Dat zorgaanbieders de beveiliging van (medische) gegevens goed moeten regelen, ligt voor de hand. Het gaat immers om gevoelige persoonsgegevens. De Algemene verordening gegevensbescherming (AVG) legt deze beveiligingsverplichting op aan zorgaanbieders. Welke beveiligingsmaatregelen concreet moeten worden genomen, volgt echter niet uit de AVG. Dat zorgt voor onduidelijkheid.
Dat de beveiliging van persoonsgegevens nog niet altijd goed is geregeld in de zorg, is wel weer gebleken uit de boete die de Autoriteit Persoonsgegevens (“AP”) recentelijk heeft opgelegd aan het OLVG Ziekenhuis. Zo was daar toegang tot medisch dossiers door onbevoegden mogelijk. In dit artikel wordt stilgestaan bij de vraag hoe zorgaanbieders de beveiliging van persoonsgegevens wél goed kunnen regelen.
Concreet: wat moeten zorgaanbieders doen qua beveiliging?
Om maar meteen met de deur in huis te vallen: er is geen algemene lijst met beveiligingsmaatregelen die zorgaanbieders moeten treffen, teneinde aan een beveiligingsstandaard te voldoen. Maar hoe zit dat nu precies?
De AVG schrijft voor dat verwerkingsverantwoordelijken, zoals zorgaanbieders, passende technische en organisatorische beveiligingsmaatregelen moeten treffen. Dit is wat vaag. Want wat is nu precies passend? En welke technische en organisatorische maatregelen moeten worden getroffen? De AVG laat zich hier niet over uit. In dit kader heeft de AP in een brief aan de Ministerie van Volksgezondheid, Welzijn en Sport opgemerkt dat er geen algemene maatstaf is voor beveiligingsmaatregelen die passend zijn. Dit hangt af van een aantal factoren, waaronder het soort persoonsgegevens. Wanneer het gaat om gevoelige persoonsgegevens – zoals medische gegevens – ligt het passende beveiligingsniveau hoger dan wanneer dit niet het geval is.
Dat de AP zwaar tilt aan de beveiliging, blijkt uit de maatregelen die zij de afgelopen jaren heeft opgelegd. Uit onderstaand overzicht volgt dat de AP vaak maatregelen oplegt aan organisaties omdat de beveiliging niet in orde was.
Wat opvalt zijn de hoge boetes die de AP heeft opgelegd aan het HagaZiekenhuis en – zeer recentelijk – aan het OLVG Ziekenhuis. Beide ziekenhuizen hadden de beveiliging niet goed geregeld.
Wat kun je wél regelen?
Ondanks dat de AVG niet concreet invult welke beveiligingsmaatregelen genomen moeten worden, wordt dit wel op andere manieren ingevuld.
Normen
Er zijn concrete normen die invulling geven aan de benodigde beveiliging in de zorg. Dit zijn de zogenoemde NEN-normen. Zo beschrijven NEN 7510 en NEN 7512 concrete normen over informatiebeveiliging in de zorg. NEN 7512 schrijft bijvoorbeeld voor hoe zorgaanbieders op een veilige manier elektronisch gegevens kunnen uitwisselen. Daarnaast is er de NEN 7513, die eisen stelt aan de logging door zorgaanbieders. Zie voor een toelichting op de logging ons artikel over dit onderwerp. Verder is er nog de NTA 7516 die zich toespitst op veilige gegevensuitwisseling per e-mail of via chatapplicaties.
Zorgaanbieders zijn op grond van de AVG niet verplicht zich te certificeren voor de NEN 7510, NEN 7512 en NEN 7513. Betekent dit dan dat zorgaanbieders deze NEN-normen links kunnen laten liggen? Nee, zeker niet. Het Besluit elektronische gegevensverwerking door zorgaanbieders (“Begz”) schrijft voor dat het zorginformatiesysteem van zorgaanbieders dient te voldoen aan de NEN 7510, NEN 7512 en NEN 7513. Zorgaanbieders ontkomen er dus niet aan om deze normen te volgen en toe te passen. Daarnaast worden deze normen vaak verplicht gesteld in de overeenkomsten met zorgverzekeraars.
Toepassing van de NTA 7516 is verplicht zodra medische gegevens worden uitgewisseld per e-mail of middels een chatapplicatie. Hier is bij zorgaanbieders al snel sprake van.
Beveiligingsbeleid
Het is raadzaam voor zorginstellingen om een beveiligingsbeleid op te stellen. Dit kan onderdeel uitmaken van het privacybeleid. De AP schrijft een aantal onderdelen voor die deel uit horen te maken van het beveiligingsbeleid:
- Authenticatie: dit houdt in dat tweefactor authenticatie moet worden gehanteerd voor medische dossiers. Dat betekent dat iemand iets moet weten (gebruikersnaam en wachtwoord) en iets moet hebben (telefoon, pas of token) om toegang te verkrijgen tot medische dossiers. Op dit punt ging het fout in het HagaZiekenhuis en het OLVG Ziekenhuis, waardoor onbevoegden toegang konden krijgen tot medisch dossiers.
- Autorisatie: alleen de bevoegde personen mogen toegang hebben tot medisch dossiers. Leg daarom in autorisatiebeleid vast wie waar toegang toe heeft.
- Logging van de toegang: zorgaanbieders moeten aan logging doen volgens de NEN 7513, en daarmee dus de acties op patiëntendossiers vastleggen.
- Controle van de logging: zorgaanbieders moeten deze loggegevens ook systematisch en consequent controleren. Hoe vaak precies is niet voorgeschreven. Eén keer in het jaar is in ieder geval te weinig, zoals bleek uit het boetebesluit van de AP inzake het HagaZiekenhuis.
- Bewustwording medewerkers ten aanzien van informatiebeveiliging: zorgaanbieders moeten zorgen voor bewustwording onder de medewerkers ten aanzien van het belang van beveiliging. Dit kan bijvoorbeeld door middel van scholingen of e-learnings, zoals onze e-learning Functionaris Gegevensbescherming die breed toegankelijk is.
Kortom
Zorg ervoor dat je als zorgaanbieder de beveiliging van persoonsgegevens goed regelt. De belangrijkste reden daarvoor is dat het gaat om gevoelige gegevens, waarbij de gevolgen groot zijn indien deze in handen komen van onbevoegden. Daarnaast heeft de AP steeds meer aandacht voor deze beveiliging, zeker bij zorgaanbieders. Zo heeft de AP ziekenhuizen en zorginstellingen zelfs opgeroepen om na te gaan of de beveiliging in orde is en deze te verbeteren indien nodig. Zorgaanbieders moeten ook aan kunnen tonen dat zij de nodige beveiligingsmaatregelen hebben getroffen. Dit heet de verantwoordingsplicht. Dit betreft niet alleen de zojuist genoemde maatregelen, maar bijvoorbeeld ook de bewaartermijnen van gegevens.
Zorg er dus voor dat een beveiligingsbeleid en privacybeleid aanwezig zijn én dat medewerkers zich bewust zijn van het belang van goede beveiliging. Hier helpen wij u graag bij.