De zorgsector is al jaren bezig met privacy en loopt toch voorop met meldingen van datalekken. Een ‘voorsprong’ die wijst op bewustzijn, alleen reikt dat nog niet ver genoeg.
De Autoriteit Persoonsgegevens (AP) heeft de zorgsector aangewezen als grootste melder van datalekken in Nederland. De toezichthouder heeft in het eerste jaar dat de Nederlandse meldplicht datalekken van kracht is bijna 5500 meldingen ontvangen. Daarvan komt 29 procent uit de sector gezondheid & welzijn, die ziekenhuizen en zorgverzekeraars omvat.
Privacy en positivisme
Deze score zou duiden op een fors privacyprobleem. AP-voorzitter Aleid Wolfsen gaf in een paneldiscussie over één jaar meldplicht echter een positieve interpretatie. Het hoge aantal meldingen wijst volgens hem op een groter bewustzijn in de sector. Bovendien draait de zorg om privacygevoelige gegevens.
Zorgorganisaties zijn zich al jaren bewust van de gevoeligheid van de door hun behandelde, verwerkte en doorgestuurde patiënteninformatie. De behoefte, noodzaak en wettelijke verplichting voor goede bescherming mag als bekend verondersteld worden. Recente nieuwsberichten ondergraven echter deze veronderstelling en de positieve interpretatie van Wolfsen.
Lekken en nalatigheid
Zo blijken websites van zorginstellingen geen beveiligde verbindingen te bieden aan hun cliënten. Tweederde van 22.393 onderzochte zorgsites dwingt geen https-verbindingen af en loopt daarmee risico van datalekkage. Het gaat hierbij ook om aanmeldingsformulieren, waarin zeer gevoelige informatie kan staan. Het privacybesef reikt in de praktijk niet ver genoeg.
Zorgzaak
Bovenop de Nederlandse meldplicht datalekken komt in mei volgend jaar de AVG (Algemene Verordening Gegevensbescherming). Deze EU-regels leggen meer verplichtingen op om datalekken te voorkomen én dreigen met forse boetes bij nalatigheid. Zorgvuldige en veilige omgang met medische gegevens is dan ook een (mede)verantwoordelijkheid van elke zorgprofessional. Kortom, een zorgzaak.
Praktijkgebaseerde hulp hoe medische gegevens verantwoord en veilig uit te wisselen, wordt geboden in de driedaagse IIR-cursus ‘Gegevensuitwisseling in de Zorg’.
