PwC meldt datalek aan de Autoriteit Persoonsgegevens

Maandag 28 maart 2022. Tijd: 11.42 uur.

De afgelopen weken zijn er, na een “menselijke fout” van een accountant van PricewaterhouseCoopers (PwC), privacygevoelige gegevens van huisartsenpraktijken en andere zorgorganisaties gelekt. Door een foutieve instelling als gevolg van menselijk handelen konden onbevoegden elf dagen lang bij namen, adressen, bankrekening- en btw-nummers.

Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ)

Begin vorige week liet PwC een aantal huisartsenpraktijken weten dat de database, waarin de gegevens van de betreffende praktijken stonden, gelekt was. De gegevens komen van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ): de organisatie die verantwoordelijk is voor het Landelijk Schakelpunt (LSP). Het LSP maakt de uitwisseling van medische gegevens tussen zorgorganisaties mogelijk. Dit gebeurt uiteraard versleuteld, omdat het om privacygevoelige gegevens gaat. PwC kreeg de data toegestuurd, omdat het accountantskantoor de jaarrekeningen van de zorgorganisaties zou controleren. Echter, tussen 25 februari en 8 maart blijken de gegevens via de website toegankelijk te zijn geweest voor onbevoegden.

Thomas Galestien, woordvoerder bij PwC, geeft aan dat er meteen actie ondernemen is toen het incident aan het licht kwam: “Waar gewerkt wordt, worden fouten gemaakt en helaas is dat hier ook gebeurd. We hebben meteen alles dicht gezet, security-maatregelen genomen en de situatie in kaart gebracht.”

Omvang datalek

PwC en VZVZ houden tot nog toe hun commentaar voor zich. Het is dus nog onduidelijk wat de omvang van het datalek is en welke instellingen erdoor getroffen zijn. Alf Zwilling, woordvoerder van VZVZ, laat wel weten dat het “onder andere” om huisartsen gaat. Dit doet vermoeden dat andere zorginstellingen ook door het datalek zijn geraakt. Verschillende soorten zorgaanbieders, waaronder ook apotheken en ziekenhuizen, zijn aangesloten bij het LSP. Of zij ook de dupe zijn van het incident is nog niet duidelijk.

Vervolgonderzoek zal moeten aantonen of de gegevens bij criminelen terecht zijn gekomen. Mocht dat het geval zijn, dan kan de data gebruikt worden bij pogingen om praktijken of instellingen te hacken. Denk hierbij bijvoorbeeld aan gerichte phishing-mailtjes, die ransomware of andere criminele activiteiten mogelijk maken.

PwC en VZVZ hebben het datalek direct gemeld bij de Autoriteit Persoonsgegevens (AP). Die wil voorlopig nog geen inhoudelijk commentaar geven op de zaak.

Auteur: redactie

Archief

Zorggids Nederland copyright 2024 sinds 2008