De Autoriteit Persoonsgegevens heeft zich op 15 februari direct tot de Raden van Bestuur van zorginstellingen in Nederland gericht, om te benadrukken dat zorgvuldig omgaan met patiëntgegevens ‘integraal deel uitmaakt van goede patiëntenzorg’. Pieter Lacroix, Managing Director Sophos Nederland, is verheugd dat de discussie over de veiligheid van data breder wordt getrokken dan het IT-domein. “De Autoriteit Persoonsgegevens richt zich hiermee tot het hoogste bestuursorgaan, en geeft daarmee een krachtig signaal af: de bescherming van persoonsgegevens is een verantwoordelijkheid voor de gehele organisatie.” Tegelijkertijd vindt Lacroix het zorgwekkend dat zo’n signaal kennelijk nog nodig is.
Sophos maakt zich al langer sterk voor bewustwording rond de bescherming van persoonsgegevens. Lacroix: “Uit onderzoek dat wij vorig jaar hebben gehouden in de aanloop naar de invoering van de meldplicht datalekken, bleek al dat de kennis van de materie, maar ook de bijbehorende wet- en regelgeving, bij het gros van de organisaties, ook in de zorg, volstrekt onvoldoende was.”
Kennelijk is dat de Autoriteit Persoonsgegevens ook opgevallen. In de brief noemt de AP ‘regelmatig terugkerende signalen’ over patiëntdossiers, die onder ogen komen van medewerkers van zorginstellingen die daar niets mee te maken hadden. Hoewel de AP op basis van eigen onderzoek onder negen zorginstellingen constateert dat deze inmiddels voldoen aan de wettelijke vereisten, acht de autoriteit het klaarblijkelijk toch nodig het bestuur van dergelijke instellingen te waarschuwen orde op zaken te stellen. In de afsluitende regels van de brief stelt de AP zelfs onomwonden dat zij ‘altijd kan besluiten nieuw onderzoek te doen’ als zij opnieuw signalen krijgt over onbevoegde toegang tot patiëntgegevens, en wijst in dit verband fijntjes op de meldplicht datalekken.
Desgevraagd wil de AP niet ingaan op eventuele meldingen die in dit verband reeds zijn gedaan, maar, meent Lacroix: “We mogen ervan uitgaan dat de autoriteit deze open brief niet voor niets heeft opgesteld: als de autoriteit het nodig vindt de zorginstellingen er publiekelijk op te wijzen dat zij aan de vereisten van de Wet bescherming persoonsgegevens moeten voldoen, is er iets aan de hand.”
“Voor de goede orde,” stelt Lacroix, “dit is geen uniek probleem voor de zorg. Je kunt hooguit zeggen dat de hoeveelheid, en de gevoeligheid van de persoonsgegevens in die branche erg hoog ligt. Maar wij hebben alle reden om aan te nemen dat de naïviteit van organisaties op dit gebied niet voorbehouden is aan de zorg.” Wat deze brief volgens Lacroix wel eens te meer aantoont is dat de bescherming van data geen zaak is die alleen het externe verkeer aangaat. “Ook binnen organisaties bestaat de verplichting om te zorgen dat persoonsgegevens niet worden ingezien door ongeautoriseerd personeel. Dat betekent dat voor de toegang tot deze gegevens helder en controleerbaar beleid moet worden opgesteld – en dat de hele organisatie van het belang van het navolgen van dat beleid op de hoogte moet worden gebracht.”
Lacroix wijst er nogmaals op dat uitstel van maatregelen om de organisatie voor te bereiden op de meldplicht datalekken een groot risico met zich meebrengt. “Patiënten hebben het recht hun zorgen over de bescherming van hun gegevens kenbaar te maken. De Autoriteit Persoonsgegevens kan al bij geringe verdenking van ziekenhuizen vereisen dat zij de beveiliging van hun IT-infrastructuur inzichtelijk maken. Daarop kan een berisping volgen of bij ernstige tekortkomingen zelfs een boete tot 820.000 euro.”
Meer informatie:
Open brief Autoriteit Persoonsgegevens
Datalek ziekenhuizen treft ruim 200.000 patiënten
Meldplicht datalekken
Onderzoek: Meldplicht datalekken onbekend bij managers
21 en 22 maart 2023 Organisaties hebben behoefte aan data science, selfservice BI, embedded BI, edge analytics en klantgedreven BI. Vaak is het dan ook tijd voor een nieuwe, toekomstbestendige data-architectuur. Dit tweedaagse seminar geeft antwoord ...
4 april 2023 (Face-to-face én Live Video Stream) Schrijf in voor al weer de tiende editie van ons jaarlijkse congres met wederom een ijzersterke sprekers line-up. Op deze editie behandelen wij belangrijke thema’s als Datamesh, Analytics ...
5 april 2023 Praktisch en interactief seminar met Nigel Turner Data-gedreven worden lukt niet door alleen nieuwe technologie en tools aan te schaffen. Het vereist een transformatie van bestaande business modellen, met cultuurverandering, een herontwe...
5 april 2023 (halve dag)Praktische workshop met Alec Sharp This workshop introduces concept modelling from a non-technical perspective, provides tips and guidelines for the analyst, and explores entity-relationship modelling at conceptual and logical...
5 april 2023 (halve dag)Praktische workshop door Thomas Frisendal In deze workshop van een halve dag zal de Deense expert Thomas Frisendal laten zien wat graph technologieën in de praktijk betekenen. Hij zal ook laten zien hoe graph oplossi...
13 april 2023 Praktische workshop Datavisualisatie en Human Data Stories. Hoe gaat u van data naar inzicht? En hoe gaat u om met grote hoeveelheden data, de noodzaak van storytelling, data science en de data artist? Lex Pierik behandelt de stromingen...
8 t/m 10 mei 2023 Praktische workshop Data Management Fundamentals door Chris Bradley - CDMP-examinatie optioneel De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Managemen...
11 en 12 mei 2023 Praktische workshop Data Governance & Stewardship door Chris Bradley - CDMP-examinatie optioneel Wat betekent Data Governance eigenlijk, hoe kunnen we het praktisch laten werken en wat zijn de implicaties? Deze 2-daagse cursus bie...
Deel dit bericht