Actieplan moet veiligheid van Nederlandse patiëntgegevens verbeteren

De meeste zorginstellingen zijn de afgelopen jaren meer aandacht gaan besteden aan informatiebeveiliging en privacybescherming. Ook is de bewustwording bij instellingen toegenomen. Incidenten zijn echter niet te voorkomen, aangezien een waterdichte beveiliging feitelijk niet mogelijk is. Ook staan in de praktijk vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar. Minister Schippers van Volksgezondheid, Welzijn en Sport (VWS) kondigt een actieplan aan om de veiligheid van patiëntgegevens te vergroten.

Dit zijn enkele conclusies uit een onderzoek van PBLQ naar de beveiliging van patiëntgegevens. Dit onderzoek is uitgevoerd in opdracht van minister Schippers nadat verschillende incidenten met patiëntgegevens aan het licht kwamen. In het onderzoek zijn geen indicaties naar voren komen dat verdere aanvulling van wet- en regelgeving voor informatiebeveiliging en privacybescherming in zorginstellingen noodzakelijk is. Wel blijkt dat huidige en komende wet- en regelgeving niet altijd duidelijk is en begrijpelijker kan worden gemaakt. Ook is er behoefte aan een vertaling van wet- en regelgeving naar basisprincipes en concrete handvatten voor de praktijk.

Wie bewerkt patiëntgegevens?

Niet alle zorginstellingen blijken een compleet beeld hebben van welke bewerkers en subbewerkers hun patiëntgegevens bewerken. Ook blijken niet alle zorginstellingen met bewerkers contracten te hebben afgesloten. Contacten die wel zijn gesloten voldoen daarnaast niet altijd aan de eisen die de Autoriteit Persoonsgegevens (AP) hieraan stelt. De borging van de

bescherming van patiëntgegevens tussen zorginstellingen en (sub)bewerkers verschilt per zorginstelling, concludeert PBLQ.

Het onderzoeksbureau heeft daarom een aantal aanbevelingen geformuleerd:

• Bevorder goed gedrag. Laat het management het goede voorbeeld geven en verwijder drempels op de werkvloer die informatiebeveiliging en privacybescherming belemmeren.
• Geef good practices uit het onderzoeksrapport navolging, zoals het NFU-normenkader rond informatiebeveiliging en het handboek NEN 7510. Ook adviseert het rapport een geïntegreerd systeem en proces voor het registreren en afhandelen van datalekken op te zetten. Verschillende zorginstellingen beschikken al over zo’n systeem.
• Bundel krachten om de effectiviteit van informatiebeveiliging en privacybescherming te vergroten. Denk hierbij aan koepels die in overleg met toezichthouders en VWS meer sectorale afspraken maken of een model bewerkersovereenkomst opstellen.
• Biedt handvatten voor wet- en regelgeving. VWS, koepels en toezichthouders moeten volgens PBLQ zorgen dat wet- en regelgeving begrijpelijk voor mensen die in de zorg werken. Dit kan door praktische handvatten voor de praktijk op te stellen en regelgeving te presenteren in sectorale en beroepsgerichte gedragscodes en thematische richtsnoeren.
• Anticipeer op de komst van de Algemene Verordening Gegevensbescherming (AVG) door de lat voor informatiebeveiliging en privacybescherming hoger te leggen dan de huidige wet- en regelgeving vereist. VWS als de AP zouden moeten aangeven in hoeverre en onder welke voorwaarden gepseudonimiseerde patiëntgegevens gebruikt mogen worden bij (wetenschappelijk) onderzoek en kwaliteitsregisters.

Standaard bewerkersovereenkomst

Daarnaast adviseert LPBQ te zorgen voor een standaard bewerkersovereenkomst voor alle partijen in de zorg. In (sub)bewerkersovereenkomsten zou daarnaast moeten worden opgenomen dat:

• zorginstellingen precies weten welke patiëntgegevens door welke (sub)bewerkers worden bewerkt.
• Af te dwingen dat bewerkers en (sub)bewerkerscontracten voldoen aan de voorwaarden die de AP hieraan stelt. Hierdoor is geen verdere aanvulling van wetgeving nodig.

In een brief die minister Schippers in een reactie op het onderzoeksrapport naar de Tweede Kamer heeft gestuurd noemt de minister de vertrouwelijkheid van medische informatie en de vertrouwelijke omgang met patiëntgegevens in de gezondheidszorg essentieel en een kernwaarde voor zowel patiënten als zorgaanbieders. De minister stelt waardering te hebben voor initiatieven en inspanning die de sector zelf al neemt, waarbij de campagne ‘Zeker’ als voorbeeld wordt genoemd. Deze campagne maakt medewerkers van zorginstellingen op een toegankelijke manier bewust van het belang van informatiebeveiliging.

Zorg-CERT

Ook ondersteunt de minister het initiatief tot het oprichten van een Zorg-CERT (Computer Emergency Response Team), dat zich richt op het voorkomen en genezen van netwerk gerelateerde veiligheidsincidenten. Dit is volgens minister Schippers een extra maatregel om bij datalekken snel in actie te kunnen komen, lekken snel te detecteren, de kennisdeling over informatiebeveiliging te vergroten en de impact van incidenten te minimaliseren.

Daarnaast kondigt de minister aanvullende maatregelen aan in de vorm van een ‘Actieplan (informatie)beveiliging patiëntgegevens’. Hierbij is een belangrijke rol weggelegd voor de koepels van de ziekenhuizen, zelfstandige klinieken, GGZ-instellingen, Patiëntenfederatie, VWS en de toezichthouders. Indien nodig wil de minister hier geld voor beschikbaar stellen. Dit actieplan moet in het voorjaar van 2017 gereed zijn, waarna de implementatie direct van start kan. Ook wil de minister een standaard bewerkersovereenkomst beschikbaar stellen voor de zorgsector.