25 oktober 2017 | Tekst: Michel Pasman en Edwin van Leeuwen | Beeld: Stock (foto) consilium.europa.eu (infographic)
|
In oktober 2016 publiceerde MoveMens het artikel ‘Geen trek in een datalek’, over een uitbreiding van de Wbp met een Meldplicht Datalekken per 1 januari 2016. Met deze uitbreiding wil de overheid instanties meer verantwoordelijkheid geven aangaande het verzamelen en verwerken van persoonsgegevens. In het artikel wordt uitgelegd hoe u met een paar belangrijke handelingen persoonsgegevens beter kunt beschermen tegen datalekken. Denk aan het gebruik van inlogcodes op computers, gestructureerd gebruik van back-up of het vastleggen van een geheimhoudingsplicht voor alle lagen van een organisatie of aan een derde zoals een reparateur. Uit het artikel blijkt ook dat werken in de cloud meer gemak en veiligheid biedt dan lokaal geïnstalleerde zorgsoftware. Back-ups en belangrijke beveiligingsupdates worden doorgaans geregeld door de cloudprovider en hier heeft u dus geen omkijken meer naar. Gebeurt er iets met uw computer? Dan kunt u altijd via een andere computer uw gegevens in de cloud raadplegen. Uw data is alleen beschikbaar voor diegene met de juiste rechten daartoe. Wanneer persoonsgegevens lokaal zijn opgeslagen, bijvoorbeeld op een interne harde schijf, zijn deze gemakkelijk te ‘kraken’. De ervaring leert dat datalekken vaak ontstaan door verloren of gestolen computers met daarop lokaal opgeslagen privacygevoelige informatie.
Door veranderingen binnen ons zorgstelsel en technologische ontwikkelingen komen vandaag de dag de persoonsgegevens van burgers in honderden (digitale) bestanden voor. De persoonsgegevens worden hiermee kwetsbaarder voor bewuste of onbewuste datalekken, of zelfs cybercriminaliteit. De cybercriminelen gaan de afgelopen jaren steeds geavanceerder te werk om persoonsgegevens te bemachtigen, met grote gevolgen voor de privacy van burgers (ransomware) en de bedrijfsvoering. Dit is een belangrijke reden geweest om de Wbp in mei 2016 te laten opvolgen door Europese privacyregelgeving.
Wat verandert er onder de AVG? Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht, ook wel bekend als General Data Protection Regulation (GDPR). De verordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’ en vervangt zowel de verouderde dataprotectierichtlijn uit 1995 als de Wbp. De AVG lijkt in grote lijnen op de Wbp:
Wat verandert er onder de AVG? U krijgt meer verantwoordelijkheden en de positie van uw patiënten, personen van wie de gegevens worden vastgelegd, wordt versterkt. U moet een rechtvaardig doel hebben om de privacygevoelige informatie te bezitten dan wel te verwerken en vooraf aangeven waarvoor u informatie gaat gebruiken. De betreffende informatie mag niet zonder toestemming gebruikt worden voor andere doeleinden. Er zijn ook juridische termen die gaan veranderen: ‘bewerkers’ worden ‘verwerkers’ genoemd, en de ‘verantwoordelijke’ wordt voortaan ‘verwerkingsverantwoordelijke’. De AVG is in mei 2016 al in werking getreden zodat organisaties twee jaar de tijd hebben om hun processen, diensten en goederen hierop af te stemmen. Vanaf 25 mei 2018 dient iedereen de AVG na te leven. Houdt u zich niet aan de nieuwe regels? Dan riskeert u een boete van maximaal 20 miljoen euro of 4% van uw (wereldwijde) jaaromzet. De wettekst van de AVG bestaat uit een omvangrijk aantal pagina’s. Het ministerie van Veiligheid en Justitie biedt met het document ’Anticiperen op de Algemene verordening gegevensbescherming’ een handig stappenplan om u voor te bereiden op de AVG. |
Deze stappen kunnen grote veranderingen met zich meebrengen die organisaties veel tijd kunnen kosten. De impact is afhankelijk van de mate waarin de Wbp van toepassing is op een organisatie en welke beheersmaatregelen er reeds zijn genomen. Adviesbureau PwC heeft in mei 2017 onder 327 organisaties een enquête afgenomen. Uit dit periodieke ‘Privacy Governance-onderzoek’ blijkt dat meer dan de helft van de organisaties nog niet begonnen was met voorbereidingen op de AVG. Slechts 12 procent was klaar voor de nieuwe Europese privacyregels. De Autoriteit Persoonsgegevens waarschuwt: “Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.”
Bewustwording De eerste stap om u voor te bereiden op de AVG is bewustwording. Reflecteren op uw eigen gedrag zodat inzichtelijk wordt welke risico’s op een bepaald veiligheidsincident bestaan. Dit bewustzijn blijkt onder zorgverleners vaak laag te zijn. Niet zelden verschijnen er berichten over datalekken binnen de zorg. In 2016 zijn er in totaal 5.500 meldingen van datalekken gedaan en bijna een derde van deze meldingen was afkomstig uit de sector zorg en welzijn. Mischa van Geelen is ethisch hacker en onderzoekt hoe bedrijven en instanties beveiligd zijn in het gebruik van internet en computersystemen. Van Geelen is tegen bangmakerij maar geeft aan dat een computer hacken vrij eenvoudig is en serieuze gevolgen kan hebben: “Het openen van een link in een ontvangen e-mail kan al genoeg zijn om ransomware te activeren. Een recent voorbeeld is de cyberaanval op meerdere ziekenhuizen in Engeland in mei van dit jaar. Medewerkers werden afgesloten van hun computers en afspraken met patiënten moesten worden geannuleerd. Complete afdelingen konden op afstand worden lamgelegd en ook alle systemen die maar een beetje computergestuurd worden, zoals een insulinepomp.”
Niet elk datalek is even ernstig, maar het blijft een feit dat met name in de zorg privacygevoelige informatie in verkeerde handen valt of kan vallen. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, benoemde eind 2016 in het NRC deze onzorgvuldige omgang met persoonsgegevens als ‘heel zorgelijk’. Wolfsen vermoedt dat er binnen de zorg ook sneller melding wordt gedaan van een datalek omdat er gewerkt wordt met gevoelige persoonsgegevens. De ervaring leert dat de meeste datalekken ontstaan door menselijke fouten, en niet door kwaadaardige hackers. Toch wil men het risico op cybercriminaliteit laag houden. Maar hoe goed zijn zorginstellingen beschermd tegen cybercriminaliteit? Van Geelen: “Ik denk dat zorginstellingen vandaag de dag nog te weinig beschermd zijn tegen cyberaanvallen. Het ontbreekt menigeen aan ‘awareness’. Maar dat komt wel vaker voor want ik zie dit ook bij gemeenten.”
U heeft tot 25 mei 2018 om
|
NEN 7510 belangrijk De NEN 7510 is niet verplicht, maar heeft wel een verplichtend karakter. Wat betekent dit? NEN 7510 wordt bijvoorbeeld genoemd in artikel 2 van de Algemene Maatregel van Bestuur (AMvB) die hoort bij de ‘Wet gebruik burgerservicenummer in de zorg’ (Wbsn-z). Ook onder de AVG is NEN 7510 een belangrijke norm. U bent dus niet verplicht om gecertificeerd te zijn voor NEN 7510 of om een TPM te hebben, maar u moet wel aantoonbaar voldoen aan de eisen die in de norm worden gesteld. Een TPM of certificering zijn algemeen geaccepteerde methoden om dit te aan te tonen.
Onder de AVG is het aanstellen van een Functionaris Gegevensbescherming voor de meeste organisaties een verplichting. Dit kan u helpen bij het implementeren van een kwaliteitssysteem. Een dergelijk systeem met bijbehorende audits biedt zekerheid en duurzaamheid. Jan Pieter Schoon: “Bij het opzetten van het kwaliteitssysteem kunnen zorgverleners steunen op beheersmaatregelen van ons als softwareleverancier, nu en in de toekomst. Graag helpen we zorgverleners verder met eventuele vragen over informatiebeveiliging. De veiligheid waarborgen van privacygevoelige informatie voelen wij als een gedeelde verantwoordelijkheid. Een NEN 7510-kwaliteitssysteem heeft grote voordelen die bewustzijn teweegbrengen, wat vervolgens tot verdere professionalisering leidt. Het is daarbij belangrijk dat u maatregelen neemt die passend zijn bij het risico dat wordt gelopen en bij de mogelijke impact van een onverhoopt incident.”
|
Gegevensbescherming binnen Incura & Abakus
Juist binnen de zorg is het belangrijk om uiterst zorgvuldig om te gaan met persoonsgegevens. In 2010 werd de webbased software Incura gelanceerd. Incura voldoet hiermee als eerste softwareleverancier aan de landelijke eisen van het Fysio-EPD. Deze eisen komen grotendeels overeen met de huidige ‘Algemene verordening gegevensbescherming’ (AVG). Incura en Abakus zijn gecertificeerd voor de beveiligingsnormen ISO 27001 én NEN 7510. Gebruikers kunnen er dus op vertrouwen dat hun gegevens veilig worden beheerd. Op 25 mei 2018 wordt de AVG van kracht, ook dan blijft NEN 7510 dé norm voor informatiebeveiliging binnen de zorg. Wat zijn de belangrijkste beveiligingsmaatregelen binnen Incura en Abakus om de privacy van persoonsgegevens te waarborgen?
Binnen Incura en Abakus geldt er vergaande organisatorische functiescheiding en wordt gewerkt met vaste procedures die tijdig afwijkingen kunnen signaleren en zo nodig corrigeren. Ook besteden zij alleen werkzaamheden uit indien de betreffende leverancier, een zogenaamde subverwerker, is gescreend en deze de doelstellingen van het kwaliteitssysteem onderschrijft.
Ook aan de slag met NEN 7510?Volg dan ons gratis webinar ‘NEN 7510 in 10 stappen’. Meld u nu aan!
|