De Autoriteit Persoonsgegevens (AP) gaat de komende maanden steekproefsgewijs zorgaanbieders bezoeken, waaronder ziekenhuizen, huisartsenposten en andere zorginstellingen. Het doel van deze bezoeken is tweeledig: enerzijds controleren of organisaties zorgvuldig omgaan met patiëntgegevens, anderzijds hen informeren over de regels en hoe zij daaraan kunnen voldoen. De controles zijn onderdeel van een bredere inzet om de bescherming van medische data binnen de zorgsector te versterken.
Gezondheidsgegevens
Gezondheidsgegevens behoren tot de meest gevoelige persoonsgegevens die er bestaan. Ze zeggen iets over iemands fysieke of mentale gezondheid en kunnen grote gevolgen hebben als ze in verkeerde handen vallen. Daarom schrijft de Algemene verordening gegevensbescherming (AVG) strenge regels voor over het gebruik, de opslag en de beveiliging van medische dossiers. Alleen artsen en andere bevoegde medewerkers mogen inzage hebben, en zorgaanbieders moeten actief controleren of deze regels worden nageleefd. Daarnaast moeten zij hun systemen voldoende beveiligen tegen hackers, interne fouten en datalekken.
Normen
Toch ziet de AP dat deze normen lang niet overal worden gehaald. In de praktijk gaat het regelmatig mis bij het uitwisselen van patiëntgegevens tussen zorginstanties, en in veel gevallen blijkt de technische beveiliging onvoldoende. Vicevoorzitter Monique Verdier benadrukt het belang van zorgvuldig handelen: “Niets is zo privé als gegevens over je gezondheid. Patiënten moeten erop kunnen vertrouwen dat zorgaanbieders uiterst zorgvuldig met hun medische gegevens omgaan. Als zulke gegevens worden gestolen of als er zomaar wordt gesnuffeld in een dossier, is de impact enorm.”
Met de aangekondigde bezoeken wil de AP zorgorganisaties stimuleren om de nodige maatregelen te treffen en te helpen waar verbeteringen nodig zijn.
Zorgsector koploper in datalekken
Uit cijfers van de AP blijkt dat de zorgsector in 2024 opnieuw de meeste datalekmeldingen heeft gedaan: ruim 6.800 in totaal. Daarmee staat de sector gezondheid en welzijn bovenaan de lijst. Hacks en ransomware-aanvallen komen steeds vaker voor, waarbij cybercriminelen dreigen gevoelige informatie te publiceren als er geen losgeld wordt betaald. De gevolgen kunnen groot zijn voor zowel patiënten als instellingen.
Een recent voorbeeld is de hack bij het laboratorium van Clinical Diagnostics, dat gegevens verwerkte voor bevolkingsonderzoeken. De AP is inmiddels een onderzoek gestart naar dit incident, dat duidelijk maakt hoe kwetsbaar de zorgsector kan zijn.
Nieuwe controles
Met de nieuwe controles hoopt de toezichthouder niet alleen risico’s te verkleinen, maar ook het bewustzijn binnen de sector te vergroten. Want in een tijd waarin digitalisering steeds meer kansen biedt, blijft één opdracht centraal staan: de bescherming van de meest gevoelige gegevens die er bestaan.