AVG-boete van 400.000 Euro voor Portugees ziekenhuis dat onzorgvuldig met patiëntgegevens omgaat. Uitspraak interessant voor Limburg en rest Europa

Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…

Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…

Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?

Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.

Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis

Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.

Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.

Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.

Honderden onbevoegden hebben toegang tot patientgegevens

“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.

Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.

In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.

Datalek in Portugees ziekenhuis werd gemeld door medische vereniging

Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.

Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.

Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.

Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’

De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.

Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.

Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen

Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.

Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.

Uitspraak in Portugal interessant voor heel Europa

De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.

De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.

Meer actueel awareness nieuws

Datalek bij VieCuri Medisch Centrum in Venlo. Vraagtekens bij datalekprocedure ziekenhuis

Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.

Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.

Datalekprocedure

Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.

Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.

Datalek uit de media houden

Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.

Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.

Functionaris Gegevensbescherming (FG)

Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.

De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.

Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.

Ziekenhuis onderzoekt lek en afhandeling melding

Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.

De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.

Medische gegevens pasgeboren kinderen

In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.

Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.

Meer actueel awareness nieuws

70% bedrijven heeft geheugen en weggegooide harddiscs IT-apparatuur niet gewist en overtreedt dus de AVG

70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.

De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.

Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.

Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.

Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.

Vooral transportsector overtreedt de AVG

Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.

Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.

Top 10 bedrijfstakken die AVG overtreden

De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:

  • Vervoer – 72%
  • Verkoop en marketing – 62%
  • Productie – 59%
  • Nutsbedrijven – 58%
  • Detailhandel – 57%
  • Onderwijs – 54%
  • Vrije tijd en reizen – 49%
  • Gezondheidszorg en gastvrijheid – 45%
  • Handelaren / administratie – 44%
  • Voorlichting en communicatie – 39%

Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben

“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.

De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).

Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen

“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.

Meer actueel awareness nieuws

Alle ziekenhuizen en zorgverzekeraars voldoen aan de AVG. Ze hebben een functionaris voor de gegevensbescherming aangesteld

De Autoriteit Persoonsgegevens (AP) zegt dat alle ziekenhuizen en zorgverzekeraars nu een functionaris voor de gegevensbescherming (FG) hebben aangesteld. De Autoriteit Persoonsgegevens controleerde 91 ziekenhuizen en 33 zorgverzekeraars.

Bij een eerste controle bij bijna 25% van de organisaties trof de AP bij 17 ziekenhuizen en 2 zorgverzekeraars nog geen contactgegevens voor een FG op websites aan.

Verplicht aanmelden Functionaris Gegevensbescherming

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de AVG.

Onderdeel hiervan is dat sommige organisaties, zoals ziekenhuizen en zorgverzekeraars, een functionaris voor de gegevensbescherming (FG) moeten aanstellen die binnen de organisatie toezicht houdt op naleving van de AVG.

Iedereen die dat wil kan ook makkelijk contact opnemen met de FG: hun (directe) contactgegevens zijn gepubliceerd op de websites van de organisaties.

De FG’s vervullen bij grotere zorgorganisaties een belangrijke functie om de medische gegevens van mensen te beschermen en om de privacywetgeving na te leven.

De FG kan vanuit een onafhankelijke positie adviseren over hoe de privacywetgeving moet worden toegepast in zijn organisatie.

Communiceren contactgegevens

Privacy-issues moeten snel en in vertrouwen gemeld kunnen worden bij de FG. Het moet daarom voor iedereen die dat wil makkelijk zijn om contact op te nemen met de FG zonder dat daar iemand tussen zit.

Het is verplicht een direct telefoonnummer of e-mailadres te vermelden waarmee de FG te bereiken is. De naam van de FG is niet noodzakelijk.

Van de organisaties die wel contactgegevens op hun website vermelden, vond de AP aanvankelijk bij 3 ziekenhuizen en 1 zorgverzekeraar geen direct e-mailadres of doorkiesnummer.

Steekproeven Autoriteit Gegevensbescherming

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) controleert de AP onder meer steekproefsgewijs of vereisten uit de privacywetgeving worden nageleefd.

De controleerde AP eerder overheidsorganisaties op FG’s. Daarnaast deed de AP een steekproef bij grote private organisaties om te onderzoeken of zij een register voor verwerkingsactiviteiten bijhouden.

Meer actueel awareness nieuws

Huisarts Hans Gimbel geeft voorbeelden van absurde gevolgen AVG privacyregels in de zorg

Huisarts Hans Gimbel uit Heerhugowaard waarschuwt aan de hand van dagelijkse praktijkvoorbeelden voor absurde en onveilige gevolgen van de AVG in de zorgsector.

Gimbel is lid van de Ledenraad van Landelijke Huisartsen Vereniging (LHV). Hij schreef op persoonlijke titel een opiniestuk voor de Volkskrant. Dit veelgelezen stuk is ook gedeeld op de website Netkwesties.

 

Volgens Gimbel zorgt de Algemene Verordening Gegevensbescherming voor onnodige schadelijke rompslomp in de zorg en wordt medisch handelen beletseld.

Absurde en gevaarlijke vereiste in de zorg

“Door de nieuwe privacywetgeving kunnen artsen sinds 25 mei niet meer bij de gegevens van patiënten zonder hun uitdrukkelijk verleende schriftelijke toestemming. Een even absurde als gevaarlijke vereiste in de zorg”, schrijft Gimbels.

“Op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht geworden. Brussel vond dat de privacy van burgers wel een steuntje in de rug kon gebruiken. Daar was zeker wat voor te zeggen als je ziet hoe commerciële organisaties als Facebook en Google met gegevens op internet omgaan.”

AVG in zorg is vanwege eed van Hippocrates overbodig

“Helaas heeft Brussel in één moeite door ook de alle andere sectoren meegenomen, waaronder de zorg. Volkomen onnodig, aangezien in de zorg al van oudsher het medisch geheim geldt, bekrachtigd met de eed van Hippocrates (460 voor Christus!) die elke arts aflegt.”

“Helaas pakt deze wet voor de zorg desastreus uit. Alle medische gegevens zijn achter een schier onneembare burcht geplaatst met als gevolg dat artsen niet bij de gegevens van de patiënt kunnen. Dat is natuurlijk niet de bedoeling, maar wel het gevolg van de wet.”

Huisartsen geen toegang tot patientendossier in regionaal ziekenhuis

“In onze regio, waar in het grote regionale ziekenhuis toevallig ook net een nieuw EPD (Elektronisch Patiënten Dossier) werd ingevoerd, kon de huisarts van de ene op de andere dag niet meer bij de gegevens van zijn patiënten.”

“Als een patiënt bij de specialist onder behandeling is, is het belangrijk dat ook de huisarts over die gegevens kan beschikken. Bijvoorbeeld bij het voorschrijven van bepaalde medicijnen is het belangrijk te weten wat de nierfunctie van de patiënt is. Voorheen kon de huisarts dat opzoeken in het ziekenhuissysteem via een beveiligde weg.”

“Nu is die route afgesneden met als gevolg dat de huisarts opnieuw bloedonderzoek moet laten doen. Ook andersom, als de specialist de onderzoekgegevens van de patiënt bij de huisarts nodig heeft, kan hij sinds 25 mei niet meer bij deze gegevens.”

Chirurg mag röntgenfoto gebroken enkel niet bekijken

“Als de huisarts bij een patiënt met een enkelletsel een foto laat maken en deze patiënt heeft een gebroken enkel, dan mag de chirurg niet kennis nemen van de foto, tenzij de patiënt schriftelijk toestemming heeft gegeven. Het lijkt absurd, maar het is helaas de werkelijkheid.”

AVG zorgt voor veel bureaucratie

“Om zorgverlening toch mogelijk te maken hebben juristen een administratief monstrum bedacht. De huisarts mag pas kennis nemen van de gegevens van een patiënt nadat de patiënt een schriftelijke verklaring heeft afgegeven aan het ziekenhuis. Deze formulieren komen op een grote stapel te liggen en worden vervolgens handmatig in het systeem ingevoerd. Zo gaat het althans in onze regio. Het invoeren van alle patiënten gaat maanden duren.”

Aanmelden op zorgportaal werkt omslachtig of niet

“Vervolgens moet de huisarts zich met een speciale pas, een zogenaamde UZI-pas, aanmelden bij het zorgportaal van het ziekenhuis.”

”Dat kan niet met elke webbrowser en ook niet met elke computer. Voorlopig is het voor Apple-computers nog niet mogelijk. Pas dan is het mogelijk de gegevens te raadplegen, tenminste als de patiënt een schriftelijke verklaring heeft afgegeven dat hij dat goedkeurt.”

Probleem als patient voor eerste keer in ziekenhuis komt

”Is die verklaring er niet, bijvoorbeeld omdat men verzuimd heeft dit te vragen, of omdat de patiënt nog niet eerder in het ziekenhuis is geweest, dan kun je alsnog niet bij de gegevens.”

“Het kan niet anders dan dat onvoldoende is nagedacht wat de consequenties van deze wet voor de zorg zijn”, schrijft Gimbel. “Desondanks is een speciale instantie in het leven geroepen, de Autoriteit Persoonsgegevens met PvdA’er Aleid Wolfsen aan het hoofd, die scherp toeziet op goede naleving van de regels uit Brussel. Overtredingen worden zwaar bestraft met boetes die kunnen oplopen tot 20 miljoen euro! De schrik zit er daarom goed in bij de zorgverleners.”

AVG houdt geen rekening met belangen patienten

“Bij het invoeren van deze privacywet is de patiënt geheel uit beeld verdwenen. Privacyregels zijn bedoeld om het belang van de burger te beschermen en niet om zijn zorgverlening te blokkeren. Geen patiënt zal tegen de chirurg zeggen dat hij wel zijn gebroken enkel mag repareren, maar niet naar de foto mag kijken.”

Advies van huisarts Gimbel

“Laat een zinloze schriftelijke toestemming achterwege. Het kan alleen maar problemen opleveren, als de verklaring er per ongeluk niet is. We zijn in de zorg al jaren bezig de administratieve rompslomp terug te dringen. Alle politieke partijen staan hierachter. Mondjesmaat leek dat te gaan lukken en nu zijn we met één decreet uit Brussel weer jaren teruggeworpen.”

“De zorgverlener moet nu cursussen gaan volgen hoe hij de gegevens volgens de Brusselse regels moet opbergen, er moeten registers worden aangelegd, overeenkomsten, tientallen pagina’s dik, getekend met allerlei toeleveranciers, met beheerders van de computersystemen, van praktijk- websites, van de telefooncentrale op de praktijk, met de personeelsadministratie enz. De enorme hoeveelheid tijd hieraan besteed gaat ten koste van de zorg aan de patiënt.”

Zonder de zorg uit van deze bureaucratische privacywet

“Iedereen zal het erover eens zijn dat in de zorg de patiënt centraal staat. Dat betekent dat privacyregels het zorgproces niet mogen frustreren. Het zal toch mogelijk moeten zijn Brussel duidelijk te maken dat wat goed is voor Google niet goed hoeft te zijn voor de zorg. Privacy is bovendien van oudsher al goed geregeld in de zorg. Zonder daarom de zorg uit van deze bureaucratische privacywet. De patiënt zal er wel bij varen.”

*) Hans Gimbel is huisarts te Heerhugowaard en lid van de Ledenraad van huisartsenclub LHV. Dit artikel verscheen eerder in de Volkskrant

Meer actueel awareness nieuws

AVG in de wachtkamer. Patiënt 031872 naar behandelkamer 2

Het is tien uur ‘s ochtends. Je ligt in het ziekenhuis op een verpleegzaal met drie andere patienten. Je behandelend specialist maakt samen met de verpleegsters een ronde. Jij krijgt alles mee over de ziekte van je kamergenoten.

Hoe zit het eigenlijk met de AVG op verpleegzalen in ziekenhuizen?

Veel artsen en patienten worstelen met de Algemene Verordening Gegevensbescherming (AVG). Hoe ga je om met privacy in wachtkamers en kamers in ziekenhuizen waar meerdere patienten liggen?

Sommige artsen en patienten denken dat niets meer mag. Artsen laten voor de zekerheid krampachtig patienten een verwerkingsovereenkomst tekenen waarin zij akkoord gaan met het omroepen van hun naam als ze aan de beurt zijn.

Het gaat verder met de samenwerking met andere artsen en eindigt met een overeenkomst over samenwerking met de zorgverzekeraar.

Absurd. Nergens voor nodig.

Om te beginnen is er volgens de AVG geen toestemming vereist voor de omroepen van de naam van patienten die aan de beurt zijn. Het anonimiseren van patienten door nummers te gebruiken is dus niet nodig.

Hoe zit het met privacy op de verpleegzaal met 4 bedden?

Hetzelfde geldt ook voor verpleegzalen met meerdere bedden in het ziekenhuis. Ook hier is het niet nodig om de individuele patiënten (in hun bed) telkens te verplaatsen naar een seperate behandelkamer waar het medische team slechts met één patiënt kan praten.

De samenwerking met andere artsen, laboratoria en zorgverzekeraars kan worden samengevat onder de noemer “ontheffing van de geheimhoudingsplicht”.

In principe vallen alle verwerkingen die nodig zijn om aan het verwerkingscontract te voldoen, onder het verwerkingscontract.

Toestemming is niet vereist!

Diverse andere wetten verlenen artsen ook transmissiebevoegdheden.

De gegevens kunnen ook worden doorgestuurd naar de ziektekostenverzekeraars. Anders zouden ze geen rekeningen kunnen vereffenen met de artsen.

Meer actueel awareness nieuws

Zorgverleners en patiënten versturen vaak patiëntinformatie via onbeveiligde mail. Project Veilig Mailen in de Zorg moet daar verandering in brengen

Het Informatieberaad Zorg, een samenwerking tussen zorgkoepels en het het ministerie van Volksgezondheid Welzijn en Sport (VWS), komt met het project Veilig Mailen in de zorg.

Halverwege 2019 moet er een implementatie-toolkit beschikbaar zijn voor zorgaanbieders en moet er een toetsingskader liggen voor de Autoriteit Persoonsgegevens (AP).

Zorgverleners en patienten mailen onveilig

Zorgverleners en patiënten versturen nu nog vaak via e-mail patiëntinformatie zonder dat die gegevens goed beveiligd zijn.

Het Informatieberaad Zorg ontwikkelt samen met de normcommissie Nen een standaard voor het beveiligen van e-mails met medische gegevens tussen zorgverleners en patiënten, zorgverleners onderling en tussen patiënten en hun omgeving, bijvoorbeeld in het geval van mantelzorg.

Op 10 oktober 2018 is de eerste bijeenkomst bij Nen.

Het doel is om veilig mailen in de zorg sneller te realiseren.

In sommige gevallen moeten zorgorganisaties via de mail patiëntgegevens uitwisselen. Bijvoorbeeld op het moment dat een specialist nog enige vragen heeft over de gezondheid van een verpleeghuisbewoner, die opgenomen is in het ziekenhuis.

Veilige e-mail na consult

Ook komt het regelmatig voor dat een patiënt na een consult bij thuiskomst toch nog een paar vragen heeft voor de behandelaar. Veilige mail kan helpen bij deze vormen van communicatie.

Het plan is om de norm begin 2019 vast te stellen. In de loop van 2019 moet duidelijk zijn in hoeverre bestaande oplossingen van ict-partijen daaraan kunnen voldoen en welke stappen leveranciers moeten zetten om te voldoen aan de norm.

Daarbij is interoperabiliteit ook een belangrijk onderdeel zodat patiënten en zorgverleners de keuzevrijheid hebben om verschillende oplossingen te kiezen.

Meer actueel awareness nieuws

Kwart van ziekenhuizen heeft volgens Autoriteit Persoonsgegevens AVG beleid nog niet op orde

Ongeveer 25 procent van de ziekenhuizen en zorgverzekeraars voldoet volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Persoonsgegevens. Zij hebben onvoldoende verplichte informatie op de website staan en moeten dit aanpassen.

De Autoriteit Persoonsgegevens heeft bij 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of zij een Functionaris Gegevensbescherming (FG) in dienst hebben.

Twee ziekenhuizen bleken niet aan die verplichting die is vastgelegd in de Algemene Verordening Persoonsgegevens te voldoen.

De twee ziekenhuizen zonder FG hebben vier weken de tijd gekregen om hier iemand voor aan te nemen.

Verplichte publicatie contactgegevens FG

 

Ziekenhuizen en zorgverzekeraars zijn ook verplicht om de contactgegevens van hun AP op de website te publiceren.

In de nieuwe privacywet staat vastgelegd dat een ieder die dat wil, gemakkelijk contact moet kunnen opnemen met de FG van een organisatie.

17 ziekenhuizen en 2 zorgverzekeraars

 

Zeventien ziekenhuizen en twee zorgverzekeraars hadden deze contactgegevens niet op hun website staan.

In andere gevallen ontbrak een direct e-mailadres of doorkiesnummer.

Sinds de invoering van de privacywet AVG (Algemene verordering gegevensbescherming) op 25 mei 2018 is het de taak van de Autoriteit Persoonsgegevens om de naleving ervan te controleren.

AVG controle overheid

 

Al eerder werden overheidsorganisaties gecontroleerd op de aanwezigheid van een Functionaris Gegevensbescherming.

Overigens hoeft niet iedere medische organisatie een FG aan te stellen. Huisartspraktijken zijn bijvoorbeeld niet verplicht om dit te doen, omdat zij niet op grootschalig niveau medische gegevens verwerken.

Meer actueel awareness nieuws

Artsen: ‘Wetsvoorstel om zorgfraude te bestrijden tast privacy en medisch beroepsgeheim aan’

Minister Hugo de Jonge (CDA) van Zorg heeft een wetsvoorstel ingediend om zorgfraude te bestrijden, maar daarvoor moeten wel medische gegevens van patiënten gedeeld worden met onder meer gemeenten en de Belastingdienst. Artsen zijn daar mordicus op tegen.

Aantasting van het medisch beroepsgeheim en aantasting van de privacy van de patiënt.

“Wij denken dat het een aantasting van het medisch beroepsgeheim is, en een aantasting van de privacy van de patiënt”, zegt voorzitter René Heman van de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG). Dit is een federatie van beroepsverenigingen van artsen die de belangen van artsen in Nederland behartigt.

Artsen zijn nu al verplicht beperkte medische gegevens van hun patiënten door te geven aan zorgverzekeraars. Het nieuwe voorstel geeft aan dat die gegevens ook weer met derden gedeeld kunnen worden. “Dat vinden wij geen goede zaak”, zegt Heman.

De gemeenten, de zorgverzekeraars, de zorgaanbieders, de FIOD, de Inspectie gezondheidszorg (IGZ), de Inspectie SZW, de belastingdienst, de zorgautoriteit NZA en de Sociale Verzekeringsbank worden straks verplicht om op verzoek (medische) gegevens aan te leveren aan een centraal informatiepunt.

Dit zogeheten Informatie Knooppunt Zorg (IKZ) zal op basis van een vermoeden van fraude bij de deelnemende organisaties relevante gegevens opvragen om dit vermoeden verder te onderzoeken.

Zodra het knooppunt een conclusie heeft getrokken wordt dit teruggekoppeld aan de deelnemende partijen, zodat deze daar vervolgens actie op kunnen ondernemen bij het bestrijden van fraude.

Het knooppunt gaat ook statistische rapportage en trendanalyses over fraude in de gemeentelijke zorg maken.

Bevechten van beroepsgeheim als principe

“Het bevechten van de grenzen van het beroepsgeheim blijft belangrijk, een principieel punt”, zegt huisarts Toosje Valkenburg uit De Bilt. Ondanks dat is Valkenburg niet tegen de intenties achter het plan. “Je gaat niemand vinden die zegt: wat een ontzettend goed idee, die fraude. Maar deze maatregel is niet proportioneel.”

Alternatieven voor wet

Heman geeft aan niet te snappen waarom er geen alternatieven worden gebruikt, in plaats van deze nieuwe wet. “We hebben twee jaar geleden een convenant gesloten over de inzet van onafhankelijke artsen. Zij maken van in beslag genomen gegevens een verslag, dat anonimiseren ze en dat gaat naar de overheidsinstellingen.”

Met dit plan is echter nog nooit iets gedaan. “Sinds 1 januari 2017 zijn zij in de lucht, maar ze zijn nog nooit ingezet door het Openbaar Ministerie.”

Meer actueel awareness nieuws