Beschermt u uw patiëntgegevens wel goed genoeg?

dinsdag 26 april 2016
timer 6 min
Laptop gestolen of stapels dossiers die voor het grijpen liggen? Als u niet goed op de data van uw patiënten past, kan dat ernstige gevolgen hebben. Voor uw patiënten en uw praktijk.

Als zorgverlener verwerkt u verschillende soorten persoonsgegevens. Vooral de zogenaamde bijzondere persoonsgegevens, waaronder medische gegevens, zijn privacygevoelig. De wetgeving die de privacy bewaakt, de Wet Bescherming Persoonsgegevens wordt steeds strenger. Het meest recente uitvloeisel daarvan is de Meldplicht Datalekken die per 1 januari 2016 is ingevoerd (zie kader).


Het gaat bij informatiebeveiliging natuurlijk niet alleen om het ontlopen van boetes. Belangrijker is de reputatieschade die u oploopt als gegevens van uw patiënten niet veilig blijken en vooral de verantwoordelijkheid die u heeft als arts om de privacy van uw patiënten te bewaken. 

 

Normen

Er zijn twee normen die helpen om op een gestructureerde manier met informatiebeveiliging aan de slag te gaan en waartegen gecertificeerd kan worden.

 

Ten eerste de ISO 27001:2013 (wereldwijde standaard voor informatiebeveiliging). Deze norm gaat over het hebben van een werkend managementsysteem dat gericht is op het aantoonbaar beheersen van allerlei risico’s rondom informatiebeveiliging. De bijbehorende toelichting (ISO 27002) geeft een basis set van 113 maatregelen die een organisatie kan nemen om persoonsgegevens goed te beveiligen. Het gaat om de volgende onderwerpen:

 

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • ICT (beheer van systemen, processen en procedures)
  • Toegangsbeveiliging tot digitale informatie (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

 

 

De tweede norm NEN7510:2011 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de ISO27001 maar heeft daarnaast een extra set aan maatregelen voor medische- en patiënt gerelateerde informatie.

 

Verantwoordelijkheid

De verantwoordelijkheid voor de patiëntengegevens ligt bij u als zorgaanbieder. Als iemand schade ondervindt doordat zijn gegevens in verkeerde handen zijn geraakt, staat de Autoriteit Persoonsgegevens bij u op de stoep, zelfs als de gegevens door een fout van een van uw leveranciers (van bijvoorbeeld factoring of praktijksoftware) op straat liggen.


Om dit risico af te dekken is het daarom belangrijk om niet alleen zelf in uw praktijk voldoende veiligheidsmaatregelen te nemen (zie kader), maar om ook heel goed te controleren of uw leveranciers die werken met bijzondere persoonsgegevens op een zorgvuldige manier met deze data omgaan. Let er dus op dat de partijen die u inschakelt voldoende maatregelen nemen.

 

Leveranciers

Het is verstandig om als zorgaanbieder in de eerste lijn bewerkersovereenkomsten te sluiten met alle leveranciers die persoonsgegevens voor u bewerken. In zo’n bewerkersovereenkomst moet in ieder geval staan:

  • welke data de externe partij precies verwerkt en wat hij ermee mag doen;
  • welke maatregelen de externe partij neemt om datalekken te voorkomen.

 

Het is moeilijk om als leek te kunnen controleren of de externe partij ook daadwerkelijk de maatregelen neemt die ze beweert. Ook weet de gemiddelde praktijkhouder in de eerste lijn niet welke maatregelen afdoende zijn. Denk ook aan de leveranciers van de leveranciers: een factoringbedrijf schakelt bijvoorbeeld weer een printbedrijf en een deurwaarder in. Worden deze sub leveranciers wel goed gecontroleerd door uw leverancier (verantwoordelijkheid in de toeleveringsketen)?

 

Als uw leveranciers (en hun belangrijkste sub leveranciers!) gecertificeerd zijn volgens ISO27001 of NEN 7510 dan weet u zeker dat ze hun informatiebeveiligingsrisico’s op orde hebben en op een verantwoorde manier met uw patiëntengegevens omgaan. Dit is geen garantie dat er nooit iets mis gaat, maar op deze manier kunt u wel aantonen dat u alles heeft gedaan om de veiligheid van uw patiëntengegevens te waarborgen. 

 

Meldplicht Datalekken

De Meldplicht Datalekken is onderdeel van de Wet Bescherming Persoonsgegevens. Als persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, is dat een datalek. Een datalek, of het vermoeden van een datalek, moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens (AP) als er een kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval er als persoonsgegevens van gevoelige aard zijn gelekt, zoals gezondheidsgegevens, BSN of strafrechtelijke informatie. De AP kan een boete opleggen tot 820.000 euro of 10 procent van de jaaromzet als blijkt dat de persoonsgegevens onvoldoende beveiligd waren. Een datalek moet ook aan de patiënt worden gemeld als de inbreuk op de informatiebeveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de patiënt.

Bron: Medisch Contact, 7 januari 2016 


Praktische maatregelen die u in uw praktijk kunt nemen

Voor een praktijk in de eerste lijn is het wellicht te complex en tijdrovend om een ISO 27001 of NEN 7510 managementsysteem op te zetten. Maar er zijn ook veel andere maatregelen die u kunt treffen:

  • Let goed op de toegangsbeveiliging van uw it-systeem. Een wachtwoord moet regelmatig wijzigen en mag niet te makkelijk zijn. Er zijn speciale websites om de kracht van een wachtwoord te testen, bijvoorbeeld www.testjewachtwoord.nl  > Laptops moeten ook altijd beveiligd zijn met een wachtwoord.
  • Bij het verlaten van de werkplek moet de computer op slot worden gezet (clear screen).
  • Het is niet veilig om patiëntengegevens te versturen via niet-versleutelde mail, bijvoorbeeld outlook, gmail of hotmail. Zonder encryptie (versleuteling) moet u ervan uitgaan dat e-mail onveilig is. Ook Whatsapp is niet veilig voor het versturen van persoonsgegevens.
  • Niks op bureaus laten slingeren, alles na gebruik in afgesloten kasten opbergen (clean desk).
  • Of u laat door een deskundige een proefaudit uitvoeren tegen deze norm waarmee de belangrijkste informatiebeveiligingsrisico’s voor uw organisatie zichtbaar worden.

 

Het is ook zeer verstandig om uw beleid voor het omgaan met patiëntengegevens en de maatregelen die u heeft genomen op papier te zetten. Dan kunt u laten zien dat u er serieus mee bezig bent en zal het u minder zwaar worden aangerekend als het toch een keer mis gaat. 

 

Fred Bloem is financieel directeur van factoringbedrijf Infomedics ( www.infomedics.nl). Infomedics is sinds 2015 ISO 27001 en NEN7510 gecertificeerd. Infomedics eist van alle partners in zijn keten de zelfde certificeringsgraad, waardoor het bedrijf inmiddels volledig ketengecertificeerd is.


Dit artikel is geplaatst in editie 2-2016 van MedischOndernemen. Wilt u het magazine nabestellen? Dat kan door een mailtje te sturen naar susanne@medischondernemen.nl.

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Beschermt u uw patiëntgegevens wel goed genoeg?

Lees verder - met dit thema

Bellen met Lotte: Complete telefonieoplossing die voor rust en overzicht in de praktijk zorgt

1 okt om 13:37 uurtimer4 min

Bellen met Lotte biedt een complete telefonieoplossing voor de eerstelijnszorg om zorgverleners weer tijd te…

Lees verder »

Agilio Verbetertraject: Continu verbeteren van de praktijkvoering, patiëntenzorg én teamsamenwerking

17 sep om 09:33 uurtimer5 min

Agilio Software Nederland biedt als kennisprovider een nieuw traject aan waarin praktijkmanagers op basis van…

Lees verder »

Infomedics introduceert Declaratieservice Plus: ‘Kwaliteit en cashflow van de praktijk verbetert en declaratieproces wordt efficiënter’

11 sep om 09:00 uurtimer5 min

Infomedics is van een relatief kleine factoringaanbieder in vijftien jaar uitgegroeid naar een alom aanwezige…

Lees verder »

‘One-stop-shop’ voor ICT in de eerstelijnszorg: Cobbler focust op veiligheid, innovatie en proactieve ondersteuning

9 sep om 16:30 uurtimer4 min

Cobbler is een ICT-dienstverlener speciaal voor de eerstelijnszorg. Hun doel is om alle ICT-vraagstukken over…

Lees verder »

Innovatie in de tandheelkunde: de kracht van software

19 jun om 10:27 uurtimer5 min

In de moderne tandartspraktijk staat het bieden van hoogwaardige zorg centraal, maar een efficiënte…

Lees verder »

De gouden tip om lege agendaplekken in de mondzorgpraktijk aan te pakken

30 mei om 14:00 uurtimer3 min

Als er ineens een lege agendaplak ontstaat, kost het veel tijd om de agenda weer…

Lees verder »

Seminar DentalRules en ERPmedic op 26 juni: Van uitdaging naar oplossing

30 mei om 13:30 uurtimer3 min

Heeft u wel eens moeite met het motiveren van uw personeel? Of zou u willen dat uw personeel meer…

Lees verder »

DentallManager, all-in-one praktijkmanagement software: Stroomlijnt uw praktijkprocessen

15 mei om 14:15 uurtimer5 min

Razek Sharif is tandarts en directeur van DentalNetwork.nl, zes tandartsenpraktijken in…

Lees verder »