Beschermt u uw patiëntgegevens wel goed genoeg?

dinsdag 26 april 2016
timer 6 min
Laptop gestolen of stapels dossiers die voor het grijpen liggen? Als u niet goed op de data van uw patiënten past, kan dat ernstige gevolgen hebben. Voor uw patiënten en uw praktijk.

Als zorgverlener verwerkt u verschillende soorten persoonsgegevens. Vooral de zogenaamde bijzondere persoonsgegevens, waaronder medische gegevens, zijn privacygevoelig. De wetgeving die de privacy bewaakt, de Wet Bescherming Persoonsgegevens wordt steeds strenger. Het meest recente uitvloeisel daarvan is de Meldplicht Datalekken die per 1 januari 2016 is ingevoerd (zie kader).


Het gaat bij informatiebeveiliging natuurlijk niet alleen om het ontlopen van boetes. Belangrijker is de reputatieschade die u oploopt als gegevens van uw patiënten niet veilig blijken en vooral de verantwoordelijkheid die u heeft als arts om de privacy van uw patiënten te bewaken. 

 

Normen

Er zijn twee normen die helpen om op een gestructureerde manier met informatiebeveiliging aan de slag te gaan en waartegen gecertificeerd kan worden.

 

Ten eerste de ISO 27001:2013 (wereldwijde standaard voor informatiebeveiliging). Deze norm gaat over het hebben van een werkend managementsysteem dat gericht is op het aantoonbaar beheersen van allerlei risico’s rondom informatiebeveiliging. De bijbehorende toelichting (ISO 27002) geeft een basis set van 113 maatregelen die een organisatie kan nemen om persoonsgegevens goed te beveiligen. Het gaat om de volgende onderwerpen:

 

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • ICT (beheer van systemen, processen en procedures)
  • Toegangsbeveiliging tot digitale informatie (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

 

 

De tweede norm NEN7510:2011 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de ISO27001 maar heeft daarnaast een extra set aan maatregelen voor medische- en patiënt gerelateerde informatie.

 

Verantwoordelijkheid

De verantwoordelijkheid voor de patiëntengegevens ligt bij u als zorgaanbieder. Als iemand schade ondervindt doordat zijn gegevens in verkeerde handen zijn geraakt, staat de Autoriteit Persoonsgegevens bij u op de stoep, zelfs als de gegevens door een fout van een van uw leveranciers (van bijvoorbeeld factoring of praktijksoftware) op straat liggen.


Om dit risico af te dekken is het daarom belangrijk om niet alleen zelf in uw praktijk voldoende veiligheidsmaatregelen te nemen (zie kader), maar om ook heel goed te controleren of uw leveranciers die werken met bijzondere persoonsgegevens op een zorgvuldige manier met deze data omgaan. Let er dus op dat de partijen die u inschakelt voldoende maatregelen nemen.

 

Leveranciers

Het is verstandig om als zorgaanbieder in de eerste lijn bewerkersovereenkomsten te sluiten met alle leveranciers die persoonsgegevens voor u bewerken. In zo’n bewerkersovereenkomst moet in ieder geval staan:

  • welke data de externe partij precies verwerkt en wat hij ermee mag doen;
  • welke maatregelen de externe partij neemt om datalekken te voorkomen.

 

Het is moeilijk om als leek te kunnen controleren of de externe partij ook daadwerkelijk de maatregelen neemt die ze beweert. Ook weet de gemiddelde praktijkhouder in de eerste lijn niet welke maatregelen afdoende zijn. Denk ook aan de leveranciers van de leveranciers: een factoringbedrijf schakelt bijvoorbeeld weer een printbedrijf en een deurwaarder in. Worden deze sub leveranciers wel goed gecontroleerd door uw leverancier (verantwoordelijkheid in de toeleveringsketen)?

 

Als uw leveranciers (en hun belangrijkste sub leveranciers!) gecertificeerd zijn volgens ISO27001 of NEN 7510 dan weet u zeker dat ze hun informatiebeveiligingsrisico’s op orde hebben en op een verantwoorde manier met uw patiëntengegevens omgaan. Dit is geen garantie dat er nooit iets mis gaat, maar op deze manier kunt u wel aantonen dat u alles heeft gedaan om de veiligheid van uw patiëntengegevens te waarborgen. 

 

Meldplicht Datalekken

De Meldplicht Datalekken is onderdeel van de Wet Bescherming Persoonsgegevens. Als persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, is dat een datalek. Een datalek, of het vermoeden van een datalek, moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens (AP) als er een kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval er als persoonsgegevens van gevoelige aard zijn gelekt, zoals gezondheidsgegevens, BSN of strafrechtelijke informatie. De AP kan een boete opleggen tot 820.000 euro of 10 procent van de jaaromzet als blijkt dat de persoonsgegevens onvoldoende beveiligd waren. Een datalek moet ook aan de patiënt worden gemeld als de inbreuk op de informatiebeveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de patiënt.

Bron: Medisch Contact, 7 januari 2016 


Praktische maatregelen die u in uw praktijk kunt nemen

Voor een praktijk in de eerste lijn is het wellicht te complex en tijdrovend om een ISO 27001 of NEN 7510 managementsysteem op te zetten. Maar er zijn ook veel andere maatregelen die u kunt treffen:

  • Let goed op de toegangsbeveiliging van uw it-systeem. Een wachtwoord moet regelmatig wijzigen en mag niet te makkelijk zijn. Er zijn speciale websites om de kracht van een wachtwoord te testen, bijvoorbeeld www.testjewachtwoord.nl  > Laptops moeten ook altijd beveiligd zijn met een wachtwoord.
  • Bij het verlaten van de werkplek moet de computer op slot worden gezet (clear screen).
  • Het is niet veilig om patiëntengegevens te versturen via niet-versleutelde mail, bijvoorbeeld outlook, gmail of hotmail. Zonder encryptie (versleuteling) moet u ervan uitgaan dat e-mail onveilig is. Ook Whatsapp is niet veilig voor het versturen van persoonsgegevens.
  • Niks op bureaus laten slingeren, alles na gebruik in afgesloten kasten opbergen (clean desk).
  • Of u laat door een deskundige een proefaudit uitvoeren tegen deze norm waarmee de belangrijkste informatiebeveiligingsrisico’s voor uw organisatie zichtbaar worden.

 

Het is ook zeer verstandig om uw beleid voor het omgaan met patiëntengegevens en de maatregelen die u heeft genomen op papier te zetten. Dan kunt u laten zien dat u er serieus mee bezig bent en zal het u minder zwaar worden aangerekend als het toch een keer mis gaat. 

 

Fred Bloem is financieel directeur van factoringbedrijf Infomedics ( www.infomedics.nl). Infomedics is sinds 2015 ISO 27001 en NEN7510 gecertificeerd. Infomedics eist van alle partners in zijn keten de zelfde certificeringsgraad, waardoor het bedrijf inmiddels volledig ketengecertificeerd is.


Dit artikel is geplaatst in editie 2-2016 van MedischOndernemen. Wilt u het magazine nabestellen? Dat kan door een mailtje te sturen naar susanne@medischondernemen.nl.

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Beschermt u uw patiëntgegevens wel goed genoeg?

Lees verder - met dit thema

vanBERNARD: allesomvattende software voor een efficiënte en eenvoudige bedrijfsvoering in iedere tandartspraktijk

23 mei 2023 timer3 min

vanBERNARD heeft samen met ZorgSom & Partners een nieuw softwarepakket gebouwd en is verheugd om aan te…

Lees verder »

Verbeter de kwaliteit van zorg met MedicPlek - Het innovatieve digitale platform voor de gezondheidszorg

23 mei 2023 timer3 min

MedicPlek, het innovatieve digitale platform voor de gezondheidszorg, zet zich in voor het verbeteren van de…

Lees verder »

Infomedics wil ‘het verschil maken’: ‘De zorg optimaal laten functioneren. En vooral menselijk houden’

15 mei 2023 timer4 min
Infomedics wil de administratieve druk zoveel mogelijk bij zorgverleners weghalen, zodat ze zich volledig op de…
Lees verder »

Justine Moes, adviseur bij DentalRules: ‘Onze kracht is dat het een alles-in-één-systeem is’

15 mei 2023 timer5 min

Maak kennis met Justine Moes, adviseur bij DentalRules. Vanaf haar 19e werkzaam in de…

Lees verder »

De voordelen van het wachtkamerscherm voor de praktijkmanager

2 mei 2023 timer3 min
Voor patiënten in de huisartsenpraktijk is het wachtkamerscherm informatief en prettig om naar te kijken tijdens…
Lees verder »

Praktijkhandboek ‘dentalQmanagement’ maakt werken in praktijk makkelijk

24 apr 2023 timer4 min
DentalQmanagement is een praktijkhandboek ter ondersteuning van het praktijk- en kwaliteitsmanagement in de…
Lees verder »

Michael Joosen over patiënten- en medewerkerstevredenheid: ‘Goede online reputatie helpt bij het vinden van personeel’

13 apr 2023 timer6 min
ReviewCollect is een tool waarmee praktijken eenvoudig, gebruiksvriendelijk en systematisch reviews kunnen…
Lees verder »
person_outlineBlog

Het belang van een sterk en uniek wachtwoord voor jouw praktijkwebsite

23 feb 2023 timer4 min
Veel praktijkwebsites maken gebruik van geïntegreerde formulieren, waar patiënten online hun persoonsgegevens (…
Lees verder »