Uit het Universitair Medisch Centrum Utrecht (UMCU) zijn harde schijven met medische gegevens van zo’n zevenhonderd patiënten gestolen. Op de harde schijven staan niet alleen medische dossiers, maar ook burgerservicenummers en namen.
Het ziekenhuis heeft de patiënten en de Autoriteit Persoonsgegevens geïnformeerd en aangifte gedaan bij de politie.
De diefstal gebeurde op 18 april. Bij de polikliniek interne geneeskunde en de polikliniek allergologie werden in totaal tien computers opengebroken.
De harde schijven, processoren en geheugenbanken werden uit de computerkasten gehaald en meegenomen.
Twee computers waren noodcomputers, waar artsen gebruik van kunnen maken als de gebruikelijke computersystemen uitvallen.
Volgens het ziekenhuis konden de behandelingen van de patiënten gewoon doorgaan. De gegevens zijn afgeschermd met een gebruikersnaam en wachtwoord
Cybercriminelen richten hun pijlen tijdens de Corona crisis volgens Microsoft en Interpol nadrukkelijk op de zorgsector. Microsoft heeft in april tientallen ziekenhuizen gewaarschuwd voor dreigende ransomware-aanvallen. De hackers proberen binnen te komen in de ict-cystemen via kwetsbare gateway- en VPN-software.
“Meerdere ransomware-groepen die zich gedurende enkele maanden toegang tot de doelnetwerken hebben verzameld en deze hebben onderhouden, hebben in de eerste twee weken van april 2020 tientallen ransomware-implementaties geactiveerd”, staat in een rapport van het Microsoft’s Threat Protection Intelligence Team.
Getroffen partijen zijn onder meer hulporganisaties, aanbieders van educatieve software, overheidsinstellingen, productiebedrijven, medische factureringsbedrijven, transport en daarnaast tal van niet-kritische bedrijven en organisaties.
Hoewel Microsoft geen extra commentaar gaf op de vraag of de aanvallen die in de eerste twee weken van april werden waargenomen al dan niet succesvol waren, vroeg SearchSecurity het bedrijf of de exfiltratie van gegevens de reden is voor de vertraagde inzet van ransomware.
Verschillende ransomwarebendes, zoals Maze, zijn begonnen met het stelen van de gegevens van de slachtoffers alvorens deze te versleutelen en dreigden vervolgens gevoelige gegevens op het internet te publiceren om de slachtoffers te dwingen het losgeld te betalen.
“Gegevensexfiltratie is een zeer gangbare praktijk voor ransomware-groepen, maar de belangrijkste reden voor het uitstellen van ransomware is dat aanvallers vaak wachten op momenten dat ze weten dat ze het lastigst zijn voor de doelwitten en dat ze dus waarschijnlijker losgeld zullen betalen”, meldt SearchSecurity.
Microsoft raadt organisaties in de zorg verschillende stappen aan om hun kwetsbaarheid voor ransomwarebedreigingen te verkleinen, waaronder het implementeren van multifactorauthenticatie voor RDP- en virtuele desktopaccounts, het randomiseren van beheerderswachtwoorden en het patchen van netwerkapparaten of -diensten die aan het openbare internet zijn blootgesteld.
De Nederlandse normcommissie voor Klinisch Onderzoek houdt op 28 mei een open vergadering in de vorm van een webinar waarin de nieuwe NEN-EN-ISO 14155 versie wordt toegelicht.
ISO 14155 is wereldwijd de norm voor het opzetten en uitvoeren van Good Clinical Practice (GCP) klinisch onderzoek met medische hulpmiddelen.
Nederlandse partijen hebben zich ingezet om de publicatie uit 2011 te optimaliseren tot ‘State of the Art’. De nieuwe publicatie wordt in juni 2020 verwacht.
NEN nodigt partijen uit om alvast kennis te maken met de nieuwe NEN-EN-ISO 14155. Dat kan door deelname aan het webinar op 28 mei 2020.
Weten welke vragen aan bod komen? Kijk op de webpagina van NEN Evenementen.
NEN-EN-ISO 14155:2020 bevat in hoofdlijnen dezelfde elementen als de publicatie uit 2011, maar gaat dieper in op bepaalde aspecten. Het doel daarvan is de sponsor van een klinische studie meer duidelijkheid te verschaffen zonder de normeisen te verzwaren.
Daarnaast is de norm in lijn gebracht met nieuwe regelgeving omtrent Data Privacy en de EU Medical Device Regulation (MDR). Dit leidde tot bijna een verdubbeling van de grootte van het document.
Nieuwe onderwerpen
Onderwerpen die nieuw in de norm zijn opgenomen, betreffen:
Het benadrukken van de principes van Good Clinical Practice (GCP);
De verantwoordelijkheden van de ethische commissies;
De toepassing van NEN-EN-ISO 14971:2019 (over risicomanagement voor medische hulpmiddelen) op klinische studies;
Klinische studieaudits;
Extra statistische principes.
Gezamenlijk werk
De Nederlandse normcommissie voor Klinisch Onderzoek voor medische hulpmiddelen heeft de afgelopen drie jaar intensief gewerkt aan de ontwikkeling van NEN-EN-ISO 14155.
Op 28 augustus 2018 hield de normcommissie voor Klinisch Onderzoek een open vergadering om de betrokken Nederlandse partijen te informeren en te bevragen over de conceptnorm. Bijdragen uit die vergadering zijn meegenomen in de ontwikkeling van de norm.
Meer informatie en aanmelden webinar
Voor aanmelding van het webinar, ga naar NEN Evenementen. Voor informatie over deze norm(en) of over het normalisatieproces: Lieke van Nierop, Consultant Zorg & Welzijn, telefoon 015 2 690 390 of e-mail zw@nen.nl.
Meepraten over de inhoud van normen
Wilt u als belanghebbende partij meepraten over de ontwikkeling van normen op dit gebied? De normcommissie ‘Klinisch onderzoek’ houdt zich bezig met het beoordelen, bijstellen en opstellen van normen voor het klinisch onderzoeken van medische hulpmiddelen. Stuur voor deelname aan of meer informatie over deze commissie een mail naar zw@nen.nl.
“Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen”, concluderen Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP.
“Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.”
Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP hebben hun gezamenlijke standpunt gepubliceerd op de website van Platform Burgerrechten.
Waar gaat het om?
Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners.
Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is.
Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.
Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt.
De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven.
In haar reactie op het voorstel stelt de AP: “Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”
Medisch beroepsgeheim massaal omzeild
Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).
Eerste probleem
Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier.
Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen.
Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen).
Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.
Tweede probleem
Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk.
Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers.
De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”
Derde probleem
De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten.
De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit.
Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.
Vierde probleem
Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd.
Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost.
Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.
Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd.
Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.
Platform Bescherming Burgerrechten Privacy First Humanistisch Verbond Stichting KDVP
Door COVID-19 worden patiënten vaker verwezen naar huisartsenposten (HAP) en de spoedeisende hulp (SEH). Steeds meer huisartsenposten leveren 24/7 zorg aan patiënten met een mogelijke coronabesmetting om de huisartsenpraktijken te ondersteunen. Als de huisartsenpost en SEH inzage hebben in de belangrijkste gegevens van de eigen huisarts, kunnen mensen sneller de juiste zorg krijgen en blijven de wachttijden beperkt. Ook als mensen vanwege de drukte door een huisartsenpost, coronapost of ziekenhuis buiten hun eigen regio worden behandeld, is het belangrijk dat de arts deze gegevens van de huisarts kunnen raadplegen.
Normale situatie
In de normale situatie kan de huisartsenpost alleen een samenvatting van jouw medische gegevens van de huisarts raadplegen en alleen als je hiervoor toestemming (‘opt-in’) hebt gegeven bij de huisarts of via volgjezorg.nl. Bijna 8 miljoen Nederlanders hebben dat gedaan. Een klein deel heeft aangegeven dat hun gegevens niet gedeeld mogen worden. Ongeveer de helft van de Nederlanders heeft (nog) geen keuze gemaakt.
Tijdelijke oplossing
Uitsluitend tijdens de coronacrisis kunnen de huisartsenpost en de SEH ook een samenvatting van de medische gegevens van de huisarts raadplegen als je geen keuze hebt gemaakt. Het ministerie van Volksgezondheid, Welzijn en Sport heeft hiervoor op 8 april 2020 een tijdelijke maatregel getroffen. Dat betekent dat veel meer mensen snel en goed geholpen kunnen worden.
Huisartsenorganisaties (NHG, LHV, InEen), Patiëntenfederatie Nederland, VZVZ, zorgverzekeraars (ZN) en het ministerie van Volksgezondheid Welzijn en Sport (VWS) zorgen er samen voor dat dit veilig en verantwoord gebeurt. Ook de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Openbaar Ministerie blijven volgen of dit veilig en verantwoord gebeurt. Na de coronacrisis zijn de gegevens van Nederlanders die geen keuze hebben gemaakt niet meer te raadplegen bij de huisartsenpost en de SEH. Dan geldt weer de normale situatie.
Jij houdt de regie
Heb je contact met de huisartsenpost of de SEH, dan wordt je gevraagd of je het goed vindt dat de gegevens van de huisarts worden geraadpleegd. Zo houd je zelf de regie. Alleen als je niet aanspreekbaar bent, kunnen de huisartsenpost of de SEH de gegevens zonder die mondelinge toestemming raadplegen. Je kunt ook altijd precies zien wat er met jouw gegevens gebeurt. Dat kan door op deze website in te loggen bij het inzageportaal. Je ziet daar of jouw gegevens beschikbaar zijn gesteld. Je kunt ook zien of jouw gegevens zijn geraadpleegd en door wie.
Wil je niet dat jouw gegevens worden gedeeld?
Dan kun je dit bij je huisarts melden of online aangeven op volgjezorg.nl. Je hebt daar DigiD met SMS-functie of de DigiD-app voor nodig. Hou er wel rekening mee dat het door de drukte wat langer dan gebruikelijk kan duren voordat de huisarts jouw keuze heeft verwerkt. Heb je eerder al aangegeven dat je niet wil dat je gegevens worden gedeeld, dan gebeurt dat ook nu niet.
Jouw toestemming (zowel een ‘JA’ als een ‘NEE’) kun je op drie manieren regelen:
*Online regelen kan door in te loggen op je ‘Persoonlijke omgeving’. Ga dan naar ‘Toestemmingen’ en klik op ‘Zorgaanbieder +’. Zoek je zorgaanbieder en klik deze aan. Je kunt nu ‘Ja’ of ‘Nee’ aangeven. Dit zorgt ervoor dat er een ‘opt-in’ of ‘opt-out’ naar de zorgaanbieder wordt verstuurd.
Let op: online regelen kan alleen als je zorgaanbieder is aangesloten op Volgjezorg en het Landelijk Schakelpunt. Is je huisarts of apotheek dat niet, dan kun je online een formulier invullen en dat printen. Vervolgens geef je dit af bij je zorgaanbieder(s).
Het verwerken van die keuze door de huisartsenpraktijk / apotheek kan door de coronacrisis wel wat langer duren dan gebruikelijk.
Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.
De Autoriteit Persoonsgegevens (AP) heeft dit laten weten in een brief aan de minister van Medische Zorg. De minister is bezig met een regeling voor tijdens de coronacrisis.
Dit plan moet het mogelijk maken om zonder expliciete toestemming van patiënten medische dossiers te raadplegen via elektronische uitwisselingssystemen, zoals het Landelijk Schakelpunt (LSP).
Aanleiding: beoordeling patiënten
Patiënten komen tijdens de coronacrisis vaak bij een andere arts terecht dan hun eigen huisarts. Bijvoorbeeld op de huisartsenpost of de spoedeisende hulp.
Die arts moet vervolgens beoordelen welke behandeling de patiënt nodig heeft. Hiervoor moet de arts weten of de patiënt een verhoogd risico loopt door bijvoorbeeld hartproblemen. Deze medische informatie staat in het dossier van de huisarts.
Die beoordeling gaat nu te langzaam, stelt de minister. Dat komt omdat artsen het medisch dossier van een deel van de patiënten niet via een elektronisch uitwisselingssysteem kunnen bekijken.
Dit mag namelijk alleen als een patiënt hiervoor vooraf schriftelijk toestemming heeft gegeven. Er is een groep patiënten die nooit een keuze heeft gemaakt. En dus geen toestemming heeft gegeven of geweigerd.
Privacy patiënten respecteren
De AP begrijpt de wens om de regels te versoepelen. Tegelijkertijd wijst de AP erop dat óók tijdens crisistijd de privacy van patiënten wel moet worden gerespecteerd.
Medische gegevens zijn gevoelige, zeer persoonlijke informatie. Op die gegevens rust het medisch beroepsgeheim van de arts. Patiënten moeten erop kunnen vertrouwen dat zorgaanbieders uiterst zorgvuldig met hun medische gegevens omgaan.
Gevolgen voor patiënten
Door het plan van de minister verandert er niets voor mensen die al toestemming hebben gegeven of juist toestemming hebben geweigerd. In beide gevallen blijft die keuze gerespecteerd.
Daarnaast is er een grote groep mensen die nog geen keuze heeft doorgegeven. Het voorstel van de minister maakt het mogelijk dat hun medische gegevens kunnen worden uitgewisseld zonder dat zij daarvoor toestemming hebben gegeven. Het gaat daarbij niet om hun hele medische dossier, maar alleen om de professionele samenvatting.
De AP vindt dat acceptabel. Maar wel vindt de AP dat die patiënten in plaats daarvan ter plekke, op de huisartsenpost of spoedeisende hulp, toestemming moeten kunnen geven om daadwerkelijk hun medisch dossier bij de huisarts te raadplegen. Dit kan ook mondeling.
Is iemand niet in staat om ter plekke toestemming te geven? Bijvoorbeeld omdat diegene bewusteloos is? Dan mag de arts zonder toestemming van deze patiënt het medisch dossier bekijken.
Nadenken over keuze
De AP raadt mensen aan om nu goed na te denken over hun keuze, voordat zij mogelijk ziek worden. Hebben mensen eerder toestemming geweigerd? Dan moeten zij zich realiseren dat zorgaanbieders hierdoor mogelijk cruciale informatie missen, mochten zij op de spoedeisende hulp terechtkomen.
Wie eerder toestemming heeft geweigerd, kan dat namelijk niet ter plekke ongedaan maken. Het is dan onmogelijk om het medisch dossier te bekijken, omdat dit niet is opgenomen in het elektronische uitwisselingssysteem.
Dus mensen die hun keuze willen wijzigen, moeten dat vooraf doen. Dit kan via de huisarts of de website Volgjezorg.
Een ziekenhuis in de Duitse deelstaat Rijnland-Palts heeft een boete van 105.000 euro geaccepteerd die is opgelegd voor verschillende overtredingen van de privacywet.
De commissaris voor gegevensbescherming van Rijnland-Palts, Dieter Kugelmann, wil met de boete het signaal af geven “dat de toezichthoudende autoriteiten voor gegevensbescherming bijzonder waakzaam zijn op het gebied van de omgang met gegevens in de gezondheidszorg”.
De schendingen van de Algemene Verordening Gegevensbescherming (AVG) kwamen aan het licht na een “verwisseling van patiënten tijdens de opname”. Als gevolg daarvan had het ziekenhuis een onjuiste factuur opgesteld, die “structurele technische en organisatorische tekortkomingen in het patiëntenbeheer” aan het licht bracht.
Kugelmann is tevreden over de inspanningen van het ziekenhuis om het beheer van de gegevensbescherming te ontwikkelen en te verbeteren. “Het is voor mij belangrijk dat er aanzienlijke vooruitgang wordt geboekt op het gebied van de bescherming van gezondheidsgegevens, gezien de bijzondere gevoeligheid van gegevens”, aldus Kugelmann.
Veel Nederlandse bedrijven hebben hun ICT niet op orde, daardoor zijn 100.000 computers vatbaar voor datalekken. Dat vertellen ICT-experts in een video die YouTuber Sven van der Meulen vrijdag op YouTube heeft gezet.
Door een beveiligingsissue in Windows-computers kan “de gemiddelde ICT-student op het mbo” inbreken in de computers.
Van der Meulen voerde het onderzoek uit in samenwerking met cybersecuritybedrijf Dyna-Tech. Een ICT-expert van dat bedrijf vertelt in de video dat een fout in het besturingssysteem van Windows maanden geleden is ontdekt. Een fout die volgens de experts makkelijk te herstellen is, ware het niet dat veel bedrijven op ICT-gebied “hun zaken niet op orde hebben”.
Daar komt bij dat de kwetsbaarheden van de computers openbaar te vinden zijn op het internet. “Elke zolderhacker kan al maanden eenvoudig toegang krijgen tot deze computers, met alle gevolgen van dien”, vertelt een ander cybersecuritybedrijf, Fox-IT, in de video.
Om aan te tonen hoe slecht het gesteld is met de beveiliging bij bedrijven ging de YouTuber op bezoek bij een bibliotheek, waar hij een hacker opdracht gaf op een “ludieke manier” het systeem binnen te komen. De hacker printte vanuit het systeem het logo van Van der Meukens YouTube-kanaal Vrije Vogels via een printer van de bieb.
Daarnaast zocht hij contact met een abortuskliniek die ook de beveiliging van het systeem niet op orde had. De twee bedrijven hebben hun systeem inmiddels beter beveiligd.
Ziekenhuizen en abortusklinieken
Volgens de experts blijven nog steeds 100.000 computers over waarbij hackers makkelijk toegang kunnen krijgen tot alle data in het systeem, waaronder persoonsgegevens. Het gaat hierbij ook om computers van ziekenhuizen en abortusklinieken.
ICT-specialist Joost Pol legt in de video uit dat het probleem vaak is dat bedrijven hun software niet updaten. “Een van de meest basale dingen om de computer veilig te houden, het updaten van de software, gebeurt nog steeds niet vaak genoeg.”
Functionarissen voor de gegevensbescherming (FG’s) in ziekenhuizen zijn volgens de Autoriteit Gegevensbescherming (AP) goed op weg om zich een volwaardige positie te verwerven.
“De FG’s opereren goed en geven een goede invulling aan de taken die zij hebben op grond van de privacywetgeving”, meldt de AP. “Wel kunnen voornamelijk kleinere ziekenhuizen zich nog verbeteren door meer schriftelijke waarborgen door te voeren.”
Deze conclusie trekt de Autoriteit Persoonsgegevens (AP) na een verkennend onderzoek naar het functioneren van FG’s in elf ziekenhuizen.
Monique Verdier, bestuurslid bij de AP: “Als de functie van een FG goed ingebed is in een organisatie, kan dat iets zeggen over hoe goed een organisatie de privacywet naleeft. Voor de AP is een goed functionerende FG waardevol: hij of zij helpt ons om adequaat toezicht te houden.”
Aanbevelingen voor een effectieve FG
Op basis van het verkennend onderzoek komt de AP met aanbevelingen voor de raden van bestuur en aanbevelingen voor de FG’s. De AP heeft het onderzoek verricht binnen elf ziekenhuizen, maar de bevindingen zijn relevant voor de hele ziekenhuisbranche en daarbuiten.
Aanbevelingen aan de raden van bestuur:
Werk regels en richtlijnen uit over de positie van de FG’s in een intern privacybeleid. Maak duidelijk wat de taken, werkzaamheden en bevoegdheden van de FG zijn en hoe de functie is afgebakend.
Zorg ervoor dat FG’s voldoende middelen krijgen om hun werk goed te kunnen doen. Laat aan de organisatie zien dat het werk van FG’s belangrijk is en gedragen wordt door de raad van bestuur.
Zoek zelf actief contact met de FG. Laat dit niet uitsluitend over aan een manager of secretaris.
Aanbevelingen aan FG’s:
Houd een goede balans tussen de adviserende en de toezichthoudende rol. Vervul niet alleen een adviserende rol, besteed meer aandacht aan de toezichthoudende rol.
Voorkom conflicten tussen de adviserende en de toezichthoudende rol. Maak binnen de organisatie duidelijk welke rol je wanneer inneemt.
Maak duidelijke interne afspraken over de verdeling van verantwoordelijkheden en de rol van de FG, bijvoorbeeld bij een datalek.
Wees zichtbaar. Zoek als FG het contact met de werkvloer en ga het gesprek aan.
Leer van elkaar. Zoek contact en wissel ervaring en kennis uit met andere FG’s in de regio of bij andere zorgaanbieders in het land. Veel FG’s hebben te maken met dezelfde problematiek. Onderling contact voorkomt dat ze het wiel opnieuw moeten uitvinden.
Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…
Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…
Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?
Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.
Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis
Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.
Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.
Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.
Honderden onbevoegden hebben toegang tot patientgegevens
“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.
Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.
In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.
Datalek in Portugees ziekenhuis werd gemeld door medische vereniging
Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.
Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.
Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.
Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’
De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.
Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.
Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen
Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.
Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.
Uitspraak in Portugal interessant voor heel Europa
De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.
De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.
Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.
Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.
Datalekprocedure
Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.
Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.
Datalek uit de media houden
Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.
Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.
Functionaris Gegevensbescherming (FG)
Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.
De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.
Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.
Ziekenhuis onderzoekt lek en afhandeling melding
Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.
De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.
Medische gegevens pasgeboren kinderen
In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.
Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.
70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.
De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.
Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.
Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.
Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.
Vooral transportsector overtreedt de AVG
Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.
Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.
Top 10 bedrijfstakken die AVG overtreden
De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:
Vervoer – 72%
Verkoop en marketing – 62%
Productie – 59%
Nutsbedrijven – 58%
Detailhandel – 57%
Onderwijs – 54%
Vrije tijd en reizen – 49%
Gezondheidszorg en gastvrijheid – 45%
Handelaren / administratie – 44%
Voorlichting en communicatie – 39%
Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben
“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.
De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).
Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen
“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.