Veiligheid en ICT: vernieuwde wetgeving moet ‘awareness’ verhogen
Of praktijken nog niet genoeg aan hun hoofd hebben? Martin Rozeboom, beleidsmedewerker structuur en financiering bij de KNMT, realiseert zich maar al te goed dat tandartsen niet zitten te wachten op verplichtingen rond digitale veiligheid. Maar een beroepsvereniging die haar rol serieus neemt, kan zich niet permitteren de ontwikkelingen op digitaal veiligheidsgebied te laten passeren. Daarvoor is het belang voor de tandarts – en niet minder voor diens patiënten – te groot.
Al in 2012 ontwikkelde de KNMT een tool om de informatieveiligheid van de praktijk te onderzoeken. Rozeboom: “In die tool zat een onderverdeling: wat heb je al geregeld, wat wil je op korte termijn verbeteren en wat ga je op wat langere termijn aanpassen? De tool bevatte een zeker mate van vrijblijvendheid. Die zit niet meer in de aangescherpte checklist, waarmee we nu een instapniveau van informatieveiligheid vastleggen.”
Naar de checklist privacy en informatiebeveiliging in de mondzorgpraktijk
Privacy-verordening
De meldplicht datalekken in de vernieuwde Wet bescherming persoonsgegevens (Wbp) is zeker mede aanleiding voor alle aandacht. Daarnaast zijn privacy en de schending daarvan intussen vrijwel dagelijks in het nieuws. Volgens KNMT-juriste Roxanne Kroes komt daar nog een internationale ontwikkeling bij: een nieuwe Europese privacy-verordening, de Algemene Verordening Gegevensbescherming. Organisaties krijgen tot mei 2018 de gelegenheid hun bedrijfsvoering daarmee in overeenstemming te brengen. “Daar komen voor de tandartspraktijk niet direct heel strikte voorschriften uit. Maar binnen ons land én in Europees verband wordt steeds belangrijker dat organisaties laten zien dat ze zeer bewust – en continu – met informatieveiligheid bezig zijn.”
Autoriteit Persoonsgegevens
Het grondrecht van individuen op de bescherming van de persoonlijke levenssfeer wordt bewaakt door de Autoriteit Persoonsgegevens. Volgens woordvoerder Lysette Burgers krijgt de medische sector daarbinnen extra aandacht. Medische gegevens horen namelijk tot de bijzondere gegevens, net als bijvoorbeeld gegevens over ras, seksuele voorkeur en een eventueel strafrechtelijk verleden. Medische gegevens zijn extra gevoelig omdat verzekeringsmaatschappijen ze bijvoorbeeld zouden kunnen gebruiken bij hun toegangsbeleid, of werkgevers bij hun aannamebeleid. “Het is een grondrecht dat we dit soort gegevens alleen delen met wie we willen. Vandaar ook de vereiste toestemming van patiënten voor het overdragen van hun medisch dossier.”
De afgelopen periode deed de Autoriteit Persoonsgegevens bijvoorbeeld onderzoek naar:
- Ziekenhuizen – de toegangsbeveiliging van hun websites bleek soms onvoldoende, waardoor te veel medewerkers dossiers konden inzien.
- Huisartsen – recepten werden verstuurd over een onbeveiligde verbinding.
- Apotheken – herhaalrecepten gingen over onbeveiligde lijnen.
- Fysiotherapeuten – het contactformulier voor patiënten was niet voldoende beveiligd.
- De Vereniging Zorgaanbieders voor Zorgcommunicatie – bij acht BSN-nummers waarover informatie uitgewisseld via het Landelijk Schakelpunt was uitgewisseld, kon geen toestemming van de patiënt worden aangetoond.
Burgers: “De Autoriteit Persoonsgegevens vindt de medische sector van groot belang. Het is daarom goed dat ook de mondzorg bewuster en zorgvuldiger omgaat met alle beheer en communicatie van patiëntgegevens. Daarbij zou het niet moeten gaan om een risico-afweging: hoe groot is de kans op een boete? Ook al klopt het dat we sinds dit jaar gerechtigd zijn directe boetes op te leggen als datalekken niet gemeld zijn. Het gaat om de collectieve inzet om integer om te gaan met de privacy van patiënten. Voor de tandartspraktijk betekent dat: benut de mogelijkheden om je systeem en communicatie volgens de state-of-the-art te beveiligen.“
Bewerkersovereenkomst
De kapstok van het ICT-project van de KNMT luidt ‘De kansen en de risico’s van het digitale tijdperk’. Want kansen zijn er volop. Zowel in de communicatiemogelijkheden met collega’s als in die met patiënten, maar ook in de apparatuur in de praktijk, die verder uitbreidt. Scannen, 3D-printen, er is steeds meer binnen bereik. Die apparatuur is ook steeds vaker met internet verbonden. En wie is eigenaar van de opgeslagen gegevens? Volgens Rozeboom blijft de praktijkhouder altijd eindverantwoordelijk voor de patiëntgegevens. Hij moet daarom met de leveranciers van het softwaresysteem en die van de apparatuur een bewerkersovereenkomst afsluiten. Daarin zijn de verantwoordelijkheden duidelijk geregeld. Wat gebeurt er bijvoorbeeld bij onderhoud op afstand, door een remote assistent? Op welke termijn moet een eventueel datalek bij de praktijk bekend zijn, zodat die het lek tijdig kan melden aan de Autoriteit Persoonsgegevens?
Naar de checklist afsluiten bewerkersovereenkomsten
Protocol
Sterk aan te raden is volgens Kroes het opstellen van een protocol, waarin een groot aantal zaken kan worden vastgelegd:
- over welke gegevens beschikken we;
- welk van die gegevens wordt ook door een derde partij bewerkt;
- hoe schermen we onze informatie af;
- wie binnen de praktijk heeft toegang tot welk deel van het informatiesysteem en het patiëntendossier;
- op welke manier en wat communiceren we via social media en
- wie is verantwoordelijk voor het melden van een datalek?
Rozeboom: “Zo’n protocol laat ook aan de Inspectie GezondheidsZorg zien dat je er als praktijk mee bezig bent. In de NEN7510-norm, die is aangewezen als passend beveiligingsniveau, wordt ruimte gelaten voor eigen risico-analyse en common sense. Je geeft een baliemedewerkster geen toegang tot het gehele patiëntendossier.”
Alle hulp rondom ICT en privacy bij de tandarts
Datalek
Een datalek is een incident waarbij de kans ontstaat dat persoonlijke gegevens toegankelijk worden voor onbevoegden. Dat kan door:
- verlies of diefstal van een usb-stick, harde schijf, smartphone of laptop;
- het niet beveiligd versturen van bestanden (per e-mail of app) of
- een aanval van een hacker via ransomware: kwaadaardige software die een computer of databestanden gijzelt en daarvoor losgeld vraagt.
Een veel gebruikte entree van de laatste is de nauwelijks van echt te onderscheiden fake-email van bijvoorbeeld een bank. Per 1 januari 2016 moeten datalekken aan de Autoriteit Persoonsgegevens worden gemeld de aanzienlijke kans bestaat dat het lek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als een lek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van betrokkenen.
Bron: Nederlands tandartsenblad; tekst: Kees Adolfsen, freelance journalist