Besteed voldoende aandacht aan privacy

Voorkom financiële en imagoschade voor uw zorgorganisatie

Privacy en informatiebeveiliging vinden we allemaal belangrijk. Maar hoe waarborg je privacy en veiligheid van medische data in de ICT-infrastructuur van een zorgorganisatie, in tijden van verdachte mailtjes, gijzelsoftware en nieuwe wetgeving? Organisaties staan vooral onvoldoende stil bij de impact van privacy op de dagelijkse taken van werknemers, betoogde consultant Michael Pols tijdens de sessie Informatiebeveiliging en privacy, bij wie ligt de regie? op de Zorg & ICT Beurs 2016.

Er is momenteel veel te doen rondom de Meldplicht Datalekken en de EU Algemene Verordening Gegevensbescherming. Opmerkelijk, want de meldplicht en de verordening brengen weinig nieuws onder de zon, aldus Pols. Veel van wat er in beide instrumenten staat beschreven, vinden we terug in de Wet bescherming persoonsgegevens (Wbp). “En met die wet hebben zorgorganisaties de afgelopen tien jaar weinig gedaan. Dat geldt niet alleen voor de zorg, maar voor een groot deel van de organisaties in Nederland. Zowel overheid als niet-overheid.”

Afbeelding: Michael Pols tijdens de theatersessie Informatiebeveiliging en privacy, bij wie ligt de regie? op de Zorg en ICT beurs 2016.

Doe regelmatig een privacycheck

Organisaties die het aspect privacy goed op orde willen hebben, moeten volgens Pols werken aan vier aspecten:

• Overzicht: welke gegevens verzamelt mijn organisatie precies?
• Inzicht: waarom verzamelt mijn organisatie die gegevens? Heeft mijn organisatie die gegevens daadwerkelijk nodig?
• Organisatie: wie is / zijn er binnen mijn organisatie verantwoordelijk voor het waarborgen van privacy? En hoe is die verantwoordelijkheid belegd binnen hun taken?
• Controle: hoe toets ik of mijn organisatie goed bezig is op privacygebied? Hoe vaak moet je zo’n kritische check laten uitvoeren? En welke consequenties verbind ik aan de uitkomsten?

Denk na over waarom je gegevens verzamelt

Binnen zorgorganisaties leeft nog regelmatig het idee dat het voldoen aan de NEN 7510 ook betekent dat je voldoet aan de Wbp. Fout, zei Pols. De NEN 7510 gaat over het beveiligen van informatie en niet over privacy. “Het zegt bijvoorbeeld niets over waarom je gegevens verzamelt en hoe lang je die gegevens mag bewaren.” Zorgorganisaties staan nog onvoldoende stil bij dit soort vragen. Pols drukte hen op het hart om als het gaat over het verzamelen van persoonsgegevens goed over zaken als rechtmatigheid, doeleinde en grondslag na te denken en de afspraken op dit gebied goed vast te leggen.

Boetes en imagoschade op de loer

Besteed daarbij voldoende aandacht aan de processen en verantwoordelijkheden rondom privacy. De EU Algemene Verordening Gegevensbescherming zal voor veel organisaties een privacyfunctionaris verplicht stellen. Organisaties die onvoldoende aandacht besteden aan het borgen van hun processen rondom privacy, riskeren volgens de Meldplicht Datalekken boetes die kunnen oplopen tot 820.000 euro. Pols: “Belangrijker is misschien wel de negatieve media-aandacht en imagoschade die zo’n incident met zich meebrengt.”

Technische systemen onmisbaar bij bescherming persoonsgegevens

De deelnemers aan de sessie lieten in ieder geval blijken dat zij zich goed bewust zijn van het belang van privacy, bleek uit hun reactie op een aantal stellingen die Lex van de Water (PinkRoccade Healthcare) hen voorlegde. Bijna 60% was van mening dat de bescherming van persoonsgegevens hoge prioriteit heeft in hun organisatie. Adequate bescherming van persoonsgegevens kan niet zonder het inzetten van technische systemen plaatsvinden, vond tweederde van de zaal. Aan de aanwezigen werd ook gevraagd of ze als helpdeskmedewerker gegevens van een cliënt of patiënt zouden verstrekken als daarnaar wordt gevraagd. De zaal was daarover unaniem: nee. Ook bij een kwestie van leven of dood zou driekwart van de deelnemers de medische gegevens niet geven.