Print:

Je hele beleid staat op beveiligingsbewustzijn

Ferry Waterkamp , Journalist

LinkedIn profiel

De Autoriteit Persoonsgegevens ontving in 2016 uit de zorg maar liefst 1600 meldingen van datalekken. Ziekenhuizen melden dagelijks een lek. Volgens Marieke van Dijk van Cure4 is dit echter nog maar het topje van de ijsberg. “Wat ik noem de ‘verborgen datalekken’ baren mij veel meer zorgen.”

De datalekken die bij de Autoriteit Persoonsgegevens worden gemeld, hebben vaak duidelijk aanwijsbare oorzaken en ontsnappen daardoor niet makkelijk aan de aandacht. Dan gaat het bijvoorbeeld om e-mails die verkeerd worden geadresseerd, laptops die achterblijven in auto’s of patiënten die door een slechte beveiliging van een portaal elkaars gegevens kunnen zien.

Een groot deel van de datalekken verschijnt volgens Legal Counsel en Privacy Officer Marieke van Dijk echter helemaal niet op de radar van de privacywaakhond of de lekkende instantie. In die gevallen is zelfs vaak niet duidelijk dat er sprake is van onzorgvuldige uitwisseling van persoonsgegevens.

Gebrek aan focus

“Dat probleem speelt niet zozeer bij grote zorginstellingen zoals ziekenhuizen, maar veel meer op lokaal niveau”, stelt Van Dijk. Als voorbeelden geeft Van Dijk complexe instanties zoals GGD-instellingen die koppelingen hebben met talloze organisaties en de ‘wijkteams’ die in gemeenten uitvoering geven aan de Wet Maatschappelijke Ondersteuning (WMO) en de Jeugdwet. “Gegevens worden in verschillende systemen vastgelegd voor diverse doeleinden. Maar op welke manier borgen de wijkteams en de gemeente de privacy van de betrokken burgers? En is bijvoorbeeld duidelijk welke partij de verantwoordelijke is voor de verschillende verwerkingen?”

 Volgens Van Dijk ontbreekt dat inzicht vaak als gevolg van een ‘gebrek aan focus’ op het onderwerp privacy. “Regelmatig is onduidelijk waar en wanneer gegevens worden uitgewisseld, om welke gegevens het dan gaat en hoe de toestemming voor de verwerking tot stand is gekomen. Zeker in de zorg gaat de aandacht van de behandelaar toch primair uit naar het verlenen van zorg en niet naar de rechten van patiënten en cliënten als het gaat om privacy.”

Creëer beveiligingsbewustzijn

Onder andere de Algemene Verordening Gegevensbescherming die vanaf 25 mei 2018 wordt toegepast en nieuwe wetgeving rondom cliëntenrechten vereisen dat zorginstanties werk maken van de bescherming van de privacy van patiënten en cliënten. Een belangrijke eerste stap is volgens Van Dijk dat het beveiligingsbewustzijn hoog op de agenda komt te staan. “Daar staat je hele beleid op. Een datalek kan immers alleen maar worden gemeld worden als men zich er ook van bewust is dat er sprake is van een datalek.”

“Het is dus belangrijk om continu aandacht te besteden aan het bewustzijn van de medewerker, zodat de medewerker bij de uitvoering van zijn werk weet wat hij kan doen om de privacy van patiënten beter te beschermen”, vervolgt Van Dijk. “Hebben medewerkers bijvoorbeeld in de gaten dat er sprake kan zijn van een datalek op het moment dat een patiënt meldt dat hij in zijn patiëntenportaal ook de naam van een andere patiënt ziet staan?”

Denk vanuit de patiënt

Een ander belangrijk aandachtspunt is dat zorginstellingen gaan denken vanuit de privacyrechten van patiënten en cliënten. “Bedenk bijvoorbeeld dat gegevens over iemands gezondheid in beginsel niet mogen worden verwerkt, tenzij dit bij wet is toegestaan”, aldus Van Dijk. Volgens de Legal Counsel van Cure4 hoort hier ook bij dat patiënten en cliënten worden gewezen op de rechten die ze hebben, en dat in een begrijpelijke taal. “Anders wordt het lastig om de rechten uit te oefenen.”

Gegevensuitwisseling zorg | IIR Amsterdam

 

Meer weten over het verantwoord en veilig uitwisselen van medische gegevens in het zorgdomein? Tijdens de driedaagse cursus ‘Gegevensuitwisseling in de Zorg’ die op 28 september van start gaat, delen we actuele kennis en concrete handvatten voor het zorgvuldig verwerken en delen van gezondheidsgegevens.