Datalek in de zorgsector via wachtwoord 123456

10 februari 2020 gdpr

Zorghuizen maken soms gebruik van een gps-systeem voor het opsporen en volgen van hun bewoners, maar zien niet altijd het gevaar van datalekken.

Onbevoegden kunnen op die manier de persoonsgegevens en/of gedragingen van patiënten volgen.

Daarom dat men in de GDPR spreekt van “technische – en organisatorische beveiliging.”

Vooral in de zorg worden gevoelige persoonsgegevens van kwetsbare personen verwerkt zoals gegevens van kinderen, geesteszieken, asielzoekers, ouders, patiënten, etc…

De AVG of GDPR bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze moeten dan ook verplicht een DPO aanstellen en in bepaalde gevallen een DPIA uitvoeren omdat zij medische gegevens verwerken.

Zo zijn er 4 factoren of zij grootschalig gegevens verwerken;

  • Het aantal patiënten over wie gegevens worden verwerkt
  • De hoeveelheid persoonsgegevens die verwerkt worden
  • De bewaring van deze bijzondere persoonsgegevens
  • En de geografische reikwijdte van de verwerking

De autoriteiten adviseren zorgaanbieders om een DPO of FG aan te stellen omdat deze kan helpen om een organisatie GDPR-proof in te richten.

Voor de zorgverlening bestaat de informatieverplichting en zijn er nieuwe regels voor het werken met de toestemming van de patiënt waardoor ze verplicht zijn om;

  • Een register van verwerkingsactiviteiten bij te houden
  • Een data protection impact assessment uit te voeren
  • En een DPO, data protection officer of FG, functionaris gegevensbescherming aan te stellen

Belangrijk is om de beveiliging van patiëntgegevens goed te regelen en heeft de zorgverstrekker de verantwoordingsplicht. Dit houdt net in dat men in de zorg moet kunnen aantonen of de juiste technische en organisatorische maatregelen werden genomen en dat de gegevensverwerkingen voldoen aan de normen van de GDPR of AVG.

De bestaande regels blijven bevestigd, zoals;

  • De wet op de geneeskundige behandelingsovereenkomst
  • De wet kwaliteit, klachten en geschillen zorg
  • De wet op de beroepen in de individuele gezondheidszorg
  • De zorgverzekering
  • De wet op marktordening gezondheidszorg
  • En de wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Wat kan de zorgverlener doen?

  • Een infosessie organiseren over de belangrijkste bepalingen van de GDPR. Het is belangrijk dat het personeel in de zorg zich bewust is van de omzichtigheid waarmee persoonsgegevens moeten worden behandeld. De personeelsleden dienen ingelicht te worden over wat persoonsgegevens juist zijn en wat de rechten van de betrokkenen zijn.
  • Richtlijnen uitschrijven van hoe men moet omgaan met persoonsgegevens zoals;
  • Geen papieren laten liggen bij de printer
  • Geen boekhoudkundige gegevens aan onbevoegden doorgeven
  • Wachtwoorden regelmatig veranderen
  • Goed het adres controleren vooraleer je persoonsgegevens gaat versturen
  • Computerschermen automatisch vergrendelen
  • Informeren over hoe om te gaan met vragen van de betrokkenen
  • Toelichting geven bij een “Datalek”
  • Een datalek is een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorzenden, opgeslagen of anderszins verwerkte gegevens.
  • Zo kan het gaan om het schenden van de vertrouwelijkheid van gegevens, als gevolg van het meedelen of ter beschikking stellen van gegevens aan personen die daartoe niet gerechtigd of gemachtigd zijn of het schenden van integriteit als gevolg van een ongeoorloofde wijziging van gegevens, bijvoorbeeld als gevolg van hacking of de onbeschikbaarheid van gegevens, als gevolg van een actie van ransomware, brand of overstroming.

Uitbesteden van verwerkingen

Als de verwerkingen beantwoorden aan de vereisten van de GDPR kan de verwerkingsverantwoordelijke beroep doen op verwerkers als deze;

  • Passende verwerkers zijn,
  • En een verwerkersovereenkomst afsluiteen

Men mag dus enkel beroep doen op verwerkers die voldoende garanties bieden op het gebied van;

  • passende technische en organisatorische maatregelen voor de bescherming van gegevensverwerking;
  • het correct naleven van de GDPR;
  • de waarborging en bescherming van de rechten van betrokkenen.

Als de passende verwerker werd aangeduid, moet er een verwerkersovereenkomst worden afgesloten waarin het onderwerp en de duur van de verwerking wordt omschreven alsook de aard en het doel, het soort van persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke.

Contacteer onze consulent
Tags: