BLOG | Zorg voor privacy en grip op datalekken!

Per 1 januari 2016 is de meldplicht datalekken in werking getreden. Om het vertrouwen van patiënten in een zorgvuldige omgang met hun medische gegevens te behouden, is het van belang dat zorginstellingen regelmatig moeten beoordelen of de maatregelen up-to-date en in overeenstemming met de wettelijke vereisten zijn. Maar beseffen zorginstellingen wel wat dit allemaal van hun vergt? 


door Marieke van Dijk

Een negatieve trend in de zorg
Binnen de zorgsector hebben al verschillende datalekken de krantenkoppen gehaald. Dit varieert van een drietal ziekenhuizen, waaronder het Sint Anna Ziekenhuis in Geldrop, bij wie gedurende een maand een server toegankelijk was voor een buitenstaander tot een onjuiste ‘labeling’ van dossiers bij de omzetting naar een nieuw elektronisch patiëntendossier bij het VUMC

Als antwoord op deze negatieve reeks hebben de raden van bestuur van zorginstellingen op 15 februari en 17 maart 2016 brandbrieven ontvangen van zowel de Autoriteit Persoonsgegevens als de Inspectie voor de Gezondheidszorg. Hierin vraagt de Autoriteit extra aandacht voor de bescherming van patiëntgegevens terwijl de IGZ in hun brief met klem oproept om alert te zijn op de risico’s bij het afsluiten van bewerkersovereenkomsten.

Onder goede zorg valt ook de bescherming van privacy
Zorgverlening staat niet meer alleen in het teken van het verlenen van goede zorg, maar ook in het teken van een goede bescherming van de privacy van de patiënt. Of zoals de Autoriteit Persoonsgegevens aangeeft: “Het zorgvuldig omgaan met patiëntgegevens maakt integraal deel uit van goede patiëntenzorg”. Een goede beveiliging van patiëntgegevens met daarbij een goed ingerichte autorisatiestructuur als het gaat om ook de interne toegang tot patiëntendossiers is noodzakelijk en onvermijdelijk.

Zorginstellingen moeten aan de bak
De wet bescherming persoonsgegevens, en voor de zorg nog tal van andere wetten, leggen de zorginstelling diverse eisen op waaraan moet worden voldaan als het gaat om de bescherming van de privacy van patiënten. Inzicht in alle bewerkingen van persoonsgegevens binnen uw zorginstelling en voor welk doel dat gebeurt, is daarbij van cruciaal belang.

Daarbij geldt dat u in kaart heeft gebracht welke beveiligingsmaatregelen er binnen uw organisatie zijn genomen, maar ook welke maatregelen een door u ingeschakelde bewerker, zoals een hostingpartij, administratiekantoor of EPD-leverancier neemt. Denk hierbij aan een goed ingerichte autorisatiestructuur, maar ook aan een zorgvuldig wachtwoordenbeleid dat binnen uw organisatie ook wordt nageleefd.

Awareness en kennisniveau omtrent Meldplicht Datalekken ondermaats
Op basis van de uitkomsten van deze benchmark over hoeveel kennis en awareness er binnen zorginstellingen is omtrent privacy en de Meldplicht Datalekken, kunnen we voorzichtig opmaken dat (het ontbreken van voldoende) awareness binnen de organisatie en het kennisniveau over hoe een datalek aangepakt moet worden nog flink verbeterd kan en moet worden.

Benchmark EHBD per thema

Aan de benchmark van Cure4 hebben maar liefst 31 organisaties meegedaan waarvan 21 zorginstellingen. Het gemiddelde van deelnemers heeft een score behaalt van een 5,8. Zoals  weergegeven, wordt er op het gebied van awareness omtrent privacy en kennis rondom de meldplicht datalekken ondermaats gescoord, respectievelijk een score van 5,3 en een 5,6.
Benchmark EHBD vs zorgbranche


Persoonsgegevens horen achter slot en grendel

De borging van de privacy van de patient staat of valt met passende beveiligingsmaatregelen. Een goed privacybeleid begint daarom ook niet bij het juist handelen op het moment dat zich een datalek voordoet. Een goed privacybeleid begint bij het in kaart brengen van alles wat er binnen de zorginstelling gebeurt zoals hiervoor aangegeven. Bedenk daarbij dat vaak de mens de zwakste schakel is in de beveiliging.

Awareness is de key
Awareness bij uw medewerkers maakt deze schakel zeker sterker. Heeft u uw beleid op orde en doet zich op enig moment toch een datalek voor, dan weet u waar u de nodige informatie uit uw organisatie en daarbuiten moet halen om aan uw meldplicht te voldoen, maar ook waar u moet zijn om het lek zo snel mogelijk te dichten. Al met al genoeg om mee aan de slag te gaan!

Leestip:  Voor belangrijke informatie, aandachtspunten en tips kunt u tevens deze factsheet raadplegen.


Marieke van Dijk is Legal Counsel bij Cure4. Haar achtergrond als Legal Counsel en Privacy Officer maakt haar een gedreven specialist op het gebied van privacy en ICT vraagstukken omtrent persoonsgegevens in de zorg.

Marieke.van.dijk@cure4.nl

©2018 Cure4 |

Nieuwsbrief | Disclaimer | Privacy Statement | Website | Cure4 Legal | Website | Cure4 AFAS | Website | Cure4 Zorgadministratie | Website | Cure4 Finance & Control
Contact