Beschermt u uw patiëntgegevens wel goed genoeg?

dinsdag 26 april 2016
timer 6 min
Laptop gestolen of stapels dossiers die voor het grijpen liggen? Als u niet goed op de data van uw patiënten past, kan dat ernstige gevolgen hebben. Voor uw patiënten en uw praktijk.

Als zorgverlener verwerkt u verschillende soorten persoonsgegevens. Vooral de zogenaamde bijzondere persoonsgegevens, waaronder medische gegevens, zijn privacygevoelig. De wetgeving die de privacy bewaakt, de Wet Bescherming Persoonsgegevens wordt steeds strenger. Het meest recente uitvloeisel daarvan is de Meldplicht Datalekken die per 1 januari 2016 is ingevoerd (zie kader).


Het gaat bij informatiebeveiliging natuurlijk niet alleen om het ontlopen van boetes. Belangrijker is de reputatieschade die u oploopt als gegevens van uw patiënten niet veilig blijken en vooral de verantwoordelijkheid die u heeft als arts om de privacy van uw patiënten te bewaken. 

 

Normen

Er zijn twee normen die helpen om op een gestructureerde manier met informatiebeveiliging aan de slag te gaan en waartegen gecertificeerd kan worden.

 

Ten eerste de ISO 27001:2013 (wereldwijde standaard voor informatiebeveiliging). Deze norm gaat over het hebben van een werkend managementsysteem dat gericht is op het aantoonbaar beheersen van allerlei risico’s rondom informatiebeveiliging. De bijbehorende toelichting (ISO 27002) geeft een basis set van 113 maatregelen die een organisatie kan nemen om persoonsgegevens goed te beveiligen. Het gaat om de volgende onderwerpen:

 

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • ICT (beheer van systemen, processen en procedures)
  • Toegangsbeveiliging tot digitale informatie (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

 

 

De tweede norm NEN7510:2011 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de ISO27001 maar heeft daarnaast een extra set aan maatregelen voor medische- en patiënt gerelateerde informatie.

 

Verantwoordelijkheid

De verantwoordelijkheid voor de patiëntengegevens ligt bij u als zorgaanbieder. Als iemand schade ondervindt doordat zijn gegevens in verkeerde handen zijn geraakt, staat de Autoriteit Persoonsgegevens bij u op de stoep, zelfs als de gegevens door een fout van een van uw leveranciers (van bijvoorbeeld factoring of praktijksoftware) op straat liggen.


Om dit risico af te dekken is het daarom belangrijk om niet alleen zelf in uw praktijk voldoende veiligheidsmaatregelen te nemen (zie kader), maar om ook heel goed te controleren of uw leveranciers die werken met bijzondere persoonsgegevens op een zorgvuldige manier met deze data omgaan. Let er dus op dat de partijen die u inschakelt voldoende maatregelen nemen.

 

Leveranciers

Het is verstandig om als zorgaanbieder in de eerste lijn bewerkersovereenkomsten te sluiten met alle leveranciers die persoonsgegevens voor u bewerken. In zo’n bewerkersovereenkomst moet in ieder geval staan:

  • welke data de externe partij precies verwerkt en wat hij ermee mag doen;
  • welke maatregelen de externe partij neemt om datalekken te voorkomen.

 

Het is moeilijk om als leek te kunnen controleren of de externe partij ook daadwerkelijk de maatregelen neemt die ze beweert. Ook weet de gemiddelde praktijkhouder in de eerste lijn niet welke maatregelen afdoende zijn. Denk ook aan de leveranciers van de leveranciers: een factoringbedrijf schakelt bijvoorbeeld weer een printbedrijf en een deurwaarder in. Worden deze sub leveranciers wel goed gecontroleerd door uw leverancier (verantwoordelijkheid in de toeleveringsketen)?

 

Als uw leveranciers (en hun belangrijkste sub leveranciers!) gecertificeerd zijn volgens ISO27001 of NEN 7510 dan weet u zeker dat ze hun informatiebeveiligingsrisico’s op orde hebben en op een verantwoorde manier met uw patiëntengegevens omgaan. Dit is geen garantie dat er nooit iets mis gaat, maar op deze manier kunt u wel aantonen dat u alles heeft gedaan om de veiligheid van uw patiëntengegevens te waarborgen. 

 

Meldplicht Datalekken

De Meldplicht Datalekken is onderdeel van de Wet Bescherming Persoonsgegevens. Als persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, is dat een datalek. Een datalek, of het vermoeden van een datalek, moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens (AP) als er een kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval er als persoonsgegevens van gevoelige aard zijn gelekt, zoals gezondheidsgegevens, BSN of strafrechtelijke informatie. De AP kan een boete opleggen tot 820.000 euro of 10 procent van de jaaromzet als blijkt dat de persoonsgegevens onvoldoende beveiligd waren. Een datalek moet ook aan de patiënt worden gemeld als de inbreuk op de informatiebeveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de patiënt.

Bron: Medisch Contact, 7 januari 2016 


Praktische maatregelen die u in uw praktijk kunt nemen

Voor een praktijk in de eerste lijn is het wellicht te complex en tijdrovend om een ISO 27001 of NEN 7510 managementsysteem op te zetten. Maar er zijn ook veel andere maatregelen die u kunt treffen:

  • Let goed op de toegangsbeveiliging van uw it-systeem. Een wachtwoord moet regelmatig wijzigen en mag niet te makkelijk zijn. Er zijn speciale websites om de kracht van een wachtwoord te testen, bijvoorbeeld www.testjewachtwoord.nl  > Laptops moeten ook altijd beveiligd zijn met een wachtwoord.
  • Bij het verlaten van de werkplek moet de computer op slot worden gezet (clear screen).
  • Het is niet veilig om patiëntengegevens te versturen via niet-versleutelde mail, bijvoorbeeld outlook, gmail of hotmail. Zonder encryptie (versleuteling) moet u ervan uitgaan dat e-mail onveilig is. Ook Whatsapp is niet veilig voor het versturen van persoonsgegevens.
  • Niks op bureaus laten slingeren, alles na gebruik in afgesloten kasten opbergen (clean desk).
  • Of u laat door een deskundige een proefaudit uitvoeren tegen deze norm waarmee de belangrijkste informatiebeveiligingsrisico’s voor uw organisatie zichtbaar worden.

 

Het is ook zeer verstandig om uw beleid voor het omgaan met patiëntengegevens en de maatregelen die u heeft genomen op papier te zetten. Dan kunt u laten zien dat u er serieus mee bezig bent en zal het u minder zwaar worden aangerekend als het toch een keer mis gaat. 

 

Fred Bloem is financieel directeur van factoringbedrijf Infomedics ( www.infomedics.nl). Infomedics is sinds 2015 ISO 27001 en NEN7510 gecertificeerd. Infomedics eist van alle partners in zijn keten de zelfde certificeringsgraad, waardoor het bedrijf inmiddels volledig ketengecertificeerd is.


Dit artikel is geplaatst in editie 2-2016 van MedischOndernemen. Wilt u het magazine nabestellen? Dat kan door een mailtje te sturen naar susanne@medischondernemen.nl.

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Beschermt u uw patiëntgegevens wel goed genoeg?

Lees verder - met dit thema

Medici vrezen voor veiligheid patiëntgegevens bij digitale inzage
flash_onNieuws

Medici vrezen voor veiligheid patiëntgegevens bij digitale inzage

13 aug 2018 timer2 min
Iedereen in Nederland heeft vanaf 2020 het wettelijk recht om online, op de computer of via een app op zijn…
Lees verder »
NZa gaat extra geld voor huisartsen in achterstandswijken op een andere manier verdelen
flash_onNieuws

NZa gaat extra geld voor huisartsen in achterstandswijken op een andere manier verdelen

19 jul 2018 timer2 min
De Nederlandse Zorgautoriteit (NZa) heeft de postcodelijst voor de verdeling van de opslag voor achterstandswijken…
Lees verder »

Veilig werken: (Linux) server aan vervanging toe?

17 jul 2018 timer6 min
Veel praktijken kampen met het moeten vervangen van een Windows of Linux server. Dit betreft een forse kostenpost…
Lees verder »
Handboek voor e-consult huisarts verschenen
flash_onNieuws

Handboek voor e-consult huisarts verschenen

12 jul 2018 timer2 min
Om huisartsen te helpen bij het inzetten van e-consulten in hun praktijk hebben LHV, NHG en NICTIZ een praktisch…
Lees verder »
NZa publiceert wegwijzer bekostiging e-health
flash_onNieuws

NZa publiceert wegwijzer bekostiging e-health

11 jul 2018 timer1 min
De NZa heeft de Wegwijzer bekostiging e-health 2019 gepubliceerd. In één overzichtelijk document staat voor iedere…
Lees verder »
InFocus: ‘Regionale samenwerking starten? Denk aan (online) communicatie’
flash_onNieuws

InFocus: ‘Regionale samenwerking starten? Denk aan (online) communicatie’

11 jul 2018 timer3 min
Samen met eerstelijnszorgprofessionals in uw omgeving start u een regionale samenwerking. Maar, onder welke…
Lees verder »
Bruggen bouwen naar de toekomst van de eerste lijn
flash_onNieuws

Bruggen bouwen naar de toekomst van de eerste lijn

4 jul 2018 timer6 min
Tijdens de bijeenkomst Building Bridges, die ABN AMRO op 14 juni organiseerde, presenteerden jonge high-potentials…
Lees verder »
NZa verruimt regels voor declaratie zorg op afstand
flash_onNieuws

NZa verruimt regels voor declaratie zorg op afstand

20 jun 2018 timer2 min
De Nederlandse Zorgautoriteit (NZa) heeft de regelgeving voor de bekostiging van e-health voor volgend jaar…
Lees verder »