Zonder moeite een datalek voorkomen of afwikkelen – welke information security officer of functionaris voor de gegevensbescherming droomt daar niet van? De bestuurlijke boetes die organisaties vanaf 1 januari 2016 riskeren bij het niet-melden van datalekken liegen er niet om en maken dat organisaties sterk worden aangemoedigd om een adequate invulling te geven aan de nieuwe wettelijke vereisten. De wet Meldplicht datalekken zegt echter niet hoe zorginstellingen dat realiseren. Reden genoeg om nader stil te staan bij de nieuwe meldplicht en de verplichtingen die dat met zich meebrengt.
De verplichting van een adequate beveiliging bestond al sinds de inwerkingtreding van de Wet bescherming persoonsgegevens (Wbp), maar het ontbreken daarvan wordt nu hoger beboet. Dat geldt ook voor het in de doofpot stoppen van een datalek. Een boete kan maximaal EUR 810.000 of tien procent van de jaarlijkse omzet bedragen. In vergelijking met andere organisaties lopen zorginstellingen, die werken met medische dossiers, een hoger aansprakelijkheidsrisico. De reden daarvan is dat de gegevens in een medisch dossier vrijwel altijd bijzondere of gevoelige persoonsgegevens zijn én dat daarop een beroepsgeheim rust. Ook is de verwerking van dergelijke persoonsgegevens aan strengere eisen onderworpen dan ´gewone´ persoonsgegevens. Dat maakt dat zorginstellingen bewust(er) zullen moeten omspringen met gegevensbescherming en privacy.
Uitbreiding boetebevoegdheid
Omdat er sprake was van een breed nalevingstekort van de bestaande privacyregelgeving, is de boetebevoegdheid van het CBP verhoogd en is een wettelijke verplichting tot het onverwijld melden van datalekken geïntroduceerd. Alle overige verplichtingen zijn dus niet nieuw, maar kunnen in de toekomst zwaarder worden bestraft.
Een veel voorkomend misverstand is dat het zich voordoen van een datalek een boete met zich meebrengt. Nee, het niet onverwijld melden van een datalek aan de toezichthouder – in casu het College Bescherming Persoonsgegevens (CBP) – en in sommige gevallen aan de patiënt zelf, brengt een boete met zich mee. Een datalek is iedere inbreuk op de beveiliging die leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dat is de wettelijke definitie. Meer praktisch verwijst een datalek naar de gevallen waar persoonsgegevens bedoeld of onbedoeld zijn onderworpen aan een ongeautoriseerde toegang.
Nieuw en opvallend is dat niet alleen verantwoordelijken een boete opgelegd kunnen krijgen, maar ook bewerkers, medeplegers en feitelijk leidinggevenden. ´Verantwoordelijken´ zijn de zorginstellingen zelf. ´Bewerkers´ zijn de bedrijven die in opdracht van de verantwoordelijken persoonsgegevens verwerken, bijvoorbeeld voor het onderhouden of hosten van een elektronisch patiëntendossier. ´Medeplegers´ of ´feitelijk leidinggevenden´ zijn de directies of raden van bestuur. Als bewerkers, medeplegers of feitelijk leidinggevenden nalatig zijn geweest in het treffen van beveiligingsmaatregelen of het melden van een datalek, dan kunnen zij – naast de verantwoordelijke – een boete opgelegd krijgen.
Authenticatie- & autorisatielogboek
Authenticatie en autorisatie zijn belangrijke beveiligingsmaatregelen ter voorkoming of opsporing van datalekken. Vanwege de vertrouwelijke aard van medische gegevens wil de overheid dat zorginstellingen daarmee zorgvuldig omspringen in de hele keten van gegevensuitwisseling (zorgverzekeraar, arts, service provider). De internationale standaard voor informatiebeveiliging voor de zorgsector is ISO 27002. Deze wordt door de Nederlandse overheid aangescherpt met NEN7510, 7512 en 7513. NEN7513 geeft richtlijnen voor het opstellen van een logboek: 1.) leg aantoonbaar vast dat de medewerker die toegang heeft tot de patiëntgegevens daartoe ook daadwerkelijk gerechtigd is, en 2.) zorg voor een sterke authenticatie, op basis van ten minste twee kenmerken, bijvoorbeeld een unieke identificatiecode, wachtwoord en badge. Alleen dan is het mogelijk de geclaimde identiteit van de medewerker te bewijzen, aldus NEN7513.
Vooruitlopend op de nieuwe meldplicht datalekken inventariseert een regionaal ziekenhuis dat om securityredenen anoniem wenst te blijven, momenteel waar zij verbeteringen kan aanbrengen in haar authenticatie– en autorisatiebeleid. De security officer van het ziekenhuis zegt daarover: “Wij menen dat een logboek niet alleen van belang is tijdens, maar ook voorafgaand en na afloop van een datalek. Het is belangrijk dat je inzichtelijk hebt wat er gebeurt op het gebied van authenticatie en autorisatie, zodat je tijdig kunt bijsturen en verbeteren. Op dit moment inventariseren wij de combinatiemogelijkheden tussen NEN 7513 en de nieuwe meldplicht. Belangrijke ondersteuning daarbij wordt geleverd door Imprivata, die onze authenticatie en single sign-on realiseert”. De security officer vervolgt: “Tegenwoordig kunnen medewerkers met een wachtwoord en ziekenhuisbadge inloggen, waarna zij de eerstvolgende vijf uren alleen nog maar hun badge nodig hebben om toegang te krijgen tot de voor hen relevante systemen. Dat werkt snel en gebruiksvriendelijk. Medisch specialistes en verpleegkundigen zijn hier laaiend enthousiast over. Wij willen het badgegebruik binnenkort verplicht stellen, want bijkomend voordeel daarvan is dat wij daarmee voldoen aan de twee-factor-authenticatie die het CBP vereist bij de verwerking van patiëntgegevens. Normaal gesproken gaat veiligheid ten koste van het gebruiksgemak, maar in dit geval levert het daadwerkelijk iets nuttigs op voor degene die de badge nog niet gebruikte.”
Privacyboekhouding
Het belangrijkste is natuurlijk datalekken voorkomen. Maar als het toch gebeurt, hoe geneest u uw organisatie van een datalek? Het bijhouden van een logboek helpt u daarbij. Wat sommige zorginstellingen zich namelijk (nog) niet realiseren is, dat het bijhouden van een logboek tegemoet komt aan de nieuwe meldplicht. Immers, een meldplicht impliceert allereerst dat de instelling in staat is een ongeautoriseerde toegang te herkennen en dat zij vervolgens in staat is te melden welke persoonsgegevens zijn getroffen.
Het logboek maakt op zijn beurt weer deel uit van de grotere, digitale privacyboekhouding van de zorginstelling, waarin alle verwerkingen zijn gedocumenteerd. In de privacyboekhouding zijn de verwerkingen bij voorkeur gerelateerd aan informatiesystemen en (deel)processen. Per verwerking moet een risico-analyse worden gemaakt van de mogelijke impact op de persoonlijke levenssfeer van een patiënt of medewerker. Ook de risico-analyse moet worden vastgelegd in een privacyboekhouding. De privacyboekhouding moet daarnaast gerelateerd zijn aan een register waarin de instelling alle datalekken bijhoudt. Ook de datalekken die uiteindelijk niet zijn gemeld, want per datalek of vermoed datalek moet de afweging worden vastgelegd waarom die uiteindelijk wel of niet heeft geleid tot een melding bij het CBP en/of de patiënten.
Tot slot, een zorginstelling zal niet alleen moeten beschikken over een privacyboekhouding omdat daartoe een wettelijke verplichting bestaat, maar ook omdat zij zich zal willen verweren ten tijde van een boeteoplegging of schadeclaim. Bewijsmateriaal dat gevonden wordt in de privacyboekhouding moet dan zo uit de ´kast´ kunnen worden getrokken. Ook moeten datalekken onverwijld worden gemeld aan de toezichthouder. Het begrip ´onverwijld´ is niet nader gekwantificeerd, maar verwacht wordt dat deze twee (werk)dagen zal bedragen. Ook daarom is het belangrijk dat gegevens vlug uit de privacyboekhouding kunnen worden geplukt, zodat de zorginstelling zo snel mogelijk back in business is.
Wilt u meer lezen over dit onderwerp? Vraag het gelijkluidende white paper van First Lawyers & Imprivata op.
