Beschermt u uw patiëntgegevens wel goed genoeg?

dinsdag 26 april 2016
timer 6 min
Laptop gestolen of stapels dossiers die voor het grijpen liggen? Als u niet goed op de data van uw patiënten past, kan dat ernstige gevolgen hebben. Voor uw patiënten en uw praktijk.

Als zorgverlener verwerkt u verschillende soorten persoonsgegevens. Vooral de zogenaamde bijzondere persoonsgegevens, waaronder medische gegevens, zijn privacygevoelig. De wetgeving die de privacy bewaakt, de Wet Bescherming Persoonsgegevens wordt steeds strenger. Het meest recente uitvloeisel daarvan is de Meldplicht Datalekken die per 1 januari 2016 is ingevoerd (zie kader).


Het gaat bij informatiebeveiliging natuurlijk niet alleen om het ontlopen van boetes. Belangrijker is de reputatieschade die u oploopt als gegevens van uw patiënten niet veilig blijken en vooral de verantwoordelijkheid die u heeft als arts om de privacy van uw patiënten te bewaken. 

 

Normen

Er zijn twee normen die helpen om op een gestructureerde manier met informatiebeveiliging aan de slag te gaan en waartegen gecertificeerd kan worden.

 

Ten eerste de ISO 27001:2013 (wereldwijde standaard voor informatiebeveiliging). Deze norm gaat over het hebben van een werkend managementsysteem dat gericht is op het aantoonbaar beheersen van allerlei risico’s rondom informatiebeveiliging. De bijbehorende toelichting (ISO 27002) geeft een basis set van 113 maatregelen die een organisatie kan nemen om persoonsgegevens goed te beveiligen. Het gaat om de volgende onderwerpen:

 

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • ICT (beheer van systemen, processen en procedures)
  • Toegangsbeveiliging tot digitale informatie (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

 

 

De tweede norm NEN7510:2011 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de ISO27001 maar heeft daarnaast een extra set aan maatregelen voor medische- en patiënt gerelateerde informatie.

 

Verantwoordelijkheid

De verantwoordelijkheid voor de patiëntengegevens ligt bij u als zorgaanbieder. Als iemand schade ondervindt doordat zijn gegevens in verkeerde handen zijn geraakt, staat de Autoriteit Persoonsgegevens bij u op de stoep, zelfs als de gegevens door een fout van een van uw leveranciers (van bijvoorbeeld factoring of praktijksoftware) op straat liggen.


Om dit risico af te dekken is het daarom belangrijk om niet alleen zelf in uw praktijk voldoende veiligheidsmaatregelen te nemen (zie kader), maar om ook heel goed te controleren of uw leveranciers die werken met bijzondere persoonsgegevens op een zorgvuldige manier met deze data omgaan. Let er dus op dat de partijen die u inschakelt voldoende maatregelen nemen.

 

Leveranciers

Het is verstandig om als zorgaanbieder in de eerste lijn bewerkersovereenkomsten te sluiten met alle leveranciers die persoonsgegevens voor u bewerken. In zo’n bewerkersovereenkomst moet in ieder geval staan:

  • welke data de externe partij precies verwerkt en wat hij ermee mag doen;
  • welke maatregelen de externe partij neemt om datalekken te voorkomen.

 

Het is moeilijk om als leek te kunnen controleren of de externe partij ook daadwerkelijk de maatregelen neemt die ze beweert. Ook weet de gemiddelde praktijkhouder in de eerste lijn niet welke maatregelen afdoende zijn. Denk ook aan de leveranciers van de leveranciers: een factoringbedrijf schakelt bijvoorbeeld weer een printbedrijf en een deurwaarder in. Worden deze sub leveranciers wel goed gecontroleerd door uw leverancier (verantwoordelijkheid in de toeleveringsketen)?

 

Als uw leveranciers (en hun belangrijkste sub leveranciers!) gecertificeerd zijn volgens ISO27001 of NEN 7510 dan weet u zeker dat ze hun informatiebeveiligingsrisico’s op orde hebben en op een verantwoorde manier met uw patiëntengegevens omgaan. Dit is geen garantie dat er nooit iets mis gaat, maar op deze manier kunt u wel aantonen dat u alles heeft gedaan om de veiligheid van uw patiëntengegevens te waarborgen. 

 

Meldplicht Datalekken

De Meldplicht Datalekken is onderdeel van de Wet Bescherming Persoonsgegevens. Als persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, is dat een datalek. Een datalek, of het vermoeden van een datalek, moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens (AP) als er een kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval er als persoonsgegevens van gevoelige aard zijn gelekt, zoals gezondheidsgegevens, BSN of strafrechtelijke informatie. De AP kan een boete opleggen tot 820.000 euro of 10 procent van de jaaromzet als blijkt dat de persoonsgegevens onvoldoende beveiligd waren. Een datalek moet ook aan de patiënt worden gemeld als de inbreuk op de informatiebeveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de patiënt.

Bron: Medisch Contact, 7 januari 2016 


Praktische maatregelen die u in uw praktijk kunt nemen

Voor een praktijk in de eerste lijn is het wellicht te complex en tijdrovend om een ISO 27001 of NEN 7510 managementsysteem op te zetten. Maar er zijn ook veel andere maatregelen die u kunt treffen:

  • Let goed op de toegangsbeveiliging van uw it-systeem. Een wachtwoord moet regelmatig wijzigen en mag niet te makkelijk zijn. Er zijn speciale websites om de kracht van een wachtwoord te testen, bijvoorbeeld www.testjewachtwoord.nl  > Laptops moeten ook altijd beveiligd zijn met een wachtwoord.
  • Bij het verlaten van de werkplek moet de computer op slot worden gezet (clear screen).
  • Het is niet veilig om patiëntengegevens te versturen via niet-versleutelde mail, bijvoorbeeld outlook, gmail of hotmail. Zonder encryptie (versleuteling) moet u ervan uitgaan dat e-mail onveilig is. Ook Whatsapp is niet veilig voor het versturen van persoonsgegevens.
  • Niks op bureaus laten slingeren, alles na gebruik in afgesloten kasten opbergen (clean desk).
  • Of u laat door een deskundige een proefaudit uitvoeren tegen deze norm waarmee de belangrijkste informatiebeveiligingsrisico’s voor uw organisatie zichtbaar worden.

 

Het is ook zeer verstandig om uw beleid voor het omgaan met patiëntengegevens en de maatregelen die u heeft genomen op papier te zetten. Dan kunt u laten zien dat u er serieus mee bezig bent en zal het u minder zwaar worden aangerekend als het toch een keer mis gaat. 

 

Fred Bloem is financieel directeur van factoringbedrijf Infomedics ( www.infomedics.nl). Infomedics is sinds 2015 ISO 27001 en NEN7510 gecertificeerd. Infomedics eist van alle partners in zijn keten de zelfde certificeringsgraad, waardoor het bedrijf inmiddels volledig ketengecertificeerd is.


Dit artikel is geplaatst in editie 2-2016 van MedischOndernemen. Wilt u het magazine nabestellen? Dat kan door een mailtje te sturen naar susanne@medischondernemen.nl.

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Beschermt u uw patiëntgegevens wel goed genoeg?

Lees verder - met dit thema

'Nederlander googelt arts uit onbehagen'
flash_onNieuws

'Nederlander googelt arts uit onbehagen'

25 aug 2016 timer3 min
Dat patiënten massaal googelen wisten we al. Recent onderzoek toont nu aan dat ze dat vooral doen uit angst en…
Lees verder »
Overstap van HIS leidt tot rechtszaak voor huisarts
flash_onNieuws

Overstap van HIS leidt tot rechtszaak voor huisarts

25 aug 2016 timer2 min
Een huisarts is door een patiënt aangeklaagd voor het kwijtraken van het patiëntdossier. De klacht werd ongegrond…
Lees verder »
Snel en slim zoeken naar mail in Outlook (deel 1)
flash_onNieuws

Snel en slim zoeken naar mail in Outlook (deel 1)

17 aug 2016 timer4 min
Merk je ook dat het 'zoeken naar' maar vooral het 'terugvinden van' bepaalde e-mailberichten een behoorlijke…
Lees verder »
Wat is het Internet of Things?
flash_onNieuws

Wat is het Internet of Things?

8 aug 2016 timer3 min
In deze nieuwe serie leggen we u een aantal IT-ontwikkelingen uit die in de nabije toekomst veel invloed gaan…
Lees verder »
'Patiënten even kritisch als Inspectie'
flash_onNieuws

'Patiënten even kritisch als Inspectie'

20 jul 2016 timer3 min
Patiënten beoordelen dezelfde ziekenhuizen als risicovol als de Inspectie voor de Gezondheidszorg (IGZ) dat doet.…
Lees verder »
Brand in uw praktijk: het ontruimingsplan
flash_onNieuws

Brand in uw praktijk: het ontruimingsplan

8 jul 2016 timer3 min
Ondanks allerlei voorzorgsmaatregelen kan er in een gebouw toch brand ontstaan. Al snel ontstaat er dan een…
Lees verder »

De mondzorgpraktijk in de hand met Salusys Mobile app

8 jul 2016 timer2 min
Na de oplossing voor de WLZ-declaratieproblematiek komt automatiseerder voor de mondzorg Flexdata nu met een…
Lees verder »
eHealth: handig of kwakzalverij?
person_outlineBlog

eHealth: handig of kwakzalverij?

28 jun 2016 timer4 min
De eHealth-toepassingen schieten als paddenstoelen uit de grond maar de kwaliteit ervan is meestal moeilijk te…
Lees verder »