9 tips om datalekken in de zorg te voorkomen
Bescherm persoonsgegevens
Het is u vast niet ontgaan: per 1 januari is de meldplicht datalekken van kracht. Er staan grote boetes op een datalek en als blijkt dat u uw zaakjes niet goed op orde heeft. In grote lijnen komt het hierop neer dat u verplicht bent te weten waar in uw organisatie risico’s liggen op een datalek, dat u (preventieve) maatregelen hebt genomen en dat medewerkers weten waar ze op moeten letten en wat ze wel en niet moeten doen.
Wat is een datalek eigenlijk?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die daar geen toegang toe zouden mogen hebben. Denk aan een hack van het systeem, een verloren USB-stick of printje met cliëntgegevens, een brief of mail met gevoelige informatie naar de verkeerde persoon, een gestolen medisch dossier. Maar ook wanneer patiëntgegevens per ongeluk gewist worden of wanneer door een brand patiëntgegevens verloren gaan is er sprake van een datalek.
Als er veel en/of gevoelige gegevens *) gelekt of verloren zijn gegaan en als er een kans is op nadelige gevolgen voor de bescherming van deze persoonsgegevens, dan moet u dit datalek melden bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens).
Wat te doen?
U kunt een boete voorkomen door maatregelen ter bescherming van de persoonsgegevens te nemen, een passend beleid op te stellen en een datalek, als daar aanleiding toe is, te melden bij de Autoriteit Persoonsgegevens.
9 tips om datalekken te voorkomen
- Neemt u gevoelige gegevens mee, bijvoorbeeld op een USB-stick? Zorg dan dat ze versleuteld zijn;
- Geen persoonsgegevens versturen via WhatsApp, gratis e-mailaccounts of gratis opslag in de Cloud;
- Zorg dat email en opslag en/of verwerking van gevoelige gegevens door een gecertificeerd bedrijf (NEN 7510 of ISO 27001) gebeurt. Maak in ieder geval duidelijke afspraken op papier, een ‘bewerkersovereenkomst’, met het betreffende bedrijf;
- Voer een risicoanalyse uit op de processen waar gegevensuitwisseling van patiënten plaatsvindt en neem waar nodig organisatorische en technische beveiligingsmaatregelen;
- De meeste lekken ontstaan door menselijke fouten. Zorg daarom dat oplossingen gebruiksvriendelijk zijn;
- Zorg dat medewerkers zich bewust zijn van de bedreigingen;
- Stel een overzicht op wie bevoegd is om welke gegevens te bekijken/verwerken;
- Maak een protocol ‘melding datalekken’ en bepaal de verantwoordelijkheden hierbij. Zodat, als er een datalek is, iedereen weet wat hij moet doen;
- Houd een lijst bij van incidenten, ook als ze niet gemeld zijn bij de Autoriteit Persoonsgegevens. U kunt van de incidenten leren en u kunt aantonen dat u zicht hebt op de fouten binnen uw organisatie.
Heeft u meer tips? Meld dat dan hieronder.
*) Gevoelige gegevens zijn bijvoorbeeld BSN, geloof, financiële- en medische gegevens en wachtwoorden.
Auteur
Trudy Engering
Whatsapp is tegenwoordig beveiligd met end-to-end encryptie. Maar is niet zo veilig dat het door artsenorganisaties wordt aanbevolen. De SIILO app is dat wel, maar is alleen voor zorgverleners (en enkele andere beroepsbeoefenaars in de zorg) beschikbaar. Er is dus nog een wereld te winnen!
antwoord
Trudy Engering
Dank voor je reactie, Stef!
Whatsapp heeft tegenwoordig end-to-end encryptie en is daardoor een stuk veiliger geworden. De brancheverenigingen van huisartsen adviseren echter de app SIILO te gebruiken. Is nog veiliger en je identiteit wordt gecontroleerd. Je moet arts zijn of BIG-geregistreerd. Of, zoals ik, Functionaris Gegevensbescherming. Het is AVG-proof. Veiliger ook omdat je zonder wachtwoord je berichten niet kunt lezen. Je kunt de app ook op je PC openen.
antwoord
Stef Joosten
Trudy,
Gegevens op een versleutelde stick zijn minder veilig dan gegevens via Whatsapp. Je gebruikt uitgerekend een voorbeeld van een sociaal netwerk die de beveiliging wél goed voor elkaar heeft. Ik zou dat aanpassen in je blog.
antwoord
Trudy Engering
Heel goed en graag gedaan!
antwoord
Petra van der Zwan
In de tandheelkundige zorg leeft het m.i. ook (nog) niet. Vanuit de brancheverenigingen wordt er niet echt aandacht besteed en op de praktijken zelf heb ik hier ook niets over gehoord. Ik ga hier ook meer aandacht aan besteden. Je brengt me zo op ideeën. Dank je.
antwoord
Trudy Engering
Dank je, Petra. Ik merk dat er bij zorginstellingen nog niet zoveel aandacht voor is. Hoe zit dat bij tandartsen?
antwoord
Petra van der Zwan
Trudy, compliment voor deze goede blog. Goed om hier aandacht aan te besteden om bewustwording te genereren.
antwoord
Trudy Engering
Dat is een idee. De stick kan mogelijk ook beveiligd worden met een wachtwoord.
Iemand andere ideeën?
antwoord
Betty
Hoe kan ik als cliënt mijn gegevens [X-foto's] veilig ontvangen van mijn behandelaar? Ik heb voorgesteld per USB-stick en dan persoonlijk overhandigen. Dan wel 'schone' USB-stick! Er is geen beveiligd patiënten/cliëntenportaal beschikbaar.
antwoord