blog

    Beveiliging patiëntgegevens speerpunt van de Autoriteit Persoonsgegevens

    Monique Hennekens
    Monique HennekensPublicatiedatum: 1 juli 2016
    Beveiliging patiëntgegevens speerpunt van de Autoriteit Persoonsgegevens

    Zorgverleners hebben niet alleen een geheimhoudingsplicht, maar ook de wettelijke verplichting om patiëntgegevens te beschermen tegen verlies of onrechtmatige toegang. Op grond van de Wet bescherming persoonsgegevens (Wbp) dienen zorgverleners technische en organisatorische maatregelen te treffen om patiëntgegevens adequaat te beveiligen. De (meestal digitale) patiëntendossiers zullen onder meer zodanig moeten zijn ingericht dat uitsluitend de direct bij de behandeling betrokken artsen en hulpverleners toegang hebben tot de medische gegevens. Dat gaat vaak mis. De beveiliging van medische gegevens is daarom een speerpunt van het handhavingsbeleid van de Autoriteit Persoonsgegevens. 

    Afspraken met bewerkers

    Het is de verplichting van de zorginstelling om ervoor te zorgen dat de beveiliging goed geregeld is, ook als de verwerking of het beheer  van patiëntgegevens of de systemen waar de gegevens zich op bevinden worden uitbesteed aan bijvoorbeeld een IT dienstverlener of Cloud provider. In een persbericht van 17 mei jl. eist de Autoriteit Persoonsgegevens dat er betere afspraken worden gemaakt over het digitaliseren van patiëntgegevens. Zij heeft geconstateerd dat drie onderzochte ziekenhuizen geen goede afspraken hadden gemaakt met de bedrijven die medische gegevens verwerkten voor het ziekenhuis. Het gaat dan onder meer om afspraken over de beveiliging van deze gegevens.

    De zorginstelling heeft een wettelijke verplichting om bij uitbesteding van een gegevensverwerking een bewerkersovereenkomst te sluiten met de dienstverlener. In deze overeenkomst moeten onder meer alle relevante afspraken zijn vastgelegd over de beveiligingsmaatregelen die moeten worden getroffen, de wijze waarop de zorginstelling toeziet op de naleving van deze maatregelen en de plicht voor de dienstverlener om de zorginstelling te informeren over beveiligingsincidenten en datalekken. In de Richtsnoeren beveiliging persoonsgegevens staat niet alleen hoe persoonsgegevens adequaat kunnen worden beveiligd, maar ook welke uitgangspunten de Autoriteit Persoonsgegevens hanteert bij de beoordeling van een bewerkersovereenkomst (hoofdstuk 4).  

    Handhavingsbeleid Autoriteit Persoonsgegevens (AP)

    De AP heeft in haar toezichtsagenda de beveiliging van persoonsgegevens en van medische gegevens in het bijzonder als speerpunt benoemd voor 2016. Met name het plaatsen van medische gegevens in de cloud heeft extra aandacht van de AP. Eerder dit jaar heeft de AP in een open brief aan zorginstellingen specifiek aandacht gevraagd voor de bescherming van patiëntgegevens. In die brief geeft de AP aan dat uit onderzoek is gebleken dat vaak meer personen toegang hebben tot gezondheidsgegevens van patiënten dan wettelijk is toegestaan. Ook blijkt de controle op de autorisaties (wie toegang heeft tot welke gegevens) regelmatig gebrekkig. Zo kon bijvoorbeeld een student met een bijbaan op de administratie van een GGZ instelling een dossier van een medestudent bekijken die daar in behandeling was.  

    De AP heeft de Raden van Bestuur van de Nederlandse zorginstellingen daarom opgeroepen om de beveiliging van patiëntgegevens te inventariseren en waar nodig te verbeteren. 

    Ook uit andere berichten en onderzoeken blijkt dat de AP in 2016 extra alert en actief is op het vlak van beveiliging van medische gegevens, zoals de beveiliging van contactformulieren van fysiotherapeuten en het verstrekken van diagnosegegevens door de NZa.  

    Aandacht voor de beveiliging van patiëntgegevens noodzakelijk

    Het is voor het vertrouwen van de patiënt in de zorginstelling uiteraard belangrijk om de beveiliging van patiëntgegevens goed te regelen. Daarnaast loopt de zorginstelling ook het risico op een onderzoek en mogelijke boetes van de AP als de beveiliging niet adequaat is. Die boetes kunnen oplopen tot € 820.000 per overtreding.