10 oktober 2016 | Tekst: Edwin van Leeuwen en Michel Pasman | www.movemens.nl

 

Bescherm ik de privacy van mijn patiënten voldoende?

 

Datalekken, het (on)opzettelijk openbaar stellen van beveiligde informatie aan onbevoegden, is hot vanwege de vernieuwde Wet bescherming persoonsgegevens. Sinds 1 januari 2016 geldt er een meldplicht bij datalekken en de Autoriteit Persoonsgegevens mag zelfstandig forse boetes opleggen. Wat betekent dit voor u als praktijkhouder?

 

Patiëntgegevens op straat

Begin dit jaar ontdekte het tv-programma Meldpunt! dat de gegevens van 200.000 patiënten van Nederlandse en Belgische ziekenhuizen ruim een maand lang toegankelijk zijn geweest voor onbevoegden. Het Belgische scanbedrijf iGuana dat zich bezighield met het digitaliseren van patiëntgegevens, gebruikte een onbeveiligde link voor het verzenden van data naar de ziekenhuizen.

 

iGuana heeft na het klokkenluiden direct actie ondernomen om het datalek te herstellen en stuurde een brief naar de betrokken ziekenhuizen waarin de fout werd erkend. Hieruit blijkt dat iGuana de nodige veiligheidsmaatregelen had getroffen en dat data versleuteld verzonden werd via beveiligde verbindingen: “Voor uitzonderingsgevallen hebben wij een speciale webserver ingericht. Deze was uiteraard beveiligd. Bij de migratie naar een andere webserver is deze beveiliging door een menselijke fout niet mee overgegaan.”

 

In Nederland waren patiënten van het St. Anna Ziekenhuis en het Canisius Wilhelmina Ziekenhuis betrokken bij dit voorval. Beide ziekenhuizen hebben een melding datalekken gedaan bij de Autoriteit Persoonsgegevens (AP) en de betrokken patiënten geïnformeerd.

 

De kans op een datalek is

veel groter dan de meeste zorgverleners denken

 

Kans op datalek minimaliseren

Had deze situatie voorkomen kunnen worden? Het lijkt erop dat iGuana de nodige veiligheidsmaateregelen in acht heeft genomen, maar door een menselijke fout ontstond er toch een datalek. Binnen de Wet bescherming persoonsgegevens (Wbp) is diegene die de informatie over patiënten vastlegt, de zorgverlener, verantwoordelijk voor de beveiliging van de patiëntgegevens.

In Artikel 13 van de Wbp staat omschreven dat de verantwoordelijke passende technische en organisatorische maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen garanderen een passend beveiligingsniveau, gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

 

De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Een datalek is nooit helemaal uit te sluiten, maar de kans hierop is wel te minimaliseren. Welke maatregelen moet een zorgondernemer in ieder geval nemen om de privacy van zijn patiënten te waarborgen?

 

Bescherming computer

De kans op een datalek is veel groter dan de meeste zorgverleners denken. De behandelkamer verlaten terwijl de patiënt wacht tot de fysiotherapeut terug is, is daar een goed voorbeeld van. De computer met persoonsgegevens is op dat moment zonder toezicht toegankelijk voor onbevoegden.

 

Elena Hermsen is fysiotherapeut en praktijkhouder van Fysiotherapie Ede Veldhuizen: “Wij hebben op elke computer inlogcodes, na 30 seconden activeert het softwareprogramma een schermbeveiliger en na 1 minuut op de computer zelf. Onze software heeft sinds kort een nieuwe en beter beveiligde inlogsystematiek.” Niet alle zorgverleners zijn zich altijd even bewust van de risico’s en de te nemen maatregelen.

 

Lucien Fratello is IT-professional in de gezondheidszorg en ziet gemixte signalen: “De meeste zorgverleners weten dat persoonsgegevens beschermd moet worden en blijven, maar het schort hen ook aan inzicht en kennis in de eigen hard- en software. Daar zijn IT-professionals, die systemen soms complexer maken dan nodig is, medeverantwoordelijk voor.

 

Zorgvuldige werkwijze
Het zorgvuldig vastleggen van de geheimhoudingsplicht is één van de belangrijkste maatregelen om datalekken te voorkomen. Niet zelden komen patiëntgegevens, bijvoorbeeld door het delen van een casus, terecht op social media. Belangrijk is om bewustzijn te creëren in alle lagen van de organisatie over het belang van de geheimhoudingsplicht en in elke vorm van samenwerking de plicht te documenteren. Elena Hermsen: “Ons personeel heeft een huishoudelijk reglement ondertekend waarin zij een geheimhoudingsplicht hebben over patiëntengegevens en privégegevens. Ook stagiaires en waarnemers moeten deze ondertekenen.”

 

Naleving van de geheimhoudingsplicht blijft een aandachtspunt, maar is ook vrij voor interpretatie. Het is bijvoorbeeld veilig om via ZorgMail patiëntgegevens versleuteld te delen, maar via een regulier e-mailprogramma is dit doorgaans een risico. Lucien Fratello: “Defecte of verouderde usb-sticks of harde schijven moeten op de juiste wijze vernietigd worden en niet zomaar aan de straat gezet worden. Bedenk ook goed aan wie je je PC ter reparatie aanbiedt en documenteer ook voor hen een geheimhoudingsplicht”.

 

Onzorgvuldig omgaan met inloggegevens is een punt van aandacht voor zorgverleners. Eric de Boer, directeur Abakus en Incura en bestuurslid Vereniging van Organisaties voor ICT in de Zorg (OIZ): “Ik zie in praktijken wel eens monitors volgeplakt met post-its met inloggegevens, of in een agenda die zichtbaar op een bureau wordt bewaard. Dit is een potentieel risico, hetzelfde geldt voor wachtwoorden die gemakkelijk te raden zijn. Er zijn al wel technische oplossingen die in combinatie met een wachtwoord ingezet kunnen worden, maar deze vormen weer een extra belasting voor de zorgverlener qua gebruiksgemak en kosten.”

 

Virusbescherming en firewall

Naast een wachtwoord om uw computer te beschermen tegen onbevoegden, is het tegenwoordig vanzelfsprekend dat de computer of uw netwerk beschermd wordt voor invloeden van buitenaf. Dit wordt bereikt door middel van een firewall en antivirus software. Een firewall blokkeert ongewenst internetverkeer maar is niet in staat om bedreigingen te identificeren en te verwijderen. Een antivirus programma is wel in staat om bedreigingen te detecteren en preventief te verwijderen.

 

Even belangrijk is het om de firewall en antivirus vervolgens up-todate te houden. De Boer: “Het is belangrijk om zorgvuldig met een computer om te gaan. Door het downloaden van gratis software (zoals games) loop je het risico om een trojan horse binnen te halen. Deze vorm van malware geeft een onbevoegde mogelijk toegang tot jouw computer en gegevens die je bekijkt. Wees je daar bewust van. Wie is de leverancier van de gratis software? Zijn er bijvoorbeeld reviews van andere gebruikers?

 

Ransomware komt tegenwoordig ook veel voor, een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te 'bevrijden'. Zorg daarom dat je bewust omgaat met e-mails van onbekende afzenders of verdachte berichten.”

 

‘Ik zie in praktijken wel eens

monitors volgeplakt met post-its

met inloggegevens’ 

 

 

 

 

 

 

Back-up en herstel van gegevens
Het verliezen van gegevens wordt ook beschouwd als een datalek. Het is dus belangrijk om een back-up te maken van patiëntgegevens. Lucien Fratello: “Laat een expert controleren of je back-ups goed zijn. Het is van groot belang om de juiste gegevens op de juiste plek op te slaan, maar sla ook weer niet te veel gegevens op want dit wordt in de Wbp beschouwd als de onrechtmatige verwerking van patiëntgegevens.”

 

Binnen sommige online software kan de zorgverlener niet alles opslaan in het patiëntdossier, een deel van de gegevens moet dan lokaal opgeslagen worden. Deze spreiding van gegevens vormt een potentieel risico van verlies of verspreiding van privacygevoelige gegevens. De Boer: “Zorgverleners zien de risico’s vaak niet. Een praktijkhouder wellicht eerder, maar personeel binnen de praktijk nog minder. Ze vinden privacy wel belangrijk, maar het besef is er nog niet. Het gaat nog te vaak goed. Ik merk dat binnen de GGZ-branche dit besef er vaak wel is, vermoedelijk vanwege de gevoelige aard van de gegevens.”

 

Fysieke beveiliging
Wanneer u bijvoorbeeld met een laptop werkt waarop de gegevens staan dan is het potentiële risico zeer groot. Het gaat dan vooral om de fysieke beveiliging van de gegevens tegen brand en diefstal en voldoende back-up procedures. Wanneer uw laptop onverhoopt gestolen zou worden of ter reparatie aangeboden wordt dan is er in formele zin al sprake van een datalek.

 

Volgens de wet is het niet van belang of onbevoegden daadwerkelijk patiëntgegevens inzien, het feit dat zij de mogelijkheid daartoe hebben is al een overtreding die boeteplichtig is. Door data op te slaan in een beveiligde cloud in plaats van lokaal op uw computer kunt u een datalek door diefstal gemakkelijk voorkomen.

 

Beveiliging zo sterk als zwakste schakel
Ook al staan uw patiëntgegevens op de best beveiligde servers in datacentra met de hoogste beveiligingsniveaus, het begint bij zorgvuldigheid van de gebruiker. Het is aan te raden om een datalek-protocol op te stellen zodat u weet welke stappen gezet moeten worden mocht de situatie zich onverhoopt voordoen. Elena Hermsen: “Wij hebben een klachtenprotocol en verbeterrapport. Incidenten worden dan genoteerd en er wordt indien nodig naar gehandeld. Het is bij ons nog niet voorgekomen dat we de patiënt hebben moeten informeren over een datalek.” De wetgeving omtrent de privacy van persoonsgegevens is niet nieuw.

 

Je bent ook strafbaar als je

geen melding hebt gemaakt

van een datalek

 

 

De actualiteit is momenteel hoog doordat de AP vanaf 1 januari dit jaar zelfstandig boetes mag opleggen die zeer fors zijn van omvang; maximaal € 820.000 of 10% van uw jaaromzet. In de meeste gevallen van datalekken zal de AP de zorgverlener eerst de ruimte geven om maatregelen te treffen. Is er sprake van een datalek door kwade opzet of ernstige nalatigheid? Dan kan er direct een boete worden uitgeschreven. Kijkend naar de categorieindeling van de boetebeleidsregels lijkt de AP voornemens de hoogste boetes uit te schrijven voor het ongeautoriseerd verwerken van bijzondere persoonsgegevens. In mei dit jaar verklaarde de AP aan de NOS dat zij het aantal datalek meldingen vindt tegenvallen, maar ook dat zij te weinig mankracht heeft om voldoende lekken te onderzoeken.

 

De boetebevoegdheid geeft de privacywaakhond de lang verwachte autoriteit. In het verleden werd de AP wel eens omschreven als ‘tandeloze tijger’, maar zonder extra budget is het de vraag of de AP haar tanden ook kán laten zien. De Boer: “De AP mag dan te maken hebben met onderbezetting, het is zeer waarschijnlijk dat zij een voorbeeld zullen stellen aan gemelde voorvallen van datalekken. Je loopt dus als zorgverlener en zorgorganisaties een reëel risico op een forse boete als je niet kunt aantonen dat je de vereiste veiligheidsmaatregelen hebt getroffen. Je bent ook strafbaar als je geen melding hebt gemaakt van een datalek.”

 

Als er één groep ondernemers (zorgverleners) is die uiterst nauwgezet en stipt omgaat met klanten (patiënten), zijn het wel zorgondernemers. Het is al een automatisme dat je zorgvuldig omgaat met lijf en klachten van de patiënt, eenzelfde automatisme zou er moeten zijn bij de bescherming van hun gegevens. Als wettelijk verantwoordelijke voor de beveiliging van patiëntgegevens, moet gegevensbeveiliging ingebakken zitten in het ondernemen én handelen van elke therapeut.  

 

 

Meer info: www.abakus.nl

 

 

 

 

 

Cloud of lokaal?

 

Binnen de Wet bescherming persoonsgegevens (Wbp) is diegene die de informatie over patiënten vastlegt, de zorgverlener, verantwoordelijk voor de beveiliging van de patiëntgegevens. Om de kans op datalekken te minimaliseren, is het goed om de volgende maatregelen treffen:

  • Bescherm de computer tegen ongewenste gebruikers
  • Bewustwording van geheimhouding onder personeel
  • Virusbescherming en firewall
  • Back-up en herstel van gegevens
  • Fysieke bescherming tegen brand en diefstal

 

Werken ‘in the cloud’, zoals bij Abakus en Incura, biedt u meer gemak en veiligheid dan lokaal geïnstalleerde zorgsoftware. Mocht er onverhoopt iets gebeuren met uw computer, dan heeft u na herinstallatie of via een andere computer nog steeds toegang tot patiëntgegevens in de cloud. Ook uw back-ups zijn gewaarborgd. De database kan tijdens onderhoud gewoon op dezelfde plaats blijven staan en is daar alleen bereikbaar voor diegene met de rechten daartoe. Mocht een onbevoegde toch toegang hebben tot de gegevens, dan is dat naderhand altijd te blokkeren. Maar vergeet niet: al staan uw patiëntgegevens op de best beveiligde servers in datacentra met de hoogste beveiligingsniveaus, het begint bij zorgvuldigheid van de gebruiker.  

 

 

Meer info: www.abakus.nl