6
1149
817
‘Zorginstellingen moeten van privacybescherming een prioriteit maken’
In haar recent gepubliceerde jaarverslag 2019 schrijft de Autoriteit Persoonsgegevens (‘AP’), dat de AP zeer veel datalekmeldingen ontvangt vanuit de zorgsector. Daarmee is de zorgsector ook over 2019 gezien opnieuw koploper datalekmeldingen bij de AP.
De AP benadrukt hierbij dat zij in de afgelopen periode een aantal nare voorbeelden heeft gezien van datalekken, die ontzettend vervelende gevolgen kunnen hebben voor de mensen om wie het gaat. ‘Ziekenhuizen en andere zorginstellingen moeten daarom van privacybescherming een prioriteit maken’, aldus de vice-voorzitter van de AP.
De meeste meldingen van datalekken werden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen, zoals gezondheids-en welzijnsorganisaties, maatschappelijke dienstverlening en tandartsen, meldden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.
Het op orde hebben van processen rondom het melden van datalekken is essentieel om snel maatregelen te kunnen nemen en een melding te kunnen doen. Niet alleen om binnen 72 uur aan de meldingsplicht te voldoen, maar ook om de betrokkene tijdig te informeren en schadebeperkende maatregelen op tijd te nemen.
Alleen een goed en efficiënt werkend systeem en proces voor het melden van datalekken biedt jouw zorgorganisatie optimale bescherming aan de gevoelige persoonsgegevens van patiënten en cliënten.
Omdat datalekken zeer ernstige gevolgen kunnen hebben voor de privacy van patiënten en cliënten is het zaak dat er snel gereageerd kan worden. Het is dus zaak dat de medewerker in staat is om een datalek te herkennen en deze laagdrempelig kan melden bij de privacyverantwoordelijke.
Zorg dat medewerkers weten wat een datalek is en hoe ze moeten handelen als ze een datalek constateren. Dit kan je doen door gerichte bewustwordingsacties en frequent aandacht te vragen voor het onderwerp.
Lees ook: Hoe laat ik mijn organisatie privacy awareness ademen?
Creëer een meldingsmogelijkheid op het AFAS-platform.
Op het AFAS platform is het mogelijk om een datalekken workflow in te richten. Zodra een medewerker een melding doet via het AFAS-formulier ontvangt de privacyverantwoordelijke van jouw organisatie een e-mail of melding van het datalek om deze te beoordelen.
Na de melding door de medewerker maakt de privacyverantwoordelijke een beoordeling van het gemelde datalek. Hierbij verzamelt de privacyverantwoordelijke alle informatie die beschikbaar is rondom het datalek: Wat is de omvang? Is het een datalek waarbij persoonsgegevens zijn betrokken? Wanneer is deze ontdekt?
Welke persoonsgegevens zijn mogelijk verloren gegaan of ongeautoriseerd toegankelijk gemaakt? Wie zijn de ontvangers van de persoonsgegevens? Wat zijn de mogelijke gevolgen voor de betrokkenen? En moet er een melding plaatsvinden aan de AP en/of betrokkene?
Bij deze stap wordt ook de functionaris gegevensbescherming op de hoogte gebracht en om advies gevraagd.
Het is belangrijk om de belangrijkste functionarissen in jouw organisatie via de ingerichte workflow/het proces te informeren. Vaak zijn dat bijvoorbeeld medewerkers van het managementteam van de zorginstelling en de security officer.
Vervolgens kan je in de workflow opnemen dat na de beoordeling en het informeren van relevante stakeholders een bericht wordt verstuurd aan de eindverantwoordelijken in jouw organisatie voor verdere besluitvorming. De eindverantwoordelijken besluiten vervolgens op basis van de verkregen informatie over het datalek en besluiten of er een melding plaatvindt aan de AP en of de betrokkenen worden geinformeerd.
Natuurlijk is het van belang dat je meteen actie onderneemt en achterhaalt wat de oorzaak is van het datalek. Is er bijvoorbeeld sprake van een technische oorzaak gelegen binnen de organisatie? Is er sprake van menselijk handelen wat heeft geleid tot het datalek? Is er sprake van een technische oorzaak die gelegen is bij uw verwerker of subverwerker? Neem vervolgens gerichte maatregelen om nadelige gevolgen te minimaliseren.
Verzamel alle gegevens die nodig zijn om een melding te doen. Wanneer de workflow en het meldings-beoordelingsproces correct in AFAS is ingericht, is deze informatie al beschikbaar in het systeem. Door een goed ingericht meldingsformulier zorg je er als zorgorganisatie voor dat je direct de noodzakelijke informatie voorhanden hebt.
Zoals een weergave van het tijdstip van het incident, hoeveel betrokkenen zijn getroffen, welk type persoonsgegevens verloren zijn gegaan, of er sprake is van een inbreuk op de vertrouwelijkheid van de gegevens, of er sprake is van verminderde beschikbaarheid van gegevens en meer.
Een melding aan de betrokkene moet plaatsvinden als er sprake is van een hoog risico voor de betrokkene(n). Bij deze stap is het belangrijk om te bepalen of er gemeld moet worden en vast te leggen waarom je wel of niet daartoe overgaat.
Als er overgegaan wordt tot een melding, dan is het van belang om vast te stellen op welke manier dat plaatsvindt (per e-mail, brief of via de website). Ook is het van belang dat er een contactpunt is waar de betrokkene naartoe kan met vragen.
In de praktijk zien we dat – ook al is er geen sprake van een hoog risico voor de betrokkene – een melding aan de betrokkenen toch op zijn plaats is. Daarmee laat je zien dat je zorgvuldig omgaat met de persoonsgegevens van de patiënt/cliënt en direct overgaat tot maatregelen als deze ongeautoriseerd inzichtelijk zijn geworden.
Het is belangrijk dat ook na de melding aan de AP en betrokkene gericht afspraken maakt om het datalek voor de toekomst te voorkomen.
In de datalekkenregistratie kan je opnemen welke maatregelen preventief voor de toekomst genomen worden.
Verder is een belangrijk onderdeel van de nazorg, dat je communiceert naar de betrokkenen en deze meeneemt in de maatregelen die er naar aanleiding van het datalek zijn genomen en welke preventief naar de toekomst genomen worden.
Wanneer jouw medewerker het vermoeden heeft van een datalek, doet deze een melding via het meldingsformulier in AFAS-Profit.
De melding wordt vervolgens in de voor uw zorginstelling relevante workflow in behandeling genomen en beoordeelt door de privacyverantwoordelijke.
Door dit in te richten in AFAS-Profit zorg je ervoor dat:
Onze AFAS-specialisten implementeren in samenspraak met de Legal consultants de meldingsmogelijkheid en het verwerkingsregister in AFAS. Aan de hand van de processen in jouw zorgorganisatie richten we de workflow logisch en efficiënt in. Zo heb jij er geen omkijken meer naar en weet je zeker dat datalekken correct gemeld worden!
Legal consultant & AFAS consultant
Legal Consultant
AFAS consultant