Datalekken en boeterisico voor zorgverleners?

Per 1 januari 2016 is de Wet bescherming persoonsgegevens gewijzigd. De meest besproken wijziging is de invoering van de zogenaamde meldplicht bij datalekken en het feit dat de Autoriteit Persoonsgegevens zelfstandig boetes mag opleggen die kunnen oplopen tot € 810.000. Binnen de zorg is het gevoeligheidskarakter van de informatie op het hoogste niveau en daarom worden bij schending van de regels ook de hoogste boetes opgelegd. Wat betekent dit nu voor praktijkhouders?

Binnen de wetgeving is degene die de informatie over patiënten vastlegt verantwoordelijk voor de beveiliging van de patiëntgegevens. Als zorgverlener bent u dus verantwoordelijk. Wat betekent die verantwoordelijkheid voor u en welke maatregelen dient u te nemen om de bescherming van de gegevens te waarborgen?

BeveiligingsmaatregelenIMG_1266
Ter bescherming van de patiëntgegevens dient iedere zorgverlener in ieder geval de volgende veiligheidsmaatregelen te nemen.

  1. Bescherming van de computer tegen ongewenste gebruikers (gebruikersnaam, wachtwoord, schermbeveiliging etc.)
  2. Zorgvuldige werkwijze omtrent geheimhouding ook voor personeel, indien van toepassing
  3. Virusbescherming en Firewall
  4. Back up en herstel van gegevens
  5. Fysieke beveiliging van de gegevens tegen brand en diefstal

Er zijn ruwweg twee mogelijkheden waar u als zorgverlener mee te maken kunt krijgen; u heeft declaratie en/of EPD software die u op uw computer of server installeert of u maakt gebruik van declaratie en/of EPD software via internet, zogenaamde SaaS (Software as a Service) toepassingen.

Wanneer de software op uw eigen computer is geïnstalleerd dan zult u alle bovengenoemde veiligheidsmaatregelen moeten nemen. Dat lijkt makkelijker dan het is. Wanneer u bijvoorbeeld met een laptop werkt waarop de gegevens staan dan is het potentiële risico zeer groot. Het gaat dan vooral om de fysieke beveiliging van de gegevens tegen brand en diefstal en voldoende back-up procedures. Wanneer uw laptop onverhoopt gestolen zou worden of ter reparatie aangeboden wordt dan is er in formele zin al sprake van een datalek. Volgens de wet is het niet van belang of onbevoegden daadwerkelijk patiëntgegevens inzien, het feit dat zij de mogelijkheid daartoe hebben is al een overtreding die boeteplichtig is. U doet er verstandig aan om met een IT-adviseur de potentiële risico’s in kaart te brengen en de nodige veiligheidsmaatregelen te nemen. Naast de technische veiligheidsmaatregelen dient u ook een bewerkersovereenkomst te sluiten met eventuele systeembeheerders inzake de geheimhouding van de patiëntgegevens.

Het is ook mogelijk dat u met een SaaS leverancier werkt. In dat geval heeft u de opslag en het beheer van de software en de opslag van de data uitbesteed. U zult dan nog steeds punt 1 tot en met 3 moeten borgen binnen uw organisatie. Punt 4 en 5 dienen dan door de leverancier geborgd te worden. U bent als verwerker echter nog steeds verantwoordelijk, ook voor de data bij externe partijen.

Bewerkersovereenkomst en certificering
Wanneer u via een SaaS leverancier ‘in the cloud’ werkt, of op een andere manier uw gegevens extern heeft geplaatst, dan bent u als gegevensverwerker nog steeds verantwoordelijk voor de borging van de privacy van uw patiëntgegevens. U dient dus vast te stellen of uw leveranciers voldoende veiligheidsmaatregelen hebben genomen om die patiëntgegevens te beschermen tegen  lekken. Voor het vaststellen of een leverancier voldoende beveiligingsmaatregelen heeft genomen is geen eenduidig kader in de wet gedefinieerd. De leverancier heet in dit kader de ‘gegevensbewerker’. Als verantwoordelijke voor de gegevens doet u er verstandig aan om een bewerkersovereenkomst met uw leverancier te sluiten waarin de beveiligingsmaatregelen en geheimhouding zijn vastgelegd. Indien u kunt vaststellen dat uw leverancier voldoet aan bepaalde objectieve normen op het gebied van veiligheid en geheimhouding, zoals bijvoorbeeld NEN 7510 of ISO 27001 dan heeft u voldoende aan uw plicht voldaan om te onderzoeken of uw leverancier voldoende beveiligingsmaatregelen heeft genomen. Als u dus werkt met een SaaS leverancier die voldoet aan de gestelde veiligheidsnormen dan bespaart u dat een hoop rompslomp.

De beveiliging is zo sterk als de zwakste schakel
De wetgeving omtrent de privacy van persoonsgegevens is niet nieuw. De actualiteit is momenteel hoog doordat het CPB vanaf 1 januari dit jaar zelfstandig boetes mag opleggen die zeer fors zijn van omvang. Daarnaast heeft VECOZO aanvullende eisen gesteld die per 1 januari 2017 van kracht worden om de veiligheid te waarborgen. Ook al staan uw patiëntgegevens op de best beveiligde servers in datacentra met de hoogste beveiligingsniveaus het begint bij zorgvuldigheid van de gebruiker. De geheimhouding van gebruikersnaam en wachtwoord blijft het meest essentiële aspect evenals een vergrendeling van uw computer als u even van uw werkplek bent.