Koepelorganisaties bieden praktische handleiding voor omgang met datalek

ma 12 december 2016 - 14:50
Nieuws

Koepelorganisaties KNMG, NHG, LHV en KNMP hebben een handreiking gepubliceerd waarmee ze hun achterban willen ondersteunen in de omgang met de Meldplicht Datalekken. Afgelopen juli besloten de organisaties om aan deze handreiking te gaan werken.

De praktische handreiking voor apothekers, huisartsen, huisartsenposten, gezondheidscentra en zorggroepen, geeft onder meer aan hoe een datalek te melden en beantwoordt veelgestelde vragen, zoals wanneer er sprake is van een datalek en welke acties dan zijn aan te raden.
De handreiking is bedoeld om eerstelijns zorgverleners en zorgorganisaties te ondersteunen bij het omgaan met de meldplicht datalekken die op 1 januari 2016 is ingevoerd.

De handreiking bestaat uit 3 onderdelen:

  • Een overzichtelijk schema dat antwoord geeft op de belangrijkste vragen over datalekken.
  • Een toelichting waarin wordt uitgewerkt wanneer sprake is van een datalek, wanneer het datalek moet worden gemeld aan de Autoriteit Persoonsgegevens en wanneer patiënten moeten worden geïnformeerd.
  • Een overzicht met meer dan 20 praktijkvoorbeelden van datalekken. Per voorbeeld is aangegeven of dit een datalek is, of deze moet worden gemeld aan de Autoriteit Persoonsgegevens, of de patiënten daarover moeten worden geïnformeerd en welke maatregelen de verantwoordelijke kan treffen om het datalek in de toekomst te voorkomen.  

Voor een zorgvuldige omgang met persoonsgegevens van patiënten, is het erg belangrijk dat, de zorgverlener weet hoe te handelen in geval een datalek zich onverhoopt voordoet. Daarom willen de KNMP, KNMG, LHV, NHG en InEen met de handreiking nuttige handvatten bieden waarmee een datalek herkenbaar is en deze indien nodig gemeld kan worden.

Samenwerking koepelorganisaties voor handreiking

Vanwege de onduidelijkheid over de impact van de nieuwe Meldplicht Datalekken, besloten artsenorganisatie KNMG en eerstelijnskoepels NHG, LHV en KNMP in juli om de handen ineen te slaan en hun achterban te ondersteunen bij het beantwoorden van de vele vragen die op dit gebied nog bestaan.

De meldplicht roept in de praktijk veel vragen op bij artsen, zo stelde de KNMG in juli. Wanneer is precies sprake van een datalek? Welke informatie moet een apotheker, huisarts of een huisartsenorganisatie aan de Autoriteit Persoonsgegevens (AP) en aan betrokken patiënten melden? Hiervoor had de KNMG eerder al een lijst opgesteld met de 10 meest gestelde vragen en antwoorden.

Datalekken in ziekenhuizen, zorg

Nederlandse ziekenhuizen hebben het afgelopen jaar tot nu toe 304 keer melding gemaakt van het verlies van privacygevoelige informatie. Dat bleek in november uit cijfers van de Autoriteit Persoonsgegevens (AP) waar Trouw over publiceerde. Omgerekend ging het om circa één gerapporteerd cyberincident op het gebied van dataverlies per dag. Veel meldingen betroffen  dataverlies als gevolg van onbeveiligde verbindingen en menselijke fouten, aldus de AP.

Verdere details geeft de toezichthouder niet vanwege de mogelijke traceerbaarheid daarvan naar individuele ziekenhuizen. In totaal waren sinds 1 januari zo'n 4700 meldingen bij de AP, omdat privégegevens mogelijk in handen van derden waren gevallen. Bijna een kwart van de meldingen kwam uit de zorgsector.

Over de Meldplicht Datalekken

De meldplicht datalekken is ingevoerd om tot een betere bescherming van persoonsgegevens te komen. De Autoriteit Persoonsgegevens stelde eerder al beleidsregels op voor organisaties om hen te helpen bij het omgaan met de meldplicht datalekken.

Een datalek is een inbreuk op de beveiliging van persoonsgegevens waardoor deze persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder onrechtmatige verwerking valt niet alleen het vrijkomen (lekken) van persoonsgegevens, maar bijvoorbeeld ook onbedoelde vernietiging of kwijtraken daarvan en onbevoegde toegang.

Hoewel datalekken voorkomen moeten worden, kan er zich een incident voordoen: een inbraak in de apotheek of huisartsenpraktijk, een kwijtgeraakte USB-stick met patiëntgegevens of een verkeerd verstuurde e-mail met medische informatie.  Voorbeelden zijn verder het verlies van grote hoeveelheden gegevens of zeer gevoelige informatie waar ziekenhuizen mee te maken hebben, zoals EPD’s.