De laatste weken van april en mei werd ik bedolven onder e-mails die gingen over nieuwe privacystatements en de vraag of ik nog steeds e-mails van bedrijven wil blijven ontvangen. Veel bedrijven kregen het warm van de naderende AVG-wetgeving en realiseerden zich dat zij onvoldoende zijn voorbereid. Uiteindelijk is er niet zo heel veel veranderd aan de bestaande privacywetgeving alleen wordt deze wetgeving vanaf 25 mei 2018 gehandhaafd. Voor zorgondernemingen is privacy handhaven echter van alle tijden. De cliëntgegevens bevatten altijd gevoelige informatie. Maar wat als het cybergevaar niet van buiten komt maar juist van binnen? Zijn zorgondernemers zich daarvan voldoende bewust?
Volledig en optimaal beveiligen betekent ook intern de zaken op orde hebben
Bedreiging van buitenaf door hackers, malware, phishing komt veel voor. Zorgondernemers zijn zich hiervan steeds meer bewust en besteden een groot deel van hun IT-budget aan cybersecurity. Helemaal nu er flinke geldboetes kunnen worden uitgedeeld als organisaties niet voor voldoende bescherming zorgen. Helaas beveiligen zorgondernemingen maar de helft van het daadwerkelijke risico. Naar schatting wordt namelijk de helft van beveiligingsincidenten en datalekken niet veroorzaakt door bedreigingen van buitenaf, maar door interne factoren. Beter gezegd; eigen medewerkers lekken informatie door veelal onbewust gedrag, onoplettendheid of onzorgvuldigheid. USB-sticks waarmee onzorgvuldig wordt omgegaan, Excel-bestanden met cliëntgegevens worden naar een verkeerd persoon gemaild of opgeslagen in Dropbox of een andere cloudoplossing, bestanden die op laptops worden bewaard in plaats van centraal in het systeem, een printopdracht die naar een printer op een andere afdeling of vestiging wordt gestuurd… Het zijn reële risico’s waar elke zorgonderneming mee te maken heeft.
Datalek incidenten zijn reële risico’s
Juist in zorgondernemingen worden gevoelige persoonsgegevens geregistreerd waardoor extra voorzichtigheid geboden is. Neem het lekincident van Samantha de Jong, beter bekend als Barbie. Haar medische dossier is door 85 ziekenhuis medewerkers bekeken waarvan lang niet iedereen betrokken was bij haar behandeling of verzorging. Hierbij is weliswaar geen sprake van onbewust gedrag, maar zorgonderneming moeten wel reëel naar dit probleem kijken. Nieuwsgierigheid naar het medisch dossier van de buurman of Barbie behoort eveneens tot een lek en vormt dus een reëel risico. Het incident van Barbie blijkt uit de logfunctionaliteit in haar dossier. Echter met controle achteraf kunnen dergelijke incidenten niet worden voorkomen. Om dergelijke incidenten te voorkomen bouwen ziekenhuizen vragen in die voorafgaand aan het openen van een medisch dossier beantwoord moeten worden door medewerkers die niet tot de medische staf behoren. Een degelijke systeemcontrole is blijkbaar nodig, maar het zit ‘m ook in bewustwording. Elke medewerker in een zorgonderneming moet zich realiseren dat hij of zij werkt met persoonsgegevens die uitermate gevoelig en waardevol zijn. Het is van groot belang dat deze data niet in verkeerde handen vallen.
Maar wat als gegevens dan toch uitlekken?
Timo Schipperen, cybersecurityexpert bij het Amphia Ziekenhuis te Breda, houdt zich al jaren bezig met het beschermen van patiënt- en medewerkersgegevens. Chinese hackers probeerde in het verleden systemen van het Amphia Ziekenhuis te hacken. “In onze systemen staat veel informatie over symptomen, diagnoses, behandelingen en complicaties per patiënt. En dit levert waardevolle informatie op”, aldus Schipperen. Een ander voorbeeld dat Schipperen noemt in zijn interview met het NRC is dat hun internetprovider het ziekenhuis voor een dag stillegt om dat er plotseling duizenden e-mails vanuit het ziekenhuis werden verstuurd naar aanleiding van het openen van een ‘foute’ e-mail door een medewerker. Er is geen informatie ‘gelekt’ maar een dag lang was er geen e-mailverkeer mogelijk. Medicatie kon niet worden besteld, ook het digitaal informeren van huisartsen bleef voor een dag uit. Medewerkers van zorgondernemingen moeten doordrongen zijn van de gevaren van lekken van persoonlijke gegevens. Open dus niet zomaar elke e-mail en laat nooit zomaar je scherm openstaan als je naar de wc gaat. Zorgondernemingen zijn vaak semi-openbare instanties waar veel verschillende mensen in en uit kunnen lopen. Medewerkers moeten zich daar veel meer van bewust zijn.
De AVG is er voor iedereen
Om de bewustwording van verantwoord omgaan met persoonsgegevens te ondersteunen, hebben de Nederlandse Vereniging voor Ziekenhuizen (NVZ) en GGZ Nederland in oktober 2017 meegedaan aan de campagne ZEKER, een initiatief van Alert Online dat ontwikkeld is voor en door zorgondernemers. Tijdens deze campagne worden zorgondernemingen én hun medewerkers onder andere getest op hun omgang met (digitale) informatie en privacy issues. Daarnaast krijgen medewerkers tips en handvaten aangereikt om misbruik van gevoelige persoonsgegevens te voorkomen. Meer informatie over de campagne ''Zeker'' is te vinden op Alert Online.
Procedures vastleggen
Tegenwoordig is het verplicht om een verwerkingsregister bij te houden. In het verwerkingsregister liggen de doelen vast die ten grondslag liggen aan het verzamelen en bewaren van cliënt- en relatiegegevens en de bewaartermijn. Welke medewerkers kunnen deze informatie inzien of wijzigen? Al deze en andere procedures moeten beschreven staan in het verwerkingsregister. Dit is een administratieve uitdaging die er tevens voor zorgt dat men zich meer bewust wordt van de gevoeligheid van deze data. Naast een uitleg of training dwingt het verwerkingsregister tot interne bewustwording.
Meer weten over dit onderwerp?
Bel ons op +31 (0)35 60 36 500 of stuur een bericht.