Privacy in de zorg en beveiliging persoonsgegevens

donderdag, 3 april 2014

Zorgverleners moeten niet alleen de medische gegevens van hun patiënten geheim houden, ze moeten ook het recht op privacy van de patiënten waarborgen. Alle gegevens die betrekking hebben op de gezondheid zijn bijzondere persoonsgegevens, waarvoor een strikt kader is opgenomen in de Wet bescherming persoonsgegevens (Wbp). Zorgverleners mogen uitsluitend medische gegevens verwerken indien zij handelen binnen de wettelijke kaders en de nadere invulling die daaraan wordt gegevens door het College Bescherming Persoonsgegevens (CBP). De beveiliging van deze persoonsgegevens speelt daarbij een grote rol. 

Op grond van art. 16 Wbp is het verwerken van bijzondere persoonsgegevens, waaronder de gegevens betreffende iemands gezondheid, verboden. Op het verbod voor de verwerking van gezondheidsgegevens zijn specifieke en restrictieve uitzonderingen opgenomen in art. 21 Wbp. Gegevens die betrekking hebben op iemands gezondheid mogen in de eerste plaats worden verwerkt door hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening. De verwerking mag alleen gebeuren voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Deze gegevens mogen bovendien alleen worden verwerkt door personen die op grond van hun beroep een geheimhoudingsplicht hebben.

De meeste medische dossiers zijn in de praktijk digitaal. De dossiers moeten zodanig zijn ingericht dat alleen de direct bij de behandeling betrokken hulpverleners toegang hebben tot het (digitale) dossier van een patiënt. Daarnaast moet het (digitale) medische dossier van patiënten onder de verantwoordelijkheid van de zorgaanbieder goed zijn beveiligd. De beveiliging van persoonsgegevens en met name van bijzondere persoonsgegevens is een van de speerpunten van het CBP.

In art. 13 Wbp is bepaald dat bij de verwerking van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten worden genomen om persoonsgegevens te beveiligen. In de Richtsnoeren 'Beveiliging van persoonsgegevens die op 1 maart 2013 in werking zijn getreden geeft het CBP aan hoe deze wettelijke veiligheidsnorm zou moeten worden ingevuld. In hoofdstuk 2 van de richtsnoeren staat een overzicht van elementen uit het vakgebied informatiebeveiliging die door het CBP worden beschouwd als de randvoorwaarden om tot passende beveiligingsmaatregelen te komen. Het gaat om risicoanalyse, toepassen van beveiligingsstandaarden en het volgen van een zogenaamd ‘plan-do-check-act-cyclus’.

De ‘plan-do-check-act-cyclus’ bestaat volgens het CBP uit de volgende drie stappen:

1. Beoordeel de risico’s

Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligings­incident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref op basis daarvan gerichte beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.

2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden

Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, ­standaarden en

maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.

3. Controleer en evalueer regelmatig

Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de beveiligingsmaatregelen aan.”

Gelet op het bijzonder gevoelige karakter van medische gegevens heeft het CBP aangegeven dat de beveiliging van dergelijke persoonsgegevens moet voldoen aan de hoogste normen. In het jaarverslag van 2013 - dat het CBP op 12 maart 2014 heeft gepubliceerd - geeft het CBP aan dat uit grootschalig onderzoek bij zorginstellingen is gebleken dat door onvoldoende beveiligingsmaatregelen het risico bestaat dat medische dossiers in te zien zijn door personen waarmee patiënten geen behandelrelatie hebben, zonder dat daar toestemming voor is verleend door deze patiënten.

Door het Nederlands Normalisatie-instituut is een norm ontwikkeld voor Informatiebeveiliging voor de zorgsector, de NEN 7510 norm. Deze norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. Het CBP gaat er vanuit dat indien een organisatie in de gezondheidszorg voldoet aan de NEN 7510 norm deze organisatie ook voldoet aan de wettelijke veiligheidsnorm van art. 13 Wbp.