Gemeenten zo lek als een mandje?

In de ideale wereld zouden alle gemeenten en zorgaanbieders conform de Berichten standaarden voor de zorg persoonsgegevens moeten uitwisselen. Helaas blijkt in de praktijk dat veel gemeenten nog niet in staat zijn om versleuteld berichten te versturen of te ontvangen. Hoe verlaag je als zorgaanbieder het risico op een datalek?

Datalek gemeenten

Opnieuw verschijnen er berichten in de media dat gemeenten zo lek zijn als een mandje als het gaat om de verwerking van persoonsgegevens. Aangezien gemeenten nu ook verantwoordelijk zijn voor de financiering en uitvoering van Jeugdwet en Wmo, vragen zij veel persoonsgegevens op bij zorgaanbieders en vice versa. Bij deze uitwisseling van gegevens is de kans groot dat er ook patiëntgegevens gelekt worden.

Niet versleutelen is vragen om problemen

In de dagelijkse praktijk van uitwisseling van gegevens tussen gemeenten en zorgaanbieders wordt op dit moment nog lang niet altijd op een beveiligde manier gewerkt. Praktijkvoorbeelden hiervan zijn gemeenten die nog niet in staat zijn om versleuteld berichten te versturen of te ontvangen. Dit betekent dat de zorgaanbieder op haar beurt ook in een lastig parket komt.

Waar in het proces gaat het mis?

In het toeleidingsproces, van de gemeente naar de zorgaanbieder, is de kans op een datalek groot. In deze fase waarin geïnventariseerd wordt of de cliënt bij de zorgaanbieder terecht kan, verloopt de communicatie tussen beide partijen vaak onversleuteld per mail. Is er overeenstemming bereikt? Dan wordt de beschikking (WMO301 of JW301) meestal wel via versleuteld berichtenverkeer (Vecozo) verstuurd. Echter bij het declareren van de zorg ligt een datalek weer op de loer.

Idealiter stuurt de gemeente via Vecozo een retourbericht (WMO304 of JW304) waarin de zorgaanbieder precies kan zien of er declaraties zijn afgekeurd en wat de reden hiervan is. Staat er bijvoorbeeld in het bericht dat er persoonsgegevens ontbreken? Dan kan de zorgaanbieder dit zelf aanpassen en gaat de afgekeurde declaratie mee in de volgende periode. Echter werkt dit proces bij veel gemeenten nog niet en wordt er weer teruggegrepen op onbeveiligde communicatiemiddelen zoals mail en post.

Stop met zoeken naar schijnoplossingen

De dynamiek in de onderlinge relatie tussen zorgaanbieder en gemeente speelt wellicht ook een rol. De zorgaanbieder ervaart in een sterk afhankelijke positie te zitten en kiest ervoor om toch zonder versleuteling de persoonsgegevens te versturen, omdat betaling anders kan uitblijven. Een schijnoplossing die we veel tegenkomen is de keuze om de persoonsgegevens per post te sturen. In dat laatste geval is niet bekend of de post op het juiste bureau terechtkomt. Duidelijk mag zijn dat beide opties het risico op datalekken enorm vergroot.

Hoe kun je als gemeente het risico op datalekken verlagen?

In de ideale wereld zouden alle gemeenten en zorgaanbieders conform de Berichten standaarden voor de zorg persoonsgegevens moeten uitwisselen. Dit vraagt om een zorgvuldige aanpassing van de ICT-infrastructuur en de interne organisatie van zowel gemeenten als zorgaanbieders. Gezien het feit dat het er bijzondere persoonsgegevens worden uitgewisseld tussen gemeenten en zorgaanbieders, is dit ook hard nodig, maar niet van de één op de andere dag gerealiseerd. Wat je als gemeente wél direct kan doen, is kritisch kijken naar de persoonsgegevens die je opvraagt.

  • Zijn al deze persoonsgegevens écht noodzakelijk voor het behalen van het doel dat nagestreefd wordt?
  • Staat de gevoeligheid van de persoonsgegevens in verhouding met het doel dat wordt beoogd?
  • Kun je je beslissing wellicht ook baseren op minder informatie en daarmee werken met niet meer persoonsgegevens dan je echt nodig hebt?

Ook zorgaanbieder dient verantwoordelijkheid te nemen

Genoeg afwegingen die om een kritische blik vragen. Ook als zorgaanbieder kun je met een aantal simpele stappen het risico verlagen. Verdiep je in wat je als zorgaanbieder verplicht bent en wat juist niet gedeeld of enkel onder voorwaarden gedeeld mag worden. Vraagt de gemeente om meer? Dan kun je goed gemotiveerd de (on)mogelijkheden aankaarten. Bedenk hierbij ook altijd dat het uitgangspunt van privacy wet- en regelgeving is dat het in beginsel niet is toegestaan om gegevens betreffende iemands gezondheid te verwerken, tenzij de wet dit uitdrukkelijk heeft toegestaan.

Creëer bovendien meer bewustzijn binnen de organisatie. Zorg dat er duidelijk beleid beschreven is, regelmatig onder aandacht gebracht, zodat medewerkers hiernaar zullen en kunnen handelen en het beleid dus echt geborgd is binnen de organisatie.

Arnica Wijers en Marieke van Dijk

©2018 Cure4 |

Nieuwsbrief | Disclaimer | Privacy Statement | Website | Cure4 Legal | Website | Cure4 AFAS | Website | Cure4 Zorgadministratie | Website | Cure4 Finance & Control
Contact