top of page

Zorgaanbieders en beveiliging van patiëntendossiers


Steeds vaker krijgen wij de vraag aan welke beveiligingseisen kleinere zorgaanbieders, zoals vrijgevestigde fysiotherapeuten, huidtherapeuten of psychotherapeuten moeten voldoen. We zien dat er veel onduidelijkheid is bij kleinere zorgaanbieders over de beveiliging van een patiëntendossier. Aan welke beveiligingseisen moeten zij nu voldoen om een veilige omgang met persoonsgegevens te kunnen waarborgen? Moeten zij dezelfde normen in acht nemen als grote ziekenhuizen?


Geen lichtere eisen voor kleinere zorgaanbieders

Naast andere wetgeving speelt de Wet bescherming persoonsgegevens (Wbp) een belangrijke rol in de gezondheidszorg. De Wbp stelt dat degene die persoonsgegevens (zoals een patiëntendossier) verwerkt, deze gegevens passend moet beveiligen. Wat een passende beveiliging is afhankelijk van vele factoren en kan per geval verschillen.

Aan gezondheidsgegevens worden echter altijd hoge eisen gesteld als het op beveiliging aankomt. Dat is ook begrijpelijk, gezien de gevoelige materie die in een patiëntendossier wordt opgenomen. Tussen een patiënt en een zorgaanbieder bestaat een sterk afhankelijke relatie, waarbij de patiënt erop moet kunnen vertrouwen dat zijn medische gegevens optimaal worden beschermd.

Het maakt daarom niet uit hoe groot een zorgaanbieder is, gezondheidsgegevens moeten simpelweg volgens zware beveiligingseisen worden verwerkt. In de zorg is de NEN-7510 en NEN 7512 normering een veelgebruikte en in sommige gevallen zelfs een wettelijke verplichte standaard. In deze normering staan belangrijke manieren hoe je met gegevens in de zorg moet omgaan.

Wat houdt dit concreet in?

Om een passend beveiligingsniveau voor patiëntendossiers te bieden, is het goed om minimaal de volgende beveiligingsmaatregelen in acht te nemen.

  • Maak gebruik van een website met een HTTPS-certificaat (dit is zichtbaar in de browser);

  • Gebruik sterke en veilige wachtwoorden (minimaal 8 tekens lang, met hoofd- en kleine letters, met cijfers en tekens en niet makkelijk te raden, zoals een verjaardag); nog te veel mensen gebruiken makkelijke wachtwoorden als 123456 of hun geboortedatum;

  • Als gegevens over patiënten worden opgeslagen in een computerprogramma, het instellen van tweefactorauthenticatie. Dit betekent dat inloggen alleen kan als gebruik gemaakt wordt van een wachtwoord en een token (vergelijkbaar met het inloggen bij uw internetbankieren);

  • Stel autorisatieregels in voor het inzien van patiëntendossiers; wees zeer terughoudend in het delen van gegevens met bijvoorbeeld collega’s.

  • Maak afspraken met leveranciers (bewerkers) over de beveiliging van de gegevens. Dit is wettelijk verplicht als bijvoorbeeld gebruik gemaakt wordt van een ICT-leverancier. Gegevens moeten te allen tijde goed worden beveiligd en lekken moeten zo snel mogelijk na ontdekking aan u worden gemeld, zodat u aan uw meldplicht aan de AP en eventueel aan de betrokkene kunt voldoen.


Een datalek zit in een klein hoekje….

Wij kunnen het ons voorstellen dat u als zorgaanbieder schrikt van al deze technische termen. Als er een inbreuk van de beveiliging plaatsvindt, dan kan dit leiden tot een datalek.Er kunnen boetes opgelegd worden tot €900.000 als een zorgaanbieder een datalek veroorzaakt. In 2015 kwam 30% van alle datalekken uit de gezondheidszorg. Dit betekent dat er nog een hoop verbeterd kan worden in deze sector.

Buiten de hoge boetes, heeft de zorgaanbieder ook een grote morele plicht om data goed te beveiligen. Het vertrouwen in het beroepsgeheim is essentieel voor de gezondheidszorg. Een patiënt moet erop kunnen vertrouwen dat zijn privacy wordt gewaarborgd. Het is daarom noodzakelijk voor een zorgaanbieder om patiëntgegevens goed te beveiligen en zich bewust te zijn van de risico’s.


Uitgelichte berichten
Recente berichten
Archief
Zoeken op tags
Er zijn nog geen tags.
Volg ons
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page