Contact

  • Bel 0172 503 250
  • Routebeschrijving
Bezig met zoeken...
14 november 2019

Datalekken in de zorgsector: 5 tips om ze te voorkomen

De meeste datalekmeldingen bij de Autoriteit Persoonsgegevens (AP) kwamen dit jaar weer uit de zorgsector. Ziekenhuizen, apotheken en zorg- en welzijnsinstellingen krijgen binnen de zorgbranche het meest te maken met datalekken, waarbij het meestal gaat om datalekken met één betrokkene. Doordat in de zorgsector voornamelijk bijzondere persoonsgegevens worden verwerkt, kan een datalek grote gevolgen hebben voor de privacy van patiënten. Om de kans op een potentieel datalek te beperken volgen hierna 5 tips.

Tip 1: Privacybeleid

De eerste stap is zorgen voor een adequaat privacybeleid. Breng in kaart hoe, waarom en door wie de (bijzondere) persoonsgegevens verwerkt worden en tref voldoende maatregelen om te zorgen dat de gegevens op een juiste manier verwerkt worden. Denk hierbij bijvoorbeeld aan het opstellen van een verwerkingsregister, het uitvoeren van DPIA’s en het sluiten van overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers. Let erop dat u weet wat u in de verwerkersovereenkomst afspreekt, zodat het helder is wie aansprakelijk is bij een beveiligingsincident.

Tip 2: Privacybewustzijn

Uit onderzoek van de AP blijkt dat het grootste percentage datalekken wordt veroorzaakt door menselijke fouten, met name ‘fouten’ door eigen personeel.[1] Voorbeelden van dit soort fouten zijn een medewerker die een e-mail met ransomware (een digitale chantagemethode waarbij de computer als het ware wordt ‘gegijzeld’) opent, een dokter die documenten met bijzondere persoonsgegevens onversleuteld naar een verkeerd e-mailadres verzendt of een apotheker die een brief met persoonsgegevens kwijtraakt. Deze datalekken kunnen worden verminderd door privacybewustzijn te vergroten in het gehele bedrijf.

Tip 3: Stel een functionaris voor gegevensbescherming aan

Een functionaris voor gegevensbescherming (FG) is verantwoordelijk voor de bescherming van persoonsgegevens binnen uw bedrijf. Een FG aanstellen is verplicht voor overheidsinstanties- en organen en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. De FG houdt toezicht op het gehele privacyproces en heeft een controlerende functie. Naast de privacywetgeving, moet de FG in de zorg zich ook bewust zijn van de relevante zorgwetgeving, omdat er strengere regels gelden voor het verwerken van bepaalde bijzondere persoonsgegevens in de zorg. Wij helpen FG’s graag met het vinden van oplossingen voor moeilijke privacy- en zorgkwesties.

Tip 4: Tref beveiligingsmaatregelen

Er is een breed scala aan effectieve beveiligingsmaatregelen en u bent uiteindelijk degene die bepaalt welke maatregelen u wilt nemen. Belangrijk is dat u genóeg technische en organisatorische maatregelen treft. Voorbeelden hiervan zijn het versleutelen en pseudonimiseren van gegevens, zodat een derde de persoonsgegevens niet zomaar kan bekijken en dat, indien dit wél gebeurt, de informatie niet zomaar herleidbaar is tot een persoon. Daarnaast is het belangrijk om controle te houden over de toegang tot persoonsgegevens en geregeld te testen of uw beveiliging effectief genoeg is en voldoet aan de huidige ‘standaarden’ (NEN/ISO/IEC). Het tijdig verwijderen van persoonsgegevens die u niet meer nodig hebt kan de kans op datalekken uiteraard ook verminderen.

Tip 5: Leer van het verleden

Het is niet altijd verplicht om een datalek te melden. Melden hoeft alleen indien het gaat om een ernstig datalek. Toch is het verplicht om ieder datalek in een datalekregister vast te leggen. Niet alleen kunt u met het datalekregister aan de AP aantonen dat u zich aan de privacywetgeving en meldplicht voor datalekken houdt, maar u kunt ook zelf leren van eerdere datalekken en preventieve maatregelen nemen. In het datalekregister moet het datalek omschreven worden. Neem hierin op de datum van het datalek, de categorieën en aantallen van betrokken personen, de gevolgen en de risico’s van het datalek en de maatregelen die zijn genomen.

Meer informatie?

Heeft u vragen over datalekken of wilt u uw organisatie AVG-proof maken? Neem dan contact op met mr. Nathalie van der Zande (n.vanderzande@lgga.nl) of mr. Moo Miero (m.miero@lgga.nl), telefoonnummer 0172-503250.

Wilt u in de toekomst op de hoogte worden gesteld van onze artikelen en gratis kennissessies? Schrijf u dan hier in voor onze driemaandelijkse nieuwsbrief.



[1]Volgens de publicatie van de Autoriteit Persoonsgegevens is er bij 62% van de datalekken in de zorg sprake van persoonsgegevens die naar de verkeerde ontvanger zijn verstuurd. Bij 13% gaat het om brieven of pakketten met persoonsgegevens die kwijtgeraakt zijn of geopend retour zijn ontvangen.