Waarmee kunnen wij u helpen?

    Nieuws

    Eerste serieuze AVG-boete uitgedeeld in de zorg: beveiliging en autorisatiebeheer vaak een zorgenkindje

    De eerste significante boete wegens schending van de Algemene Verordening Gegevensbescherming (AVG) is uitgedeeld. Dat betrof een ziekenhuis in Portugal, dat volgens de Portugese privacy toezichthouder de toegang tot de patiëntdata niet op orde had. Dit had ook in Nederland kunnen gebeuren. De Autoriteit Persoonsgegevens heeft al meerdere keren de beveiliging in de zorg en bescherming van patiëntgegevens als probleempunten aangekaart. Zorginstellingen doen er dan ook goed aan om hun privacy beleid nogmaals tegen het licht te houden en, ondanks financiële vraagstukken, voldoende hierin te investeren.

    De Portugese toezichthouder legde het ziekenhuis een boete van EUR 400.000 op wegens schending van diverse AVG-verplichtingen. Met name is het ziekenhuis aangerekend dat het nagelaten had om toe te zien op wie toegang had tot de patiëntgegevens. Volgens de Portugese toezichthouder had het ziekenhuis hierdoor in strijd gehandeld met de integriteit en vertrouwelijkheid van de persoonsgegevens, het beginsel van dataminimalisatie en de verplichting tot het adequaat beveiligen van de systemen.

    Toezichtkader

    Blijkens haar Toezichtkader 2018- 2019 legt de AP bij zorginstellingen ook extra focus op de beveiliging van medische gegevens en op de vraag of de verwerking gebaseerd is op de juiste grondslag. Vooral daar waar uitwisseling van deze gegevens aan de orde is, zijn dit relevante aspecten waaraan aandacht besteed moet worden. Tevens heeft de AP aangekondigd toe te zullen zien op de naleving van de verplichting om een register van verwerkingen op te stellen, de verplichting om een FG aan te stellen, alsmede de wijze waarop de organisatie de FG bekend maakt. Ook zal de AP onderzoek doen naar de kwaliteit van de aangestelde FG's. 

    Beveiliging

    Wat de toegang tot de patiëntgegevens betreft heeft de AP onlangs verder een brief gepubliceerd, naar aanleiding van vragen van het Ministerie van Volksgezondheid, Welzijn en Sport over patiënt authenticatie bij digitale informatie-uitwisseling tussen zorgverleners en patiënten. Daarin benadrukt de AP dat zorginstellingen passende technische en organisatorische maatregelen moeten treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Medische persoonsgegevens zijn per definitie privacygevoelig. Daarom gelden voor de bescherming van dat soort gegevens zeer hoge eisen. Volgens de AP kunnen er geen algemene uitspraken worden gedaan over wat een "passende" beveiligingsmaatregel is. Wel zijn er concrete normen voor informatiebeveiliging uitgewerkt, zoals NEN 7510:2017 in de zorgsector. De AP ziet dergelijke normen als algemeen geaccepteerde beveiligingsstandaarden die organisaties binnen de zorgsector moeten toepassen. Tevens onderschrijft de AP het belang van het eID-stelsel (elektronische identificatie), dat ertoe strekt om het betrouwbaarheidsniveau van online inloggen te verhogen.

    Investeren in bescherming patiëntgegevens

    Nu de technologische ontwikkelingen in de zorg zullen voortschrijden, en beveiliging veelal nog een zorgenkindje is, is het zaak dat zorginstellingen zich nog bewuster zijn van de verantwoordelijkheden die zij hebben bij het verwerken van de medische gegevens. Zorginstellingen hebben goede begeleiding nodig bij het lastige AVG-traject, de grote investeringen die dit van hen vraagt, en prioritering van de noodzakelijke verbeteringen.

    Wilt u meer weten over de AVG en privacy in de zorg? Neem dan contact op met Elisabeth Thole of Özer Zivali.