Inhoudsopgave
Hoe voorkom ik een datalek?

Praktijkvraag 12

Hoe voorkom ik een datalek?

Paragrafen

Wat is een datalek? Wat zijn de verschil... Hoe en waar meld ik... Wat moet ik regelen...

Sinds 1 januari 2016 geldt de meldplicht datalekken. Dit houdt in dat een organisatie zoals het ziekenhuis direct een melding moet doen bij de Autoriteit Persoonsgegevens zodra er een ernstig datalek is.

Wat is een datalek?

Een datalek is het ter beschikking komen van data aan daartoe onbevoegde personen, maar ook het kwijtraken van data waardoor deze niet meer beschikbaar zijn. Het gaat dan om tot een persoon herleidbare data, bijvoorbeeld iemands naam, adres, geboortedatum of geslacht, maar ook gezondheidsgegevens en andere bijzondere persoonsgegevens.

 

De meldplicht datalekken is naast de overige medische informatietechnologie ook van toepassing bij medische apparatuur met medische software. Op een medisch apparaat bevinden zich vaak patiëntgegevens die tot een persoon herleidbaar zijn en deze data mogen niet beschikbaar komen voor ongeautoriseerde personen, tenzij deze data geanonimiseerd zijn. Dit betekent dat een medisch apparaat bijvoorbeeld niet zonder meer mag worden weggegeven, verkocht of weggegooid. De meldplicht datalekken geldt daarnaast ook voor medische software waarin persoonsgegevens verwerkt worden.

Voorbeelden van mogelijke datalekken:

  • niet encrypted usb-stick met patiëntgegevens kwijtgeraakt in de trein;
  • er is een laptop met patiëntgegevens gestolen;
  • een telefoongesprek in de trein waarin patiëntgegevens genoemd worden;
  • print met patiëntgegevens in een algemene papierpak weggooien of in printer laten liggen;
  • verzenden van foto’s patiënt via Whatsapp met tot de patiënt herleidbare kenmerken;
  • medisch apparaat met patiëntgegevens erop naar ander ziekenhuis overgebracht voor gebruik aldaar;
  • het delen van patiëntgegevens met een ziekenhuis zonder dat de betrokkenen onderdeel zijn van het behandelteam van de patiënt;
  • het op een onbetrouwbare manier versturen van patiëntgegevens (niet versleuteld);
  • een hacker heeft toegang verkregen tot patiëntgegevens;
  • een medewerker van de zorginstelling bekijkt de patiëntgegevens van een ziek familielid in het elektronisch patiëntendossier (epd).

Wat zijn de verschillende rollen in de bescherming van persoonsgegevens?

In de wetgeving is vastgesteld wat de verschillende rollen zijn bij de bescherming van persoonsgegevens. Figuur 4.12.1 geeft dit schematisch weer. De betrokkene is degene die zijn gegevens beschikbaar stelt en recht heeft op de adequate bescherming van deze gegevens. De verantwoordelijke is degene die het doel en de middelen van verwerking vaststelt.

Het gaat bij zorginstellingen dan om de gehele zorginstelling, niet een individuele medewerker. Als de data alleen verwerkt worden in intern beheer (dus binnen de zorginstelling) dan is er geen verwerker. Een verwerker is iemand die de verantwoordelijke persoonsgegevens verwerkt zonder dat diegene in hiërarchische verhouding staat met de verantwoordelijke. Dit gaat bijvoorbeeld om een leverancier die gegevens verwerkt in opdracht van de verantwoordelijke. Voorbeelden van het verwerken van gegevens is de opslag van gegevens en het uitvoeren van analyses op gegevens voor beslisondersteuning.

Figuur 4.12.1 Toetsmodel bescherming persoonsgegevens (Bron: Peter van Hoogdalem, ErasmusMC)

Hoe en waar meld ik een datalek?

Het ziekenhuis (de verantwoordelijke) heeft de verplichting om zonder onnodige vertraging maar in ieder geval binnen 72 uur een datalek te melden en acties te ondernemen. Het datalek moet gemeld worden bij de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Er is ook vastgesteld wanneer het ziekenhuis de betrokkenen moet informeren over het datalek.

Als het goed is, heeft ieder ziekenhuis een procedure opgesteld waarin staat dat een datalek gemeld moet worden bij de Functionaris Gegevensbescherming van de zorginstelling die de procedure verder volgt. Meer informatie over het opstellen van deze procedure staat op de site van de Autoriteit Persoonsgegevens.

Met de invoering van de Algemene verordening gegevensbescherming (AVG), op 25 mei 2018, zijn er strengere eisen aan de registratie van de datalekken. Alle datalekken in de organisatie moeten gedocumenteerd worden, ook de datalekken die niet gemeld (hoeven) worden.

Wat moet ik regelen om datalekken te voorkomen?

Hier benoemen we een aantal zaken die in ieder geval geregeld moeten worden om datalekken, zoals de eerder genoemde voorbeelden, te voorkomen. Het betekent overigens niet dat er geen datalekken kunnen voorkomen als onderstaande maatregelen genomen zijn.

 

De patiëntgegevens op een medische informatietechnologie of ander medium moeten altijd verwijderd worden bij afvoer van apparatuur. Als de apparatuur niet meer gebruikt wordt, is destructie van de harde schijf de beste optie. Leg vast wie hiervoor verantwoordelijk is, in het geval van een medisch apparaat

bijvoorbeeld de verantwoordelijke medisch instrumentatietechnicus. Bij proefplaatsingen van medische apparatuur is het goed om vooraf met de leverancier af te spreken hoe data verwijderd zullen worden omdat de destructie van de harde schijf dan (vaak) niet mogelijk is. Houd er daarnaast rekening mee dat een leverancier bij onderhoud in aanraking komt met deze data, bijvoorbeeld op een echo-apparaat. Indien mogelijk moeten bij onderhoud de data altijd verwijderd worden.

 

Maak ook afspraken met de leverancier over de geheimhouding van patiëntgegevens. Artikel 7.6 uit de Standaard Service Overeenkomst (SSO) en de bijlagen Overeenkomst externe verbindingen en Gedragscode, zijn een voorbeeld van vastgestelde afspraken hierover. Binnen de Europese Unie (EU) is het niveau van gegevensbescherming gelijkgetrokken. Dit is echter niet het geval met landen buiten de EU. Als data de EU verlaten bij bijvoorbeeld onderhoud en storingsanalyses van een verwerker is het daarom noodzakelijk om extra maatregelen te treffen. Voor Amerikaanse bedrijven is de huidige methode (sinds augustus 2016) om zich te certificeren voor het EU-US Privacy Shield. Voor andere landen of bedrijven die zich niet gecertificeerd hebben, is het noodzakelijk om de privacy te borgen via extra afspraken. De aanbevolen methode is om dit via het Europees modelcontract te regelen (bijlage XIV).

Als de organisatie kiest voor dataopslag buiten het ziekenhuis, kies dan een locatie binnen de EU om te zorgen dat data onder de juiste regelgeving vallen. Deze landen hebben het juiste privacyniveau ten opzichte van Nederland.

 

Daarnaast is het altijd vereist om een verwerkersovereenkomst af te sluiten met de leverancier als deze data verwerkt voor het ziekenhuis (en dus verwerker is). Hierin moet onder andere staan dat de leverancier een datalek direct meldt aan het ziekenhuis. Dan kan het ziekenhuis voldoen aan de verplichting om zonder onnodige vertraging maar in ieder geval binnen 72 uur het datalek te melden en actie te ondernemen. Dit betekent ook dat een leverancier die een deel van de databewerking uitbesteedt aan derden, zelf ook met dat bedrijf een verwerkersovereenkomst moet afsluiten.

Als er gegevens tussen zorginstellingen of tussen zorgverleners uitgewisseld worden, kies dan voor een betrouwbare methode. Dit betekent onder andere dat de data versleuteld verstuurd moeten worden en dat de gebruikte sleutel voldoende veilig is. Bekijk ook altijd kritisch of de data wel gedeeld mogen worden met de beoogde ontvanger. Voor individuele patiëntgegevens is het van belang dat er een behandelrelatie geldt tussen de patiënt en de persoon in kwestie of dat het delen van data noodzakelijk is voor de werkzaamheden van die persoon (bijvoorbeeld het delen van informatie tussen arts en medisch secretariaat). Het doel van het delen van de gegevens is dan ten bate van de behandeling van de patiënt.

 

Als voor een behandeling patiëntgegevens met een andere instelling gedeeld worden, moet de patiënt hiervan op de hoogte gesteld worden. De patiënt moet toestemming verlenen voordat de gegevens worden uitgewisseld, tenzij het om uitwisseling gaat binnen een behandelteam – waaronder ook multi-disciplinaire overleggen (MDO’s) – of het spoed betreft en de patiënt geen toestemming kan geven. Een voorbeeld van het rechtmatig uitwisselen van patiëntgegevens is het, na toestemming van de patiënt, uitwisselen van de medische gegevens bij overdracht van een patiënt naar een ander ziekenhuis voor (een deel van van) zijn behandeling. Denk hierbij bijvoorbeeld aan het versturen van het medisch dossier of diagnostische beeldvorming vanuit het andere ziekenhuis, of het verstrekken van historische gegevens voor een nieuwe behandeling, bijvoorbeeld historische bestralingsgegevens voor een nieuw bestralingsplan.

 

Meer informatie
Over de Wet bescherming persoonsgegevens, meldplicht datalekken en AVG is onder andere meer informatie te vinden op www.autoriteitpersoonsgegevens.nl. Voor meer informatie over adequate beveiliging van persoonsgegevens verwijzen we naar Praktijkvraag 11 en publicaties van het European Union Agency for Network and Information Security (ENISA) en het Nationaal Cyber Security Centrum (NCSC).
Praktijkvraag 11 Wat moet ik doen rondom cybersecurity?
Download document (PDF)
Praktijkvraag 13 Wat is de geldende wet- en regelgeving bij medische informatietechnologie?
MT Integraal gebruikt cookies

Door cookies werkt de site goed en veilig. Ook kunnen we u beter informeren. Welk niveau van cookies en verwerken van persoonsgegevens wilt u dat wij gebruiken?

Meer informatie over cookies