Een leven redden, maar de wet overtreden; dat is precies het spanningsveld waarin artsen opereren als ze foto's en gegevens van patiënten via Whatsapp doorsturen naar collega's om advies in te winnen. Ze overtreden de wet bescherming persoonsgegevens, maar redden de persoon waar het om gaat. Dit lijkt een prima afweging, maar vanaf januari 2016 kan dit de zorginstelling een boete opleveren wanneer de nieuwe wetgeving rondom datalekken van kracht gaat.
Wat moeten zorginstellingen doen om deze boetes te voorkomen? In het kort: pas het gedrag van mensen aan, want dan wordt naleving van de wet eenvoudig.
Op 1 januari 2016 zijn de Meldplicht Datalekken en uitbreiding van de boetebevoegdheid van het College bescherming persoonsgegevens (Cbp) van kracht. Private en publieke organisaties die persoonsgegevens verwerken worden verplicht om inbreuken op de beveiliging te melden. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Het Cbp kan daarnaast sneller een boete opleggen als persoonsgegevens niet zorgvuldig zijn verwerkt, de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers is misbruikt.
Papieren tijger met tanden
De nieuwe Nederlandse wetgeving loopt in het verlengde van de nieuwe databeschermingsregels vanuit de Europese Commissie. Door de Europese Privacy Verordening worden bedrijven verplicht om data optimaal te beschermen. Lukt dat niet, dan staan daar fikse boetes tegenover die kunnen oplopen tot honderd miljoen euro of tot 5 procent van de jaarlijkse wereldwijde omzet. De wet is niet nieuw, maar de sancties zijn dat wel. Het Cbp was voorheen een papieren tijger die toezicht hield op de naleving van de regels, maar die tijger krijgt met deze aanpassing vlijmscherpe tanden.
De wetgeving rond het beveiligen van persoonsgegevens geldt voor alle bedrijven waar gegevens worden verzameld. Er bestaat nog wel een gradatie als het gaat om persoonsgegevens. Zo valt data in de gezondheidszorg onder artikel 16 van de Wet bescherming persoonsgegevens, die stelt dat verwerking slechts toegestaan is indien dat noodzakelijk is met ‘het oog op een zwaarwegend algemeen belang, passende waarborgen ter bescherming van de persoonlijke levenssfeer wordt geboden’. Het zijn bijvoorbeeld gegevens over de geestelijke gezondheid van iemand of over iemands aandoening en dat soort gegevens mogen natuurlijk niet in ‘verkeerde’ handen vallen.
Zieker is meer betalen
Deze gegevens zijn voor veel partijen belangrijk. Verzekeraars willen graag inzage in deze gegevens, want daar kunnen ze, in het slechtste geval, de burger mee benaderen: bijvoorbeeld het doemscenario van wie zieker is, betaalt meer premie. Dat brengt echter ook een gevaarlijk risico met zich mee, want niet iedere medewerker van een zorgverzekeraar is een specialist. Wellicht trekt hij de verkeerde conclusie op basis van jouw gegevens. Dat kan invloed hebben op je leven. Wat als iedereen bij die informatie kan? Het zou zomaar eens kunnen zijn dat die medische gegevens tegen je worden gebruikt als je solliciteert en werkgevers daardoor afschrikken. Of dat gegevens in de cloud worden opgeslagen, waarvan je niet precies weet waar dat is en of die gegevens ooit openbaar gemaakt kunnen worden. Dat zou zomaar eens kunnen met die foto’s en teksten van artsen op Whatsapp.
Het naleven van de wetgeving in zorginstellingen heeft daarom erg veel te maken met het gedrag van de patiënten en artsen zelf. Een locatie vanuit het ziekenhuis is immers zo gedeeld op Facebook en misschien zijn er bedrijven die deze informatie opkopen van Facebook, waardoor het op meerdere plekken bekend wordt. Smartphones houden overigens bijna constant bij waar iemand zich bevindt en gebruikers hebben geen controle over die informatie. Het gevaar schuilt erin dat je niet weet hoe gegevens in de toekomst ooit kunnen worden gebruikt en dus is het belangrijk om ze nu goed te beschermen.
Informatie doorspelen aan derden
Met de toename van digitale hulpmiddelen en digitale informatie, neemt de noodzaak om deze informatie te beschermen ook toe. Dan gaat het niet alleen om informatie uit cliëntendossiers, maar bijvoorbeeld ook om medische informatie van hartslagmeters op je smartphone. Wie weet wat er straks nog meer mogelijk wordt op het gebied van meten en welke gegevens worden dan doorgespeeld aan derden, zonder dat je het weet?
Het wordt daarom steeds moeilijker om privacy op een nette manier te handhaven. Het is wel mogelijk, maar tegen welke investering? We kunnen allerlei technische middelen inzetten, maar het is een illusie om te denken dat het voor de volledige 100 procent kan. Data is kostbaar en dus zijn er altijd bedrijven of instellingen naar op zoek. Het internet is geen anonieme plek, dus in hoeverre zijn zorginstellingen dan nog verantwoordelijk voor bepaalde gegevens als andere bedrijven die toch al hebben verzameld?
Bewustzijn creëren
Het begint dus met het creëren van bewustwording bij patiënten en artsen. Ze moeten zich bewust zijn van het feit dat alles wat zij met persoonsgegevens doen, de privacy kan raken. De stap die zorginstellingen tegelijkertijd moeten nemen, is het op orde brengen van de eigen informatiestroom. Om dat te bewerkstelligen, is het nodig dat zorginstellingen controle uitoefenen op het gebruik van data. Op de computersystemen moeten ze aangeven welke datastroom waarheen gaat, dat loggen of analyseren ze en kunnen er dan controle op uitoefenen.
Per instelling gebeurt dat natuurlijk anders, want dat heeft ook te maken met het personeel en de aanwezige kennis, programmatuur en apparatuur. Een zogeheten ‘privacy officer’ krijgt de behoorlijke kluif om de systemen goed in te stellen, de beveiliging te bewaken en om het gedrag van het personeel in de gaten te houden.
Want wat je technisch ook probeert, privacybescherming valt of staat met het gedrag van de gebruiker. Of dat nu de patiënt of de behandelende arts is: hij moet zich volledig bewust zijn van de risico’s van het verwerken van persoonsgegevens en zijn gedrag erop aanpassen. Ik ben geen jurist, maar volgens mij telt een mensenleven zwaarder dan een mogelijke inbreuk op de leefwereld van de patiënt. Zonder die foto had hij waarschijnlijk geen leefwereld meer. Toch mag dit ook weer niet een vrijbrief zijn voor het ongecontroleerd delen en verspreiden van medische- en persoonsgegevens. Met gezond verstand een afweging maken van de risico’s blijft het allerbelangrijkste.
Leo Westra, senior security consultant bij Sincerus
Lees ook: ‘Geen paniek om meldplicht datalekken‘
Gaat er eindelijk wat gedaan worden aan privacy bescherming?
Geen algemene inlog meer in het ziekenhuis?
Email met persoonsgegevens met de eigen private key en de ontvangers public key encrypted?
Medische systemen (en andere kritische systemen ook) op geen enkele manier met internet verbinden! Ergens toch internet nodig? Doosje ernaast! (raspberry pie oid)
En wie zich hier niet aan houdt op staande voet ontslaan en eventueel vervolgen!
We leven in de omgekeerde wereld. Tenzij er nadrukkelijk toestemming voor gekregen is om data te gebruiken, is verdere data onrechtmatig verkregen en dus de gebruiker/verkrijger hiervan strafbaar? Is het te simpel gedacht om naast encrypting en zorgvuldigheidsbeleid in de handtekening een tekst op te nemen dat de verzonden data voor een bepaald doel is (privé gebruik, vertrouwelijk etc)?
Risico’s dienen afgewogen te worden. We kennen allemaal in het bedrijfsleven de verplichte RI&E (Risk Inventarisatie & Evaluatie) met betrekking tot de ARBO wet. Die RI&E moet er ook komen op je digitale wereld en je privacy. Bedrijven kunnen zo’n RI&E (laten) uitvoeren om inzage te krijgen over hoe ze ervoor staan. Artsen, patiënten en medewerkers dienen bewust te zijn van het feit dat het menens is met betrekking tot de privacybescherming. Eerst in Nederland met een aangescherpte WBP die per 1-1-2016 ingaat. Meldplicht voor datalekken verplicht je om binnen 24 uur melding te doen bij de toezichthouder als je data lekt. Torenhoge boetes bij non-compliance. Een ongeïnteresseerde medewerker kan dus zeer grote schade veroorzaken. Medewerkers dienen daarom bewust gemaakt te worden. Bewust personeel maakt de organisatie weerbaar.
Het Spaarne Ziekenhuis in Hoofddorp heeft in 2011 twee werknemers ontslagen omdat deze meerdere malen onbevoegd in het dossier van een patiënt hadden gekeken :
– https://www.security.nl/posting/37748/Personeel+ontslagen+na+snuffelen+in+patientendossiers
– http://www.spaarneziekenhuis.nl/nl/over-ons/publicaties/Documents/Jaardocument%202011.pdf