medische informatie.
  5. Advocate Medical Group: Dit datalek stelde de persoonlijke informatie van 4 miljoen mensen bloot. De dossiers bevatten namen, geboortedata, burgerservicenummers en andere gegevens.
  6. East Coast Orthopedic Group: Ongeveer 4,5 miljoen patiëntendossiers werden blootgesteld bij dit datalek. De dossiers bevatten namen, adressen, burgerservicenummers en andere gezondheidsinformatie.
  7. Newkirk Products: Dit datalek stelde 3,5 miljoen patiëntendossiers bloot. De dossiers bevatten namen, burgerservicenummers, geboortedata en andere informatie.
  8. 21st Century Oncology: Dit datalek trof 2,2 miljoen patiënten. De dossiers bevatten namen, burgerservicenummers, geboortedata en andere gezondheidsinformatie.
  9. Community Health System: Dit datalek stelde 4,5 miljoen patiëntendossiers bloot. De dossiers bevatten namen, burgerservicenummers, geboortedata en andere informatie.
  10. Triad Healthcare: Ongeveer 2,3 miljoen patiëntendossiers werden blootgesteld bij dit datalek. De dossiers bevatten namen, burgerservicenummers, geboortedata en andere gezondheidsinformatie.
  11. Banner Health: Dit datalek trof 3,7 miljoen mensen. De dossiers bevatten namen, burgerservicenummers, geboortedata en andere gegevens.
  12. CareFirst BlueCross BlueShield: Dit datalek stelde de persoonlijke informatie van 1,1 miljoen mensen bloot. De dossiers bevatten namen, adressen, burgerservicenummers en andere gegevens.

Hoe Kunnen Zorgorganisaties Datalekken Beperken?

Datalekken bij zorgorganisaties kunnen ernstige gevolgen hebben, waaronder het schenden van de vertrouwelijkheid van patiënten, financieel verlies en verlies van vertrouwen. Om de risico’s van datalekken te beperken, moeten zorgorganisaties sterke beveiligingsmaatregelen implementeren om patiëntgegevens beter te beschermen en potentiële datalekken te voorkomen. Hier zijn enkele beste practices voor databeveiliging die zorgorganisaties sterk zouden moeten overwegen:

  1. Implementeer sterke beveiligingsmaatregelen: Zorgorganisaties moeten sterke beveiligingsmaatregelen inzetten, zoals encryptie, firewalls en toegangscontroles om hun data te beveiligen.
  2. Voer regelmatig risicobeoordelingen uit: Door regelmatig risicobeoordelingen uit te voeren, kunnen kwetsbaarheden worden geïdentificeerd en datalekken worden voorkomen.
  3. Leid medewerkers op: Organiseer regelmatig trainingen voor medewerkers over het belang van databeveiliging, hoe potentiële bedreigingen te herkennen en te melden, en beste practices voor het omgaan met gevoelige informatie.
  4. Ontwikkel sterke beleidsregels en procedures: Ontwikkel en handhaaf sterke beleidsregels en procedures voor databeveiliging, waaronder toegangscontroles, dataretentie en incident response.
  5. Gebruik multi-factor authentication: Implementeer multi-factor authentication om ongeautoriseerde toegang tot gevoelige data te voorkomen.
  6. Monitor en detecteer bedreigingen: Zorgorganisaties moeten beschikken over een robuust systeem voor monitoring en detectie om potentiële bedreigingen in realtime te detecteren en erop te reageren.
  7. Werk samen met betrouwbare leveranciers: Zorgorganisaties moeten samenwerken met leveranciers die een bewezen staat van dienst hebben op het gebied van databeveiliging en privacy-naleving.
  8. Maak een incident response plan: Ontwikkel een uitgebreid incident response plan dat een stapsgewijs proces bevat voor het reageren op datalekken, inclusief meldingsprocedures, indamming en onderzoek, en herstel.
  9. Voer regelmatig audits uit: Voer regelmatig audits uit van systemen en processen om kwetsbaarheden te identificeren en naleving van databeveiligingsvoorschriften te waarborgen.
  10. Blijf op de hoogte van regelgeving: Zorgorganisaties moeten op de hoogte blijven van databeveiligingsregelgeving en voldoen aan alle toepasselijke wetten en voorschriften, waaronder HIPAA en GDPR.

Kiteworks Helpt Zorgorganisaties PHI Beschermen met Veilige Mobiele Bestandsoverdracht

Het Kiteworks Private Content Network helpt zorgorganisaties en hun zakenpartners PHI en patiëntprivacy te beschermen wanneer deze wordt geraadpleegd, verzonden, gedeeld of ontvangen vanaf een mobiel apparaat, zelfs bij verlies of diefstal van het apparaat. Veilige mobiele bestandsoverdracht stelt artsen, beheerders, personeel, leveranciers en partners in staat om PHI eenvoudig, veilig en in overeenstemming met HIPAA te delen. Met mogelijkheden zoals een veilige mobiele container die PHI afschermt van andere inhoud op het apparaat en remote wipe waarmee beheerders PHI op afstand kunnen verwijderen, voorkomen medische medewerkers kostbare datalekken in de zorg en HIPAA-overtredingen. Met Kiteworks beschikken zorgprofessionals over een veilige mobiele bestandsoverdrachtoplossing die veilige, eenvoudige en conforme toegang tot patiëntendossiers biedt, zodat ze snel de benodigde inhoud kunnen vinden, deze eenvoudig kunnen bekijken en bewerken, en veilig en volgens de regels kunnen delen om het risico op een datalek of HIPAA-overtreding te beperken.

Veelgestelde Vragen

HIPAA-naleving betekent voldoen aan de federale standaarden die zijn vastgelegd in de Health Insurance Portability and Accountability Act (HIPAA) van 1996. Dit omvat vereisten voor het omgaan met en beschermen van patiëntgegevens, evenals patiëntprivacy.

Beschermde gezondheidsinformatie (PHI) is alle individueel identificeerbare informatie met betrekking tot de fysieke of mentale gezondheidstoestand van een patiënt, de levering van zorg of de betaling voor zorgdiensten. Dit omvat namen, adressen, burgerservicenummers, medische dossiers en alle andere vertrouwelijke informatie die verband houdt met de gezondheid van een patiënt.

Het niet naleven van HIPAA-regelgeving kan leiden tot civiele of strafrechtelijke sancties. Civiele boetes variëren van $100 tot $50.000 per incident. In gevallen van opzettelijke nalatigheid kunnen strafrechtelijke sancties tot 10 jaar gevangenisstraf opleveren.

Om aan HIPAA-nalevingsvereisten te voldoen, moet uw technologie veilige dataopslag, toegangscontrole, gebruikersauthenticatie, encryptie, audit logging en activiteitsmonitoring bieden. Ook moet het mogelijk zijn om de toegang tot data te beperken op basis van de rol van de gebruiker en alleen geautoriseerde personen toegang te geven tot de data die ze nodig hebben.

Het naleven van HIPAA-regelgeving helpt patiëntgegevens te beschermen, vergroot het vertrouwen in het zorgsysteem, verlaagt de zorgkosten en verbetert de patiëntveiligheid. Het beschermt uw organisatie ook tegen juridische en financiële gevolgen.

Om ervoor te zorgen dat uw organisatie HIPAA-compliant is, moet u samenwerken met een gekwalificeerde externe leverancier die u kan helpen uw data en processen te auditen, een uitgebreid informatiebeveiligingsplan te ontwikkelen en uw personeel te trainen in beste practices voor databeveiliging en patiëntprivacy.

Kiteworks biedt organisaties de tools en functies die nodig zijn om hun data veilig en privé te houden en te voldoen aan HIPAA. Het Kiteworks Private Content Network stelt organisaties in staat om HIPAA-naleving aan te tonen door gevoelige PHI-data-uitwisselingen—e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en API’s—te centraliseren, controleren, volgen en beveiligen. Kiteworks biedt rolgebaseerde toegangscontrole zodat gebruikers alleen toegang krijgen tot de data die ze nodig hebben voor hun werk, en helpt organisaties bij het monitoren en controleren van data-toegang volgens HIPAA. Ook blijft uw organisatie met Kiteworks voldoen aan HIPAA dankzij geautomatiseerde audit logging, mogelijkheden voor data-destructie op aanvraag en uitgebreide rapportagemogelijkheden. Deze functies helpen organisaties een duidelijk beeld te houden van hun beveiligingsstatus en waarborgen dat patiëntgegevens alleen door geautoriseerde personen worden geraadpleegd en veilig en permanent worden verwijderd wanneer ze niet langer nodig zijn.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks