Beschermt u uw patiëntgegevens wel goed genoeg?

dinsdag 26 april 2016
timer 6 min
Laptop gestolen of stapels dossiers die voor het grijpen liggen? Als u niet goed op de data van uw patiënten past, kan dat ernstige gevolgen hebben. Voor uw patiënten en uw praktijk.

Als zorgverlener verwerkt u verschillende soorten persoonsgegevens. Vooral de zogenaamde bijzondere persoonsgegevens, waaronder medische gegevens, zijn privacygevoelig. De wetgeving die de privacy bewaakt, de Wet Bescherming Persoonsgegevens wordt steeds strenger. Het meest recente uitvloeisel daarvan is de Meldplicht Datalekken die per 1 januari 2016 is ingevoerd (zie kader).


Het gaat bij informatiebeveiliging natuurlijk niet alleen om het ontlopen van boetes. Belangrijker is de reputatieschade die u oploopt als gegevens van uw patiënten niet veilig blijken en vooral de verantwoordelijkheid die u heeft als arts om de privacy van uw patiënten te bewaken. 

 

Normen

Er zijn twee normen die helpen om op een gestructureerde manier met informatiebeveiliging aan de slag te gaan en waartegen gecertificeerd kan worden.

 

Ten eerste de ISO 27001:2013 (wereldwijde standaard voor informatiebeveiliging). Deze norm gaat over het hebben van een werkend managementsysteem dat gericht is op het aantoonbaar beheersen van allerlei risico’s rondom informatiebeveiliging. De bijbehorende toelichting (ISO 27002) geeft een basis set van 113 maatregelen die een organisatie kan nemen om persoonsgegevens goed te beveiligen. Het gaat om de volgende onderwerpen:

 

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • ICT (beheer van systemen, processen en procedures)
  • Toegangsbeveiliging tot digitale informatie (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

 

 

De tweede norm NEN7510:2011 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de ISO27001 maar heeft daarnaast een extra set aan maatregelen voor medische- en patiënt gerelateerde informatie.

 

Verantwoordelijkheid

De verantwoordelijkheid voor de patiëntengegevens ligt bij u als zorgaanbieder. Als iemand schade ondervindt doordat zijn gegevens in verkeerde handen zijn geraakt, staat de Autoriteit Persoonsgegevens bij u op de stoep, zelfs als de gegevens door een fout van een van uw leveranciers (van bijvoorbeeld factoring of praktijksoftware) op straat liggen.


Om dit risico af te dekken is het daarom belangrijk om niet alleen zelf in uw praktijk voldoende veiligheidsmaatregelen te nemen (zie kader), maar om ook heel goed te controleren of uw leveranciers die werken met bijzondere persoonsgegevens op een zorgvuldige manier met deze data omgaan. Let er dus op dat de partijen die u inschakelt voldoende maatregelen nemen.

 

Leveranciers

Het is verstandig om als zorgaanbieder in de eerste lijn bewerkersovereenkomsten te sluiten met alle leveranciers die persoonsgegevens voor u bewerken. In zo’n bewerkersovereenkomst moet in ieder geval staan:

  • welke data de externe partij precies verwerkt en wat hij ermee mag doen;
  • welke maatregelen de externe partij neemt om datalekken te voorkomen.

 

Het is moeilijk om als leek te kunnen controleren of de externe partij ook daadwerkelijk de maatregelen neemt die ze beweert. Ook weet de gemiddelde praktijkhouder in de eerste lijn niet welke maatregelen afdoende zijn. Denk ook aan de leveranciers van de leveranciers: een factoringbedrijf schakelt bijvoorbeeld weer een printbedrijf en een deurwaarder in. Worden deze sub leveranciers wel goed gecontroleerd door uw leverancier (verantwoordelijkheid in de toeleveringsketen)?

 

Als uw leveranciers (en hun belangrijkste sub leveranciers!) gecertificeerd zijn volgens ISO27001 of NEN 7510 dan weet u zeker dat ze hun informatiebeveiligingsrisico’s op orde hebben en op een verantwoorde manier met uw patiëntengegevens omgaan. Dit is geen garantie dat er nooit iets mis gaat, maar op deze manier kunt u wel aantonen dat u alles heeft gedaan om de veiligheid van uw patiëntengegevens te waarborgen. 

 

Meldplicht Datalekken

De Meldplicht Datalekken is onderdeel van de Wet Bescherming Persoonsgegevens. Als persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, is dat een datalek. Een datalek, of het vermoeden van een datalek, moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens (AP) als er een kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is het geval er als persoonsgegevens van gevoelige aard zijn gelekt, zoals gezondheidsgegevens, BSN of strafrechtelijke informatie. De AP kan een boete opleggen tot 820.000 euro of 10 procent van de jaaromzet als blijkt dat de persoonsgegevens onvoldoende beveiligd waren. Een datalek moet ook aan de patiënt worden gemeld als de inbreuk op de informatiebeveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de patiënt.

Bron: Medisch Contact, 7 januari 2016 


Praktische maatregelen die u in uw praktijk kunt nemen

Voor een praktijk in de eerste lijn is het wellicht te complex en tijdrovend om een ISO 27001 of NEN 7510 managementsysteem op te zetten. Maar er zijn ook veel andere maatregelen die u kunt treffen:

  • Let goed op de toegangsbeveiliging van uw it-systeem. Een wachtwoord moet regelmatig wijzigen en mag niet te makkelijk zijn. Er zijn speciale websites om de kracht van een wachtwoord te testen, bijvoorbeeld www.testjewachtwoord.nl  > Laptops moeten ook altijd beveiligd zijn met een wachtwoord.
  • Bij het verlaten van de werkplek moet de computer op slot worden gezet (clear screen).
  • Het is niet veilig om patiëntengegevens te versturen via niet-versleutelde mail, bijvoorbeeld outlook, gmail of hotmail. Zonder encryptie (versleuteling) moet u ervan uitgaan dat e-mail onveilig is. Ook Whatsapp is niet veilig voor het versturen van persoonsgegevens.
  • Niks op bureaus laten slingeren, alles na gebruik in afgesloten kasten opbergen (clean desk).
  • Of u laat door een deskundige een proefaudit uitvoeren tegen deze norm waarmee de belangrijkste informatiebeveiligingsrisico’s voor uw organisatie zichtbaar worden.

 

Het is ook zeer verstandig om uw beleid voor het omgaan met patiëntengegevens en de maatregelen die u heeft genomen op papier te zetten. Dan kunt u laten zien dat u er serieus mee bezig bent en zal het u minder zwaar worden aangerekend als het toch een keer mis gaat. 

 

Fred Bloem is financieel directeur van factoringbedrijf Infomedics ( www.infomedics.nl). Infomedics is sinds 2015 ISO 27001 en NEN7510 gecertificeerd. Infomedics eist van alle partners in zijn keten de zelfde certificeringsgraad, waardoor het bedrijf inmiddels volledig ketengecertificeerd is.


Dit artikel is geplaatst in editie 2-2016 van MedischOndernemen. Wilt u het magazine nabestellen? Dat kan door een mailtje te sturen naar susanne@medischondernemen.nl.

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Beschermt u uw patiëntgegevens wel goed genoeg?

Lees verder - met dit thema

"eHealth? Gewoon doen"
flash_onNieuws

"eHealth? Gewoon doen"

6 aug 2015 timer1 min
eHealth is de laatste jaren een groeiende vorm van zorgverlening. Maar hoe ga je hier als huisarts mee om? En,…
Lees verder »
Windows 10: ja of nee?
flash_onNieuws

Windows 10: ja of nee?

6 aug 2015 timer1 min
Op 29 juli lanceerde Windows hun nieuwe besturingssysteem: Windows 10. Nu wordt vaak gedacht dat nieuw altijd…
Lees verder »
Blog: Balkanisering van de zorg-ICT
person_outlineBlog

Blog: Balkanisering van de zorg-ICT

22 jul 2015 timer3 min
De afgelopen maanden begaf Apple zich op de zorgmarkt met de Watch, Health en Health Kit. Wat betekent dit voor de…
Lees verder »
Wet meldplicht datalekken aangenomen
flash_onNieuws

Wet meldplicht datalekken aangenomen

16 jul 2015 timer2 min
Als de gegevens van uw patiënten in handen van derden zijn gevallen, bent u verplicht dat te melden aan niet…
Lees verder »
Hoogleraar wint prijs voor ziektevoorspellende computer
flash_onNieuws

Hoogleraar wint prijs voor ziektevoorspellende computer

9 jul 2015 timer3 min
Prof.dr. Wiro Niessen is door Technologiestichting STW benoemd tot Simon Stevin Meester 2015. Niessen doet met…
Lees verder »
Patiëntgegevens uitwisselen via WhatsApp, mag dat?
flash_onNieuws

Patiëntgegevens uitwisselen via WhatsApp, mag dat?

9 jul 2015 timer2 min
In ziekenhuizen wisselen artsen patiëntgegevens uit via WhatsApp. Dat zeggen medici tegen NRC Q. Ze gebruiken de…
Lees verder »
Richtlijn voor artsen 'omgaan met apps' in de maak
flash_onNieuws

Richtlijn voor artsen 'omgaan met apps' in de maak

29 jun 2015 timer2 min
De KNMG ontwikkelt dit najaar een richtlijn voor artsen over hoe om te gaan met medische apps. Een belangrijke…
Lees verder »

Health Communicator op de werkvloer

28 jun 2015 timer2 min
In gezondheidscentrum Banne Buiksloot in Amsterdam-Noord staat een Health Communicator in de wachtkamer. Deze…
Lees verder »