Wet datalekken zorg

Wet datalekken zorg

‘Veel datalekken in ziekenhuizen’, ‘MMC is duizenden onderzoeksbeelden van patiënten kwijtgeraakt’ en ‘Ziekenhuizen in Nederland steeds vaker slachtoffer van ransomware aanval’. Zomaar een greep uit de titels van de nieuwsberichten die de afgelopen tijd op verschillende nieuwswebsites zijn verschenen. In 2016 kwam bijna dertig procent van alle meldingen van datalekken vanuit de gezondheidssector. Ook in het eerste kwartaal van 2017 kwam een relatief groot deel van de meldingen uit deze sector.

Welke risico’s op datalekken zijn er in de zorg? Hoe komt dat? En beter nog, wat kun je eraan doen? In dit artikel lees je alles over de meldplicht datalekken en wat dit betekent voor de zorg. Verder vind je in dit artikel praktische tips om een datalek te voorkomen.

Bijzondere persoonsgegevens en de meldplicht datalekken

In de gezondheidszorg worden meer bijzondere persoonsgegevens verwerkt dan in welke sector dan ook. Nu de meldplicht datalekken van kracht is, en vanaf 25 mei 2018 ook de strengere Europese privacywet GDPR (in het Nederlands AVG, Algemene verordening gegevensbescherming) van toepassing zal zijn, is dat des te meer reden om kritisch te kijken of jouw zorgorganisatie ook klaar is voor deze nieuwe wetgeving. Volgens de wet zijn er strenge regels verbonden aan het verwerken van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gevoelige informatie. Denk bijvoorbeeld aan BSN-nummers, informatie over gezondheid en financiële gegevens. Doordat zorgverleners zoveel te maken hebben met bijzondere persoonsgegevens, is er een grote kans dat er lekken ontstaan als je er niet de juiste aandacht aan schenkt.

Lees hier wat er volgens de wet wordt verstaan onder persoonsgegevens en bijzondere persoonsgegevens.

Wil je weten wat een datalek precies is? Lees dan hier meer.

Meest voorkomende datalekken

De Autoriteit Persoonsgegevens heeft een overzicht gemaakt met daarop de datalekken die het vaakst voorkomen. Opvallend is dat de meeste datalekken niet ontstaan door cybercriminelen (hackers), maar door menselijke fouten. Denk aan een verloren USB-stick met persoonsgegevens, een gestolen smartphone of laptop en verkeerd bezorgde post of e-mail.

AP nuanceert relatief grote aantal meldingen zorg

In 2016 heeft de Autoriteit Persoonsgegevens bijna 5700 meldingen ontvangen van datalekken. Bijna 30 procent van de meldingen komt uit de gezondheidszorg. Dat komt neer op zo’n 1645 meldingen. Toch betekent dit volgens AP niet dat zich in deze sector ‘de ergste overtreders bevinden’. AP meldt in het jaarverslag van 2016 dat deze branche veel te maken heeft met hele gevoelige persoonsgegevens. Daarom komt het ook vaker voor dat er een melding gedaan moet worden vanuit de zorg.

Datalek GGZ: gegevens cliënten op straat

Voorbeelden van hoe het mis kan gaan met data zijn er genoeg. Zo worden ook vanuit de GGZ regelmatig meldingen van datalekken gedaan. Sommige daarvan halen zelfs het nieuws. Zo meldde de Gelderlander in een artikel in december 2016 dat de gegevens van duizenden GGZ-cliënten ‘op straat’ kwamen te liggen door een datalek. In dit geval was er sprake van een menselijke fout: een e-mail met daarin GGZ-beschikkingen van 6.000 jonge mensen kwam terecht bij drie zorgverleners en zeven ambtenaren, die niet bevoegd waren deze informatie in te zien. De zeven gemeenten in deze regio van Gelderland, die FoodValley genoemd wordt, hebben aangifte gedaan bij de Autoriteit Persoonsgegevens van een datalek.

Lees hier meer over datalekken die in het nieuws geweest zijn.

Tandartsen zijn niet klaar voor meldplicht datalekken

Bij tandartsen gaat het relatief vaak mis met de bescherming van data. ICT-dienstverlener Qfast stelt in een artikel op de website medicalfacts.nl dat uit hun onderzoek blijkt dat tandartsen hun IT-voorziening niet goed inrichten. Vaak huren tandartsen vrienden of familie in om de IT te regelen. Huren ze wel externe partijen in, dan blijkt het geheel zo complex en onoverzichtelijk te worden dat het ook niet goed gaat. Medicalfacts noemt in het artikel een aantal tekortkomingen in de beveiliging van de IT-omgeving bij tandartsen, die de kans op datalekken sterk vergroten. Zo blijkt dat 85 procent van de onderzochte tandartsenpraktijken de antivirus niet op orde heeft, negen op de tien nog geen Windows OS update heeft uitgevoerd en bijna 60 procent de toegangscontrole niet goed geregeld heeft. Tandartsen die boetes willen voorkomen, doen er dan ook goed aan om verder te lezen over het voorkomen van een datalek. Ook voor andere zorgverleners is dit natuurlijk interessant leesmateriaal.

Cameratoezicht in de zorg en datalekken

In de zorg is het soms nuttig en/of noodzakelijk om cameratoezicht te houden. Dit is toegestaan, maar alleen onder bepaalde voorwaarden. Zo mogen zorginstellingen met camera’s bijvoorbeeld wel toezicht houden op de persoonlijke eigendommen van medewerkers en patiënten of cliënten, maar mogen ze geen camerabeelden maken van mensen die zich bijvoorbeeld aan het uitkleden zijn. De Autoriteit Persoonsgegevens heeft daarom een lijst met do’s en don’ts voor verantwoordelijkheden bij cameratoezicht opgesteld. Worden de camerabeelden bijvoorbeeld beveiligd? Wie is in de organisatie verantwoordelijk voor het verwerken van persoonsgegevens met behulp van een camera? En welk doel dient het gebruik van een camera? Bekijk de hele lijst hier. Alle beleidsregels van de Autoriteit Persoonsgegevens met betrekking tot cameratoezicht vind je hier.

5 praktische tips: datalekken voorkomen in de wachtkamer en aan de balie

  • Leg alle computers aan de kabel. Bij een inbraak heb je dan meer kans dat de computers niet meegenomen worden.
  • Hang geboortekaartjes niet in de wachtkamer. Er staan immers veel persoonlijke gegevens op.
  • Zorg dat er vanaf de zijkant niet kan worden meegekeken op je computer. Hiervoor zijn speciale folies te koop.
  • Gebruik nooit normale USB-sticks, maar alleen beveiligde exemplaren.
  • Gebruik de computer op het werk niet voor privédoeleinden. Dit verkleint het risico op virussen en hacks.

Lees hier snel verder voor meer informatie over dataveiligheid in ziekenhuizen.

Download het gratis starterspakket Dataveiligheid: Maak jouw organisatie GDPR-ready

Xtandit heeft zich al voorbereid op de invoering van de GDPR. We hebben onze ervaringen, praktische tips en handige templates vanuit dit traject verzameld en gebundeld in het starterspakket Maak jouw organisatie GDPR-ready. Download nu het starterspakket en ga zelf ook aan de slag!

Download het gratis starterspakket