6

1149

109

Update | Zo richt je het proces in voor het melden van datalekken in de zorg [8 stappen]

‘Zorginstellingen moeten van privacybescherming een prioriteit maken’

In haar recent gepubliceerde jaarverslag 2019 schrijft de Autoriteit Persoonsgegevens (‘AP’), dat de AP zeer veel datalekmeldingen ontvangt vanuit de zorgsector. Daarmee is de zorgsector ook over 2019 gezien opnieuw koploper datalekmeldingen bij de AP.

De AP benadrukt hierbij dat zij in de afgelopen periode een aantal nare voorbeelden heeft gezien van datalekken, die ontzettend vervelende gevolgen kunnen hebben voor de mensen om wie het gaat. ‘Ziekenhuizen en andere zorginstellingen moeten daarom van privacybescherming een prioriteit maken’, aldus de vice-voorzitter van de AP.


Het belang van een efficiënt werkend systeem

De meeste meldingen van datalekken werden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen, zoals gezondheids-en welzijnsorganisaties, maatschappelijke dienstverlening en tandartsen, meldden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.

Het op orde hebben van processen rondom het melden van datalekken is essentieel om snel maatregelen te kunnen nemen en een melding te kunnen doen. Niet alleen om binnen 72 uur aan de meldingsplicht te voldoen, maar ook om de betrokkene tijdig te informeren en schadebeperkende maatregelen op tijd te nemen.

Alleen een goed en efficiënt werkend systeem en proces voor het melden van datalekken biedt jouw zorgorganisatie optimale bescherming aan de gevoelige persoonsgegevens van patiënten en cliënten.


In 8 stappen het proces en meldingssysteem op orde krijgen

Omdat datalekken zeer ernstige gevolgen kunnen hebben voor de privacy van patiënten en cliënten is het zaak dat er snel gereageerd kan worden. Het is dus zaak dat de medewerker in staat is om een datalek te herkennen en deze laagdrempelig kan melden bij de privacyverantwoordelijke.


Stap 1: Bewustzijn creëren in het melden van datalekken

Zorg dat medewerkers weten wat een datalek is en hoe ze moeten handelen als ze een datalek constateren. Dit kan je doen door gerichte bewustwordingsacties en frequent aandacht te vragen voor het onderwerp.

Lees ook: Hoe laat ik mijn organisatie privacy awareness ademen?


Stap 2: Meldpunt ontwikkelen op het AFAS-platform

Creëer een meldingsmogelijkheid op het AFAS-platform.

Op het AFAS platform is het mogelijk om een datalekken workflow in te richten. Zodra een medewerker een melding doet via het AFAS-formulier ontvangt de privacyverantwoordelijke van jouw organisatie een e-mail of melding van het datalek om deze te beoordelen.


Stap 3: de beoordeling van het datalek

Na de melding door de medewerker maakt de privacyverantwoordelijke een beoordeling van het gemelde datalek. Hierbij verzamelt de privacyverantwoordelijke alle informatie die beschikbaar is rondom het datalek: Wat is de omvang? Is het een datalek waarbij persoonsgegevens zijn betrokken? Wanneer is deze ontdekt?

Welke persoonsgegevens zijn mogelijk verloren gegaan of ongeautoriseerd toegankelijk gemaakt? Wie zijn de ontvangers van de persoonsgegevens? Wat zijn de mogelijke gevolgen voor de betrokkenen? En moet er een melding plaatsvinden aan de AP en/of betrokkene?

Bij deze stap wordt ook de functionaris gegevensbescherming op de hoogte gebracht en om advies gevraagd.

Stap 4: Informeer stakeholders in de organisatie over het datalek

Het is belangrijk om de belangrijkste functionarissen in jouw organisatie via de ingerichte workflow/het proces te informeren. Vaak zijn dat bijvoorbeeld medewerkers van het managementteam van de zorginstelling en de security officer.

Vervolgens kan je in de workflow opnemen dat na de beoordeling en het informeren van relevante stakeholders een bericht wordt verstuurd aan de eindverantwoordelijken in jouw organisatie voor verdere besluitvorming. De eindverantwoordelijken besluiten vervolgens op basis van de verkregen informatie over het datalek en besluiten of er een melding plaatvindt aan de AP en of de betrokkenen worden geinformeerd.


Stap 5: bestrijd het datalek!

Natuurlijk is het van belang dat je meteen actie onderneemt en achterhaalt wat de oorzaak is van het datalek. Is er bijvoorbeeld sprake van een technische oorzaak gelegen binnen de organisatie? Is er sprake van menselijk handelen wat heeft geleid tot het datalek? Is er sprake van een technische oorzaak die gelegen is bij uw verwerker of subverwerker? Neem vervolgens gerichte maatregelen om nadelige gevolgen te minimaliseren.

Stap 6: Voorbereiding datalek melding aan de AP

Verzamel alle gegevens die nodig zijn om een melding te doen. Wanneer de workflow en het meldings-beoordelingsproces correct in AFAS is ingericht, is deze informatie al beschikbaar in het systeem. Door een goed ingericht meldingsformulier zorg je er als zorgorganisatie voor dat je direct de noodzakelijke informatie voorhanden hebt.

Zoals een weergave van het tijdstip van het incident, hoeveel betrokkenen zijn getroffen, welk type persoonsgegevens verloren zijn gegaan, of er sprake is van een inbreuk op de vertrouwelijkheid van de gegevens, of er sprake is van verminderde beschikbaarheid van gegevens en meer.


Stap 7: bepaal of melding aan betrokkene noodzakelijk is

Een melding aan de betrokkene moet plaatsvinden als er sprake is van een hoog risico voor de betrokkene(n). Bij deze stap is het belangrijk om te bepalen of er gemeld moet worden en vast te leggen waarom je wel of niet daartoe overgaat.

Als er overgegaan wordt tot een melding, dan is het van belang om vast te stellen op welke manier dat plaatsvindt (per e-mail, brief of via de website). Ook is het van belang dat er een contactpunt is waar de betrokkene naartoe kan met vragen.

In de praktijk zien we dat – ook al is er geen sprake van een hoog risico voor de betrokkene – een melding aan de betrokkenen toch op zijn plaats is. Daarmee laat je zien dat je zorgvuldig omgaat met de persoonsgegevens van de patiënt/cliënt en direct overgaat tot maatregelen als deze ongeautoriseerd inzichtelijk zijn geworden.


Stap 8: Nazorg bieden na de datalek

Het is belangrijk dat ook na de melding aan de AP en betrokkene gericht afspraken maakt om het datalek voor de toekomst te voorkomen.

In de datalekkenregistratie kan je opnemen welke maatregelen preventief voor de toekomst genomen worden.

Verder is een belangrijk onderdeel van de nazorg, dat je communiceert naar de betrokkenen en deze meeneemt in de maatregelen die er naar aanleiding van het datalek zijn genomen en welke preventief naar de toekomst genomen worden.


Het melden van datalekken in AFAS – Profit

In AFAS profit is het mogelijk om voor jouw medewerkers een mogelijkheid te bieden tot het melden van een datalek of beveiligingsincident.

Wanneer jouw medewerker het vermoeden heeft van een datalek, doet deze een melding via het meldingsformulier in AFAS-Profit.

De melding wordt vervolgens in de voor uw zorginstelling relevante workflow in behandeling genomen en beoordeelt door de privacyverantwoordelijke.

Door dit in te richten in AFAS-Profit zorg je ervoor dat:

  • Medewerkers een duidelijk meldpunt hebben
  • Het meldingsproces efficiënt en snel verloopt via de vormgegeven workflow
  • Alle noodzakelijke informatie vastlegt om over te kunnen gaan tot een melding
  • Een datalekkenregister hebt en daarmee voldoet aan de AVG
  • Dat je rapportages kunt draaien en daardoor veel voorkomende incidenten inzichtelijk worden, zodat je gericht maatregelen kunt nemen

Onze AFAS-specialisten implementeren in samenspraak met de Legal consultants de meldingsmogelijkheid en het verwerkingsregister in AFAS. Aan de hand van de processen in jouw zorgorganisatie richten we de workflow logisch en efficiënt in. Zo heb jij er geen omkijken meer naar en weet je zeker dat datalekken correct gemeld worden!


Ik wil meer weten!

Harm Jan Sleijffers & Tom Neutkens

Legal consultant & AFAS consultant

Harm Jan Sleijffers

Legal Consultant

Tom Neutkens

AFAS consultant

©2020 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact