Kwart van ziekenhuizen heeft volgens Autoriteit Persoonsgegevens AVG beleid nog niet op orde

Ongeveer 25 procent van de ziekenhuizen en zorgverzekeraars voldoet volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Persoonsgegevens. Zij hebben onvoldoende verplichte informatie op de website staan en moeten dit aanpassen.

De Autoriteit Persoonsgegevens heeft bij 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of zij een Functionaris Gegevensbescherming (FG) in dienst hebben.

Twee ziekenhuizen bleken niet aan die verplichting die is vastgelegd in de Algemene Verordening Persoonsgegevens te voldoen.

De twee ziekenhuizen zonder FG hebben vier weken de tijd gekregen om hier iemand voor aan te nemen.

Verplichte publicatie contactgegevens FG

 

Ziekenhuizen en zorgverzekeraars zijn ook verplicht om de contactgegevens van hun AP op de website te publiceren.

In de nieuwe privacywet staat vastgelegd dat een ieder die dat wil, gemakkelijk contact moet kunnen opnemen met de FG van een organisatie.

17 ziekenhuizen en 2 zorgverzekeraars

 

Zeventien ziekenhuizen en twee zorgverzekeraars hadden deze contactgegevens niet op hun website staan.

In andere gevallen ontbrak een direct e-mailadres of doorkiesnummer.

Sinds de invoering van de privacywet AVG (Algemene verordering gegevensbescherming) op 25 mei 2018 is het de taak van de Autoriteit Persoonsgegevens om de naleving ervan te controleren.

AVG controle overheid

 

Al eerder werden overheidsorganisaties gecontroleerd op de aanwezigheid van een Functionaris Gegevensbescherming.

Overigens hoeft niet iedere medische organisatie een FG aan te stellen. Huisartspraktijken zijn bijvoorbeeld niet verplicht om dit te doen, omdat zij niet op grootschalig niveau medische gegevens verwerken.

Britse toezichthouder ICO ontvangt recordaantal meldingen datalekken. Met name medische sector

De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.

Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.

Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.

In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).

De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.

Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.

Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.

Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.

Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.

Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.

Je kunt het ICO-jaarverslag hier downloaden.

Autoriteit Persoonsgegevens (AP) voert AVG steekproef uit bij 30 grote bedrijven

De Autoriteit Persoonsgegevens (AP) is gestart met een verkennend onderzoek bij 30 grote bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.

De AP voert de steekproef uit bij industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland.

Controle verwerkingsregister

De AP onderzoekt of deze bedrijven een verwerkingsregister bijhouden en of dit register de juiste informatie bevat.

De toezichthouder beschouwt een actueel verwerkingsregister als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt.

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Onderdeel hiervan is dat organisaties in sommige situaties een register van verwerkingen moeten hebben.

Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken.

Verwerkingsregister grote bedrijven

Bedrijven zijn verplicht het verwerkingsregister te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers.

Kleinere organisaties

Kleinere organisaties moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:

  • zij verwerken structureel gegevens, bijvoorbeeld gegevens over hun werknemers,
  • zij verwerken gegevens met een hoog risico voor de rechten en vrijheden van betrokken personen,
  • zij verwerken bijzondere persoonsgegevens, zoals gegevens over godsdienst of gezondheid.

AVG helpdesk en hulplijn voor organisaties in zorg en sociaalwerk

Er is een speciale online AVG-helpdesk opgezet voor zorgverleners en sociaalwerkorganisaties die worstelen met de implementatie van de privacywet.

Voor zorgaanbieders die verantwoordelijk zijn voor de implementatie van de AVG is er een aparte telefonische hulplijn.

Deze helpdesk is een samenwerking tussen koepelorganisaties in de zorg en het sociaal domein en het ministerie van Volksgezondheid Welzijn en Sport.

Door afstemming met de Autoriteit Persoonsgegevens wordt gezorgd voor eenduidige informatie op de website.

De meeste zorgverleners en sociaalwerkorganisaties zijn al volop aan de slag met de implementatie van de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG).

Via de koepelorganisaties is hierover al de nodige informatie verspreid: artikelen, brochures, veelgestelde vragen en de bijbehorende antwoorden.

Iedereen die in de zorg of het sociaal domein werkt kan bij de Algemene Verordening Gegevensbescherming terecht met vragen over privacy in het algemeen en de AVG in het bijzonder.

Er is ook nog een handige brochure over de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg. Deze wet regelt de voorwaarden waaronder zorgverleners medische gegevens veilig en elektronisch kunnen inzien of uitwisselen met andere zorgverleners. Daarnaast regelt de wet ook de rechten van patiënten bij elektronische gegevensuitwisseling.

Download ‘Elektronische gegevensuitwisseling in de zorg’

PDF document | 8 pagina’s | 526 kB

Brochure | 28-06-2017

 

PrivacyZone.nl begeleidt een aantal organisaties in de zorgsector.