Stap 1 – Inventarisatie
Breng allereerst in kaart welke persoonsgegevens worden verwerkt. Hierbij is van belang dat de wet onderscheid maakt tussen reguliere persoonsgegevens en bijzondere persoonsgegevens. Zorginstellingen hebben per definitie te maken met medische gegevens, oftewel, ‘bijzondere persoonsgegevens’. De verwerking van dergelijke gegevens is aan strengere regels onderworpen. Maak in het op te stellen overzicht daarom onderscheid tussen reguliere persoonsgegevens en bijzondere persoonsgegevens.
Inventariseer vervolgens op welke wijze de diverse persoonsgegevens beveiligd zijn en vooral ook of de beveiliging afdoende is. Uiteraard dienen bijzondere persoonsgegevens beter beveiligd te worden dan reguliere persoonsgegevens. Voorts is het van belang dat geïnventariseerd wordt in hoeverre technische maatregelen zijn getroffen om een inbreuk op de beveiliging tijdig te detecteren. Indien dergelijke maatregelen ontbreken, is van belang dat deze op korte termijn geïmplementeerd worden.
Stel tenslotte een overzicht op van alle partijen die toegang hebben tot persoonsgegevens, de zogenoemde ‘bewerkers’. Dit kunnen bijvoorbeeld verzekeraars en maatschappelijke instellingen zijn, maar ook IT-dienstverleners (hosting, systeembeheer, aanbieders van cloudsoftware, etc.).
Stap 2 – Beleid
Een datalek dient binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens. Dit is uiteraard een zeer kort tijdbestek. Alleen al om deze reden is het van belang over een draaiboek/protocol/beleidsstuk te beschikken voor het geval een datalek ontstaat.
Het is van belang dat dit beleidsstuk in ieder geval beschrijft in welke gevallen sprake is van een datalek, bij wie een datalek intern wordt gemeld, hoe de omvang van het lek wordt vastgesteld, welke stappen worden genomen om de schade te beperken, welke nadere informatie nodig is om een melding te kunnen doen aan de toezichthouder, hoe wordt vastgesteld of ook aan de getroffen personen moet worden gemeld en welke andere interne en externe partijen geïnformeerd moeten worden (bijv. de communicatieafdeling, de verzekeraar, etc.). Ook dient een format opgesteld te worden voor het verplichte logboek waarin datalekken worden geregistreerd.
‘Bewustmaking’ is de volgende stap. Alle medewerkers moeten in ieder geval een datalek kunnen herkennen en moeten weten bij welke persoon het lek per direct gemeld dient te worden. Bewustwording zal uiteraard een constant proces zijn, maar is desondanks in de beginfase extra relevant.
Stap 3 – Bewerkersovereenkomsten
Een datalek doet zich niet altijd intern voor. Het kan namelijk voorkomen dat het lek bij de bewerker ontstaat. Bijvoorbeeld bij de aanbieder van een cloud-based applicatie die binnen de zorginstelling wordt gebruikt.
De wet verplicht zorginstellingen middels een zogenoemde bewerkersovereenkomst heldere afspraken te maken met de bewerkers. Onder meer moet worden vastgelegd welke persoonsgegevens aan de bewerker worden verstrekt, voor welk doel dit gebeurt, hoe de gegevens beveiligd worden en hoe de zorginstelling kan toezien op de naleving van de gemaakte afspraken.
Bestaande bewerkersovereenkomsten moeten voor 1 januari a.s. worden aangepast. Vanaf deze datum moet namelijk ook zijn vastgelegd dat de bewerker per direct, maar uiterlijk binnen een x-aantal uren (bijv. 24 uur), een datalek meldt aan de zorginstellingen. Ook moeten afspraken worden gemaakt over de inhoud van de melding van de bewerker aan de zorginstelling. De toezichthouder zal namelijk allerhande informatie omtrent het lek willen ontvangen waarover alleen de bewerker beschikt.
Bestuurders
Bescherming van persoonsgegevens en IT-security zijn niet (langer) uitsluitend operationele aandachtspunten. De torenhoge boetes, de persoonlijke aansprakelijkheid van bestuurders en het risico op zeer ernstige reputatieschade maken dat ook bestuurders een actieve rol zouden moeten spelen in het compliance-proces. Better safe than sorry lijkt hier zonder meer van toepassing.
Vragen?
Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.