Autoriteit Persoonsgegevens richt zich tot zorginstellingen inzake bescherming van patiëntgegevens

Autoriteit Persoonsgegevens richt zich tot zorginstellingen inzake bescherming van patiëntgegevens 150 150 Solange Drieshen

De regelgeving rondom privacy is onlangs aanzienlijk aangescherpt. Zowel voor ondernemers als overheden die persoonsgegevens verwerken heeft een aantal nieuwe privacyregels te gelden. Lees hierover verder in mijn eerdere blog: Privacy versus het digitale tijdperk. Ook zorginstellingen moeten bij de verwerking van persoonsgegevens aan de vereisten van de Wet bescherming persoonsgegevens (hierna: Wbp) voldoen. In een open brief aan Raden van Bestuur van zorginstellingen in Nederland vraagt de Autoriteit Persoonsgegevens (hierna: AP) nog eens extra aandacht voor de bescherming van patiëntgegevens om te voorkomen dat onbevoegden medische gegevens kunnen inzien.

Vanaf 2012 deed de AP onderzoek bij negen zorginstellingen, hetgeen aanleiding gaf tot het schrijven van deze open brief. De conclusie was dat zowel het beleid als de praktijk in de onderzochte zorginstellingen niet in overeenstemming  waren met de vereisten van artikel 13 Wbp.[1] Bovendien blijkt dat de in het onderzoek geconstateerde tekortkomingen zich bij veel andere zorginstellingen voordoen.

Medische gegevens zijn bij uitstek privacygevoelig. Om die reden benadrukt de AP dat de beveiliging van medische gegevens aan de hoogste normen dient te voldoen

De AP acht bepaalde maatregelen noodzakelijk ten behoeve van de bescherming van patiëntgegevens in het kader van de Wbp. Zo dienen volgens de AP maatregelen binnen zorginstellingen worden genomen op het gebied van autorisaties (wie kan er bij gegevens), logging (bijhouden van raadplegingen van gegevens) en controle van logging. Tot slot vermeldt de AP in haar brief erop te vertrouwen dat Raden van Bestuur van zorginstellingen de noodzakelijke verbetertrajecten in gang zullen zetten.

bescherming van patiëntgegevens

Sinds 1 januari 2016 geldt een meldplicht datalekken[2] voor zowel private als publieke organisaties die persoonsgegevens verwerken in geval van een inbreuk op de beveiliging van persoonsgegevens. De boetebevoegdheid van de AP ten aanzien van het verwerken van persoonsgegevens is bovendien uitgebreid. Indien niet wordt voldaan aan de vereisten ten aanzien van de verwerking van persoonsgegevens, neergelegd in de Wbp, ligt een bestuurlijke boete op de loer. Ten slotte waarschuwt de AP in haar brief dat, indien zij als toezichthouder signalen ontvangt over onbevoegde toegang tot patiëntgegevens, te allen tijde een nieuw onderzoek naar de desbetreffende zorginstelling kan worden ingesteld.

Zowel voor ondernemers als zorginstellingen is raadzaam de stand van zaken op te maken betreffende het gehanteerde beleid en de praktijk versus de aangescherpte privacyregelgeving. Met deze open brief biedt de AP daartoe een handvat voor zorginstellingen.

bescherming van patiëntgegevens

bescherming van patiëntgegevens

 

 

 

 

 

Solange Drieshen                 Ina Brouwer

advocaat                                 advocaat privacyrecht

[1] Artikel 13 Wbp: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

[2] Zie artikel 34a Wbp.