Beveiliging medische gegevens bij 44 procent van ziekenhuizen niet op orde

Van de ziekenhuizen voldoet 44 procent al meer dan negen jaar niet aan de minimale beveiligingsnormen voor gegevensbescherming. Dat blijkt uit een van de twee onderzoeken die minister Schippers (VVD) afgelopen donderdag naar de Tweede Kamer heeft gestuurd. Uit het andere onderzoek blijkt dat sommige ziekenhuizen geen idee hebben welke externe partijen allemaal met hun medische gegevens werken. Daarbij gaat het soms om honderden ingehuurde bedrijven waarmee lang niet altijd een contract is afgesloten.

Uit het onderzoek van het RIVM blijkt dat van alle ziekenhuizen slechts 21 procent daadwerkelijk gecertificeerd is. Dat betekent dat daar een externe controle is uitgevoerd of ze inderdaad aan de minimale norm voldoen. Bij de GGZ-instellingen is slechts 18 procent gecertificeerd. Daar scoort zelfs 61 procent onder de minimale norm voor goede omgang met (medische) persoonsgegevens.

Al negen jaar niet op orde

In 2007 constateerde de Autoriteit Persoonsgegevens (AP) samen met de Inspectie voor de Gezondheidszorg (IGZ) al dat ziekenhuizen niet aan de minimale norm voor goede gegevensbeveiliging voldeden. De norm bestaat officieel sinds 1 april 2004. De Inspectie en de AP eisten nadrukkelijk dat de ziekenhuizen in 2010 de boel op orde zouden hebben. "In 2010 moeten alle ziekenhuizen in Nederland aan de inspectie aan de hand van de resultaten van een externe audit aantonen dat zij voldoen aan een voldoende mate van informatiebeveiliging."

De toezichthouders hebben na die deadline onvoldoende hun tanden laten zien, want in een vervolg-onderzoek in 2013 constateerde de AP nogmaals dat zorginstellingen onzorgvuldig omgaan met medische gegevens en zich niet aan de minimale beveiligingsnorm houden. De toezichthouder waarschuwde toen "handhavend op te treden" als de situatie niet zou verbeteren. Maar dat is blijkens deze nieuwe onderzoeken nog steeds onvoldoende gebeurd.

Geen idee wie gegevens bewerkt

Daarnaast blijkt uit het tweede onderzoek (pdf) dat in opdracht van minister Schippers is uitgevoerd, dat er ziekenhuizen zijn die geen idee hebben wie de medische gegevens van patiënten onder ogen krijgen. Om gegevens te verwerken en voor de zorg beschikbaar te krijgen worden in een gemiddeld ziekenhuis "al gauw 60" externe bedrijven ingeschakeld. Bij universitaire ziekenhuizen (UMC's) gaat het om "honderden". Het gaat dan om bijvoorbeeld leveranciers van informatiesystemen, partijen die medische dossiers digitaliseren of bewerkers van medische beelden.

Volgens de onderzoekers hebben "niet alle zorginstellingen" een compleet beeld welke bewerkers ze inhuren om met de patiëntgegevens aan de slag te gaan. Er zijn zelfs niet altijd bewerkersovereenkomsten of de overeenkomsten voldoen niet aan de eisen van de AP. In deze overeenkomsten zou met name de beveiliging en geheimhouding van gegevens vastgelegd moeten zijn.

Gegevens voor wetenschap niet voldoende anoniem

Wetenschappelijke onderzoekers mogen gebruik maken van medische gegevens van mensen, maar dan moeten die gegevens voldoende geanonimiseerd zijn. Uit het onderzoek blijkt dat dat "niet altijd" gebeurt. De onderzoekers rekenen daarbij 'gepseudonimiseerd' ook goed. Gepseudonimiseerd betekent dat gegevens tijdelijk anoniem zijn gemaakt, maar dat dat later weer ongedaan kan worden gemaakt. Maar zelfs voldoende pseudonimiseren wordt dus "niet altijd" gedaan.

Toezichthouders moeten gaan handhaven

Gezien het beeld dat oprijst uit de twee onderzoeken, is het wachten op het volgende grote datalek in de zorg. Doordat ziekenhuizen niet zorgvuldig controleren wie met de medische gegevens aan de slag gaan, konden vorig jaar gevangenen worden ingezet om medische dossiers te digitaliseren. Dit jaar hebben ziekenhuizen ongeveer elke dag een datalek bij de AP gemeld. Minister Schippers kondigt nu (weer) een 'Actieplan (informatie)beveiliging patiëntgegevens' aan, maar gezien het feit dat een deel van de zorginstellingen al ruim negen jaar de norm aan haar laars lapt, is het de vraag of dat de urgentie voldoende duidelijk maakt. Het wordt tijd dat de toezichthouders daadwerkelijk gaan handhaven.

 

Wettelijke kader

Organisaties zijn volgens artikel 13 Wet bescherming persoonsgegevens (Wbp) wettelijk verplicht gegevens goed te beveiligen. Om organisaties hierbij te helpen heeft de Autoriteit Persoonsgegevens begin 2013 richtsnoeren gepubliceerd over de omgang met persoonsgegevens. Speciaal voor de zorg zijn de eisen in artikel 13 Wbp uitgewerkt in de beveiligingsnorm NEN 7510. Deze is gratis beschikbaar. Volgens artikel 2 van Regeling gebruik Burgerservicenummer in de zorg moeten ziekenhuizen aan deze norm voldoen. Het gaat hier dus om een minimale beveiligingsnorm voor patiëntgegevens.

 

reacties

Om informatie te kunnen beveiligen, dien je eerst grip en zicht te hebben op de informatie zelf. Dat is bij weinig organisaties goed geregeld. Ziekenhuizen zijn daar geen uitzondering in. Eigenaarschap niet ingericht, geen compleet overzicht van alle informatiesystemen, geen weet hebben van uitwisseling van informatie, geen noodplannen, geen toekomstvisie. Qua informatiemanagement is het een rotzooi in dit land en er is geen zicht op verbetering. Informatiebeveiliging gaat daarom dus nooit wat worden.

Ruim 9 jaar non-compliance in de ziekenhuissecto Maar daarbuiten is het echter nog véél erger. Privacy Governance

Ruim 9 jaar non-compliance in de ziekenhuissecto Maar daarbuiten is het echter nog véél erger. Privacy Governance

-- deze reactie wacht op moderatie --

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

 

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Deel deze pagina via:

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Laatste reacties:

30.000 mensen onschuldig opsluiten is conform prognose

Patricia: Hoeveel zouden het nu zijn? Ik denk.dat het nu.nog meer zijn....

Slimme meter weigeren

Martee: Vattenval zit nu erg te pushen voor de installatie van een slimme meter (WarmteLink)....
tegenstander straling: Ik vind mijn privacy zeer belangrijk en op al die extra straling zit ik ook niet echt te wachten....
Anoniem: Installateurs en vastnetbeheerders liegen, misleiden en bedreigen er op los, maar laat je niet intimideren....

Privacy Stemwijzer Eerste Kamer gelanceerd

A. Noniem: De Privacy stemwijzer geeft op mijn Brave browser het volgende terug: Your connection is not private Attackers might be trying to steal your information from www....
Joop: Jaaaa, ik ging het ook meteen doen en vond het zeker geweldig!

UWV geeft anderhalf miljoen werkgevers onnodig toegang tot register arbeidsbeperkten

anoniem: Ik zit in het doelgroepregister en baal daar ontzettend van! heb altijd goed gewerkt voor ik er in kwam tot ik ziek werd en een paar jaar in therapie moest....

Privacy-aanbevelingen voor verkiezingsprogrammas Tweede Kamerverkiezingen 2017

Guido: Leuke tekst, maar in praktijk werkt dit niet. Autoriteit persoonsgegevens moet vanwege geld, mankracht en middelen te kort kiezen welke zaak ze wel of niet nemen, dus die doen niets, en negeren ruim 15 jaar schendingen....

Vragen over kentenscannen door belastingdienst

annoniempje: Idd Caroline het gaat alle perken te buiten! Een stelletje bloedhonden zijn het! Nog meer mensen in de problemen en schuldenproblematiek in ons (A) Sociale Nederland!

Honderd gegevens per leerling voor de overheid

Anoniem: Ik mis praktische informatie over wat we kunnen doen....

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.274 seconden