(function(d,s,i,r) { if (d.getElementById(i)){return;} var n=d.createElement(s),e=d.getElementsByTagName(s)[0]; n.id=i;n.src='//js.hs-analytics.net/analytics/'+(Math.ceil(new Date()/r)*r)+'/554273.js'; e.parentNode.insertBefore(n, e); })(document,"script","hs-analytics",300000);

Nieuwe privacywetgeving grote impact binnen de sector zorg en welzijn

“De persoonsgegevens van honderdduizenden patiënten van het Groene Hart Ziekenhuis in Gouda zijn jarenlang vrij eenvoudig te zien geweest via internet. De informatie stond samen met tientallen complete medische dossiers op een slecht beveiligde computer. Een hacker had de beveiliging van het ziekenhuis getest. De persoonsgegevens bleken onbeveiligd over het internet te gaan. Daarnaast was een server waar de persoonsgegevens op stonden, beveiligd met een gemakkelijk te achterhalen wachtwoord.”

Download nu de gratis checklist

Helaas is het nieuwsbericht hierboven onlangs breed uitgemeten in de pers. Dit komt de laatste jaren steeds vaker voor. Doordat incidenten op gebied van databeveiliging op grote schaal plaatsvinden, is het van groot belang dat er maatregelen getroffen worden. Dit heeft er dan ook toe geleid dat later dit jaar de Europese Unie nieuwe regels in gaat voeren in het kader van de bescherming van persoonsgegevens.

Uiteraard hebben de nieuwe regels impact op de databescherming binnen de zorg en welzijn. Deze branche krijgt te maken met de zogenaamde Algemene Verordening Gegevensbescherming (AVG). Dit is een Europese richtlijn ter bescherming van persoonsgegevens en stamt uit 1995. Met de explosieve toename van geautomatiseerde verwerking van persoonsgegevens is deze richtlijn aan vernieuwing toe.

Privacywetgeving binnen de zorg en welzijn

Beveiligingsbelang bij datalekken

Onlangs maakte president Obama al bekend dat er in de Verenigde Staten een meldplicht van kracht gaat voor het melden van datalekken. Europa heeft een gelijksoortige privacywetgeving opgesteld. Overheden buigen zich over de verplichting om beveiligingslekken te melden bij het College Bescherming Persoonsgegevens (CBP).

De privacywetgeving heeft straks vooral impact op incidenten met ernstige nadelige gevolgen voor de verwerkte persoonsgegevens. Hier komt dan ook de cruciale wijziging voor organisaties binnen de zorg en welzijn. Datalekken binnen de zorg en welzijn kunnen voor patiëntgegevens namelijk al snel grote nadelige gevolgen hebben. Patiënten moeten na invoering van de privacywetgeving geïnformeerd worden over dit beveiligingslek. Het is dus belangrijk dat er, naast goede beveiliging, goed gedocumenteerd wordt. Waar worden patiëntgegevens bewaard en worden ze veilig uitgewisseld met andere organisaties en systemen?

Functionaris voor de gegevensverwerking

Naast de meldingsplicht wordt een wet cliëntenrecht bij elektronische gegevensverwerking ingevoerd. Deze wetgeving verplicht zorg- en welzijnsorganisaties, met 250 medewerkers of meer die aangesloten zijn op systemen voor de uitwisseling van data, een ‘functionaris gegevensbescherming’ te benoemen.

Deze functionaris gegevensbescherming dient:

  • Op de hoogte te zijn van de organisatie
  • Alles te weten over de gegevensverwerking binnen de organisatie en de belangen die hiermee gepaard gaan
  • Voldoende kennis te hebben van de privacy wetgeving

Op het gebied van informatiebeveiliging worden hogere eisen gesteld. Organisaties dienen verplicht een Privacy Impact Assessment te maken.

Op dit moment is nog niet bekend wanneer de EU de privacy verordening of AVG precies invoert. Wel wordt ervan uitgegaan dat de aanpassingen ingrijpende veranderingen teweeg brengen:

  • Europese toezichthouders krijgen meer bevoegdheden onder de nieuwe verordening
  • Er worden strenge sancties opgelegd. Variërend per overtreding, afhankelijk van de ernst van het feit, van € 250.000 of 0,5% van de jaarlijkse wereldwijde omzet tot € 100.000.000 of 5% van de jaarlijkse wereldwijde omzet

Wat betekent dit binnen de sector zorg en welzijn?

Zodra de wetgeving van kracht gaat is deze direct van toepassing in alle lidstaten. Huidige landelijke wetten vervallen dan.

Denk dus vroegtijdig na over de impact van de wetgeving op je eigen organisatie. Los van de wetgeving wil je niet dat patiëntdossiers op straat komen te liggen. De juiste beveiliging en het up-to-date houden hiervan, maar ook de juiste kennis van risico’s is van belang om goed voorbereid te zijn op de nieuwe privacy wetgeving.

Door risicomanagement te verankeren in jouw organisatie, worden onnodige risico’s structureel uitgesloten. Je speelt dan voortaan proactief in op nieuwe beveiligingsissues. 

New Call-to-action

Gerelateerde artikelen