Datalekken: de do’s en dont’s

Datalekken: de do’s en dont’s

De wet AVG is in het leven geroepen om de gegevens van patiënten nog beter te kunnen beschermen en de patiënt nog meer rechten te geven als het gaat om hun privacygevoelige informatie.

Dat beschermen kunt u met name doen door het nemen van preventieve maatregelen om ervoor te zorgen dat privacygevoelige informatie niet in handen komt van onbevoegde personen. Indien dit onverhoopt toch gebeurt, spreken we van een zogenaamd ”datalek”.

Melden en bijhouden datalek

Een aantal verplichtingen uit de huidige Wet bescherming persoonsgegevens (Wbp) komt weer terug in de AVG. Net als onder de Wbp bent u gehouden om een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Daarbij moet u een datalekregister bijhouden met de voorgevallen datalekken, inclusief datalekken die u (weloverwogen) niet gemeld heeft. We kunnen bijvoorbeeld denken aan een hack van een systeem of een verloren USB-stick met daarop privacygevoelige patiënteninformatie. Het is dus van groot belang dat alle medewerkers binnen uw organisatie zich hiervan bewust zijn en weten wat zij moeten doen als er zich een datalek voordoet. Het is daarom belangrijk dat hierover in de praktijk afspraken gemaakt worden en vooral dat men zich bewust is van de risico’s hieromtrent.

Privacygevoelige informatie: Do’s

  •  Als u privacygevoelige informatie meeneemt op een USB-stick, is het belangrijk dat deze versleuteld is. De meest veilige manier om privacygevoelige informatie te ‘transporteren’ is echter gebruik te maken van de hieronder genoemde mogelijkheden en te zorgen voor een goede betrouwbare back-up oplossing.Een goede maatregel is het gebruik maken van ZorgMail om gegevens uit te wisselen met collega’s binnen de zorgsector.
    Software voor opslag en verwerking van patiëntengegevens kunt u het beste overlaten aan een gecertificeerd bedrijf (het gaat hier om certificering op basis van de normen NEN 7510 of ISO 27001). U bent er dan verzekerd dat het goed geregeld is.
  • Het is in ieder geval belangrijk dat u een bewerkingsovereenkomst afsluit met de bedrijven die toegang hebben tot uw patiënteninformatie.Het is voor de bewustwording van de medewerkers binnen uw praktijk belangrijk om de risico’s in kaart te brengen van processen waar gegevensuitwisseling van patiënten plaatsvindt. Zo kunnen er gerichte organisatorische en technische beveiligingsmaatregelen genomen worden.Besteed een praktijkvergadering aan dit thema. Ga eens stapje voor stapje na wat er met een patiënt gebeurt vanaf inschrijving, welke reis hij maakt; Patiëntenaanmelding, inschrijving, afspraak maken, herinneringsmail neem behandelingen onder de loep, uitschrijving. Ga per processtap na wat er fout kan gaan als het gaat om borging van de privacy. Als er bijvoorbeeld een herinneringsmailtje verstuurd wordt aan de patiënt en de patiënt heeft inmiddels een ander nummer. Hoe kunt u dit voorkomen? Door bijvoorbeeld regelmatig de gegevens van de patiënt te checken enerzijds en de patient er zelf op te attenderen om verandering van persoonlijke gegevens door te geven.
  • Registratie van de incidenten op het vlak van informatiebeveiliging is belangrijk voor het ‘leereffect’ binnen de praktijk. Het gaat dan bijvoorbeeld om datalekken op kleine schaal – zoals het hierboven genoemde voorbeeld van verzending van een herinneringsbericht aan het oude mobiele nummer van een patiënt. Datalekken op kleine schaal hoeft u niet te melden bij de Autoriteit Persoonsgegevens.
  • Maak een privacybeleid, dit kunt u toevoegen aan het beleid wat u al voor de praktijk gemaakt heeft.
  • Maak een overzicht van wie bevoegd is om welke gegevens te bewerken en te bekijken. Dit kunt u ook toevoegen aan een functieprofiel.
  • Maak een protocol ‘Datalekken’ waarin u beschrijft hoe iedereen om moet gaan met een datalek.
  • Een datalek dient onverwijld en binnen 72 uur gemeld te worden aan het meldloket van de Autoriteit Persoonsgegevens.

Privacygevoelige informatie: Dont’s

  • Verstuur geen persoonsgegevens via WhatsApp, gratis e-mailaccounts of gratis opslag in de Cloud.
  • Meld niet zomaar alles om het maar te melden. Maak goed gebruik van deze beslisboom van de Autoriteit Persoonsgegevens.Datalekken: de do’s en dont’sNeem bij twijfel contact op met een adviseur.
  • Ga niet te nonchalant om met gevonden lekken. De praktijkeigenaar blijft te allen tijde verantwoordelijk en zal ook ter verantwoording geroepen worden bij niet gemelde ernstige lekken.
  • Ga niet één onderdeel heel goed beveiligen en denken dat dit afdoende is. Het gaat immers om het geheel.
  • Neem niet zomaar een cybercrimeverzekering tegen datalekken. Blijf bewust afwegen wat het risico is en de impact daarvan. Tegen enkele zaken is wellicht te verzekeren echter blijf alert op de kleine (dekkings)regeltjes.
  • Wees niet naïef door te denken dat een datalek alleen maar in een systeem, bijvoorbeeld ransomware, kan plaatsvinden. Datalekken kunnen een praktijk in iedere vorm overkomen. Van verlies van een telefoon, tot ontvreemding van poststukken en dergelijke.

Bron:
Autoriteit Persoonsgegevens

Door: Petra van der Zwan – Invert Innovatie Management en John van der Zwaan – Qfast.

Lees meer over: ICT, Ondernemen, Wet- en regelgeving/