Actieplan gelanceerd voor betere beveiliging patiëntengegevens
02 januari 2017
Tegelijkertijd heeft de informatiebeveiliging en privacybescherming de afgelopen jaren in de meeste zorginstellingen veel meer aandacht gekregen en is de bewustwording bij instellingen toegenomen. Dit komt deels door wetgeving, zoals de meldplicht datalekken (artikel 34a Wbp) en door de toename van cyberdreigingen, maar ook deels door initiatieven die vanuit de sector afkomstig zijn, zoals de opzet van een Zorg-CERT (Z-CERT) en het uitvoeren van bewustwordingscampagnes. “De wil en het besef dat patiëntgegevens moeten worden beschermd is er bij zorginstellingen; er wordt hard gewerkt aan informatiebeveiliging en privacybescherming”, aldus de auteurs.
Tegen deze achtergrond stellen de onderzoekers dat, hoewel er sprake is van een positieve ontwikkeling rond informatiebeveiliging, incidenten niet te voorkomen zijn. “Waterdichte beveiliging is feitelijk niet mogelijk. Het is echter van belang dat er wordt geleerd en dat de informatiebeveiliging en privacybescherming continu worden verbeterd.” Ook wijzen de adviseurs op de spanningen tussen vertrouwelijkheid en de beschikbaarheid van gegevens. Ook hier is een ideaal nastreven een onmogelijke opgave – het gaat juist om het vinden van het optimum op deelgebieden van de zorg of voor patiënten.
Aanbevelingen
In het rapport doen de PBLQ adviseurs vijf aanbevelingen die volgens hen de omgang met privacygevoelige gegevens in de zorg zouden kunnen verbeteren. De eerste richt zich op het bevorderen van goed gedrag. Geadviseerd wordt om top-down te beginnen met het geven van het goede voorbeeld door het management en drempels op de werkvloer die informatiebeveiliging en privacybescherming belemmeren te verwijderen. Het tweede leerpunt is dat er meer lessen uit ‘good practices’ te trekken zijn. Tal van deze good practices worden in het rapport onder de loep genomen, waaronder het gebruik van het NFU-normenkader en het handboek NEN 7510.
Het integreren van het proces voor het registreren en afhandelen van datalekken en andere cyberincidenten in de bestaande systematiek voor de afhandeling van (andere) veiligheidsincidenten [veiligheidsincidentmelding- (VIM) / veiligheidsmanagement-systeem (VMS)], is een verder voorbeeld van zo’n good practice waar voorlopers in het veld baat bij hebben en die relatief eenvoudig kan worden overgenomen door andere zorginstellingen.
Het bundelen van krachten is het vierde advies van de auteurs – “de effectiviteit van informatiebeveiliging en privacybescherming kan worden vergroot door onderling en met andere betrokken organisaties samen te werken”, aldus de onderzoekers. Zoals koepels die in overleg met toezichthouders (AP en de inspectie) en VWS meer sectorale afspraken maken. Hierbij kan ook gedacht worden aan een model bewerkersovereenkomst.
Van de overheid en branche-instellingen wordt ook meer verwacht. Wanneer er nieuwe wet- en regelgeving van kracht wordt, dan dienen VWS, koepels en toezichthouders te faciliteren dat wet- en regelgeving goed begrepen kan worden door mensen die in de zorg werken via praktische handvatten voor de praktijk. Te vaak wordt de transitie van regelgeving en beleid naar de uiteindelijke uitvoering onvoldoende doorgevoerd. Wat hier bijvoorbeeld bij zou kunnen helpen is het presenteren van de regelgeving in sectorale en beroepsgerichte gedragscodes en thematische richtsnoeren.
Tot slot: zorginstellingen wordt geadviseerd om zich zorgvuldig voor te bereiden op de komst van de Algemene Verordening Gegevensbescherming (AVG). Daarbij luidt het advies om de lat voor informatiebeveiliging en privacybescherming hoger te leggen dan de vigerende wet- en regelgeving.
Vervolgstappen
Het rapport van PBLQ is medio december door Schippers met de Tweede Kamer gedeeld. In de begeleidende brief geeft ze aan de aanbevelingen te gaan overnemen en de volgende stappen voor te bereiden. “Gezien het aantal en de diversiteit van de aanbevelingen die PBLQ in het rapport gedaan heeft, is het is noodzakelijk om met alle betrokken partijen de komende periode een ‘Actieplan (informatie)beveiliging patiëntgegevens’ op te zetten. Hierbij zal een belangrijke rol zijn weggelegd voor de koepels van de ziekenhuizen, zelfstandige klinieken, GGZ-instellingen en Patiëntenfederatie, en ook voor VWS en de toezichthouders. Ik zal op korte termijn het initiatief nemen om met de genoemde organisaties te starten met het Actieplan.”
Het actieplan zal een meerjarig karakter kennen, en als het aan Schippers ligt zal het moeten leiden tot structurele verbeteringen in de dagelijkse werkpraktijk in de genoemde zorginstellingen: in de bestuurskamer en bij de stafdiensten, bij de artsen, bij verpleegkundigen en bij onderzoekers. Volgens de planning wordt het plan in het voorjaar van 2017 opgeleverd, waarna de implementatie direct kan starten.