Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Zorginstellingen opgelet: de AP vraagt extra aandacht voor bescherming patiëntgegevens

Natascha van Duuren

18 februari 2016 - 2 minuten leestijd

Op 15 februari 2016 heeft de Autoriteit Persoonsgegevens in een open brief aan de Raden van Bestuur van zorginstellingen in Nederland aandacht gevraagd voor de bescherming van patiëntgegevens. De Autoriteit Persoonsgegevens benadrukt in deze brief dat vertrouwelijke omgang met patiëntgegevens in de gezondheidszorg essentieel is.

Niet alleen vanwege het recht dat patiënten hebben op de bescherming van hun persoonsgegevens, maar ook vanwege het negatieve effect dat onzorgvuldigheid zou kunnen hebben op de reputatie van de zorgsector in zijn geheel en het vertrouwen hierin van patiënten.

Er zijn voor de Autoriteit Persoonsgegevens drie redenen voor het vragen van deze extra aandacht; de nieuwe ICT-voorzieningen die nieuwe risico’s voor de vertrouwelijke behandelingen van patiëntgegevens creëren, een afgerond diepgaand onderzoek door de Autoriteit Persoonsgegevens waaruit bleek dat de betreffende zorginstellingen niet voldeden aan de benodigde beveiliging en de vragen en signalen die de Autoriteit Persoonsgegevens regelmatig krijgt over patiëntendossiers die zonder goede reden onder ogen zouden zijn gekomen van medewerkers van zorginstellingen.

Het onderzoek van de Autoriteit Persoonsgegevens startte in 2012 en omvatte een diepgaand onderzoek bij negen zorginstellingen waarbij werd gekeken naar de aanwezigheid van maatregelen om aan medewerkers op een gecontroleerde wijze toegang te verlenen tot de gegevens van de patiënt in het elektronisch patiëntendossier (hierna: EPD) van de instelling. Het ging daarbij om maatregelen op het gebied van autorisaties (wie kan er bij de gegevens), logging (bijhouden van raadplegingen gegevens) en controle van logging.

De conclusie van dit onderzoek was dat het beleid en de praktijk in de onderzochte instellingen niet in overeenstemming waren met de beveiligingsplicht van artikel 13 van de Wet bescherming persoonsgegevens. Deze beveiligingsplicht houdt kort gezegd in dat de verantwoordelijke de plicht heeft tot het treffen van passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking. Er werd volgens de Autoriteit Persoonsgegevens niet voldaan aan de beveiligingsplicht:

  • Er sprake was van toekenning van te ruime autorisaties aan medewerkers voor toegang tot het instellings-EPD;
  • Er was afdoende controle op het gebruik door medewerkers van de aan hun toegekende toegangsrechten. Dit leidde vervolgens ook tot het ontbreken van het daadwerkelijk opleggen van sancties bij misbruik van de toegangsrechten

Inmiddels zijn de intensieve verbetertrajecten afgerond en voldoen de onderzochte zorginstellingen aan de wettelijke vereisten. De Autoriteit Persoonsgegevens concludeert hiertoe:
“Het voorkomen van incidenten en het daadwerkelijk goed regelen van gecontroleerde toegang tot patiëntgegevens bleek een complexe, maar niet onmogelijke opgave.”

De Autoriteit Persoonsgegevens raadt zorginstellingen in haar brief aan om regelmatig een analyse te maken van de situatie van een instelling en hierin te beoordelen of autorisaties, logging en controle op logging up-to-date en in overeenstemming met de wettelijke vereisten zijn.

Daarnaast geeft de Autoriteit Persoonsgegevens aan dat met name de Raad van Bestuur een leidende rol dient in te nemen bij het bepalen van de vereisten waaraan bij de aanschaf en/of updating van ICT-voorzieningen moet worden voldaan. Ook is het aan de Raad van Bestuur om eventuele noodzakelijke verbetertrajecten te starten. Ter vergemakkelijking van de taak van de Raad van Bestuur tot het opstellen van een beleid verwijst de Autoriteit Persoonsgegevens in haar brief naar het door haar in 2013 gepubliceerde onderzoeksrapport en de sindsdien door brancheorganisaties ontwikkelde handleidingen.

Meer weten over de bescherming van patiëntgegevens? Neem contact op met Natascha van Duuren, partner Technology, Data & Innovation, n.vanduuren@declercq.com, 071-5815308 of 06-54983766.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?