25 oktober 2017 | Tekst: Lidwien van Loon | Beeld: Marcel Dekker

 

Nieuwe wet: praktijkhouder aansprakelijk voor beveiliging persoonsgegevens

 

Gaat je scherm automatisch op zwart als je de behandelkamer uitloopt? Mooi! Staat er een beeldscherm open in de oefenzaal, ligt er misschien een map met oefenschema’s klaar of mail je zorgverleners zonder encrypted security? Foute boel! Je hebt nog een halfjaar om de praktijk te laten voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Een boete kan al gauw oplopen tot een paar ton.

 

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De nieuwe wet volgt de Wbp op en maakt praktijkhouders nog meer aansprakelijk voor het beschermen van persoonsgegevens. Jan Haverkamp waarschuwt zijn collega’s: “Zorg dat je de beveiliging van persoonsgegevens op orde hebt als de continuïteit van de praktijk je lief is.” Haverkamp is zelf ook eigenaar van drie fysiotherapiepraktijken. Daarnaast is hij auditor voor HCA en lid van de klankbordgroep fysiotherapie van Intramed/Convenient. “Het gaat er in eerste instantie om dat je je bewust bent hoe kwetsbaar gegevens zijn en hoe eenvoudig ze toegankelijk zijn in de fysiotherapiepraktijk.”  

 

 

 

 

Je schrikt echt!

Volgens Haverkamp lijkt databeveiliging voor veel praktijkhouders op een zwart gat. Ze letten bij het kopen van een ICT-systeem op de prijs en hoe het eruit ziet, maar ze stellen de leverancier niet de meest essentiële vraag, namelijk: hoe veilig is het? Haverkamp doet een boekje open over de dagelijkse praktijkvoering. Als auditor heeft hij honderden fysiotherapiepraktijken bezocht.

“Dankzij Intramed voldoen we in onze praktijk aan alle ICT-normen: de juiste certificaten, voldoende beveiliging, sterke wachtwoorden, schermen op zwart als je even niet werkt. Toch blijkt de balie een kwetsbaar punt, net als onze oefenzaal.” Dit bleek uit een risicoanalyse die Haverkamp liet uitvoeren.

“Als praktijkhouder heb je de eindverantwoordelijkheid over de beveiliging van de persoonsgegevens. Download maar eens de NEN-normen 7510, 7512 en 7513 waaraan we moeten voldoen. Dan schrik je echt!”

 

Achter slot en grendel

“Het uitgangspunt is dat gegevens nooit inzichtelijk mogen zijn voor een ander. Denk dit eens door in de fysiotherapiepraktijk. In veel oefenzalen tref je mappen aan waaruit patiënten hun oefenschema pakken. Toch maakt ook een oefenschema onderdeel uit van het dossier van de patiënt. Iemand anders dan de patiënt kan zo’n map pakken en uit het oefenschema afleiden dat de patiënt bijvoorbeeld last heeft van zijn schouder. Dit lijkt niet spannend en toch gaat het hier om persoonsgegevens. Volgens veiligheidsnorm NEN7510 moet zo’n oefenschema achter slot en grendel worden opgeborgen. Ook voor mijn praktijk betekent dit een ingrijpende aanpassing. Doe ook maar eens een risicoanalyse. Dan is duidelijk dat de AVG over meer gaat dan alleen ICT.”

 

 

 

 

Telkens opnieuw inloggen

De AVG verplicht praktijkhouders tot veiligheid van persoonsgegevens ook buiten de ICT om. Ook voor De Akker, de praktijken van Haverkamp in Elburg, Wezep en Epe, heeft dit consequenties. Hij voorspelt dat het werk in de fysiotherapie er door de AVG niet leuker op wordt.

“Lange wachtwoorden zijn veiliger dan korte, maar prettig werkt het niet als je telkens opnieuw moet inloggen, ook als je alleen maar even een bakje koffie hebt gehaald. Het gaat zelfs nog verder. We gaan toe naar een systeem van 2 Factor Authentication (2FA). Je combineert dan een wachtwoord met een vingerafdruk of bijvoorbeeld een irisscan. Intramed werkt er al mee: je koppelt je mobiele telefoon waaruit een code wordt gegenereerd. Zelfs wanneer het wachtwoord gehackt is, kunnen hackers niet in het systeem.”

 

Zwakke plekken en tips

Wetgeving legt de verantwoordelijkheid voor beveiliging volledig bij de praktijkhouder neer. Daarom zet Haverkamp zo hoog in op bewustwording van de consequenties van de AVG. Aan de hand van herkenbare voorbeelden wijst hij op zwakke plekken in de praktijkvoering. Afwachten is volgens Haverkamp het slechtste wat praktijkhouders nu kunnen doen.

 

Lees het volledige interview met waardevolle tips van Intramed klik hier >>

 

 

 

Meer info: