37 procent van alle ransomware hacks is gericht op de zorgsector

37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.

De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.

Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.

In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.

Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.

Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.

Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.

BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.

Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.

Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.

De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.

KNO-arts zorgt voor Whatsapp datalek schandaal en AVG-wake-upp call voor iedereen die Whatsapp nog zakelijk gebruikt

Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door  een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding. Een AVG-wake-upp call voor iedereen die Whatsapp nog zakelijk gebruikt. 

Iedereen die zonder toestemming werknemers, klanten of patienten toevoegt aan Whatsapp overtreedt de Europese privacywet.

Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.

De KNO-arts maakt met zijn Whatsappgroep honderden privé-nummers van patiënten inzichtelijk voor anderen.

Eén van zijn oud-patienten meldt bij de Amsterdamse lokale omroep AT5 het vreemd te vinden dat een arts hem benadert via zijn privételefoon.

“Je ziet van al die mensen een Whatsappfoto en ook de telefoonnummers. Dit kan echt niet. De arts schendt hiermee het medisch beroepsgeheim en de privacy van patiënten.”

Schending concurrentiebeding en medisch beroepsgeheim

De actie van de arts is niet alleen vanuit AVG-oogpunt bedenkelijk vanuit concurrentieoverwegingen. Hij probeert via de groepsapp patiënten mee te lokken naar zijn nieuwe werkgever: Acibadem International Medical Center.

In het groepsgesprek, dat de arts midden in de nacht aanmaakt met zijn privé-nummer, vertelt hij een nieuwe werkgever te hebben. De dokter plaatste volgens AT5 teksten als: “Hierdoor kunt u niet geopereerd/gecontroleerd worden in Ziekenhuis Amstelland. [Het] is uiteraard wel mogelijk dat u door mij geopereerd wordt in het International Medical Center Acibadem.”

Ook schrijft de arts dat de wachttijden bij zijn nieuwe werkgever ‘aanzienlijk korter’ zijn en dat patiënten er goed aan doen om opnieuw een verwijsbrief van de huisarts te vragen.

Solo-actie

Zijn nieuwe werkgever Acibadem zegt dat het benaderen van deze patiënten een ‘solo-actie’ is van de KNO-arts. “Wij zijn hier vooraf niet van op de hoogte gesteld en de wijze waarop dit is gebeurd past niet binnen de richtlijnen van Acibadem.”

Ziekenhuis Amstelland, oud-werkgever van de dokter, kondigt juridische stappen aan tegen de oud-werknemer. “Er zijn door de betreffende arts gegevens van onze patiënten meegenomen die binnen onze muren hadden moeten blijven.”

Datalek bij VieCuri Medisch Centrum in Venlo. Vraagtekens bij datalekprocedure ziekenhuis

Het VieCuri Medisch Centrum in Venlo is in opspraak vanwege een datalek waarbij de gegevens van 22 kinderen, inclusief medische gegevens, op straat zijn beland, meldt de regionale omroep 1Limburg.

Het betreft slechts vier vellen papier, maar de impact daarvan is qua negatieve publiciteit nu al groot. En die kan nog groter worden.

Datalekprocedure

Grote vraag is namelijk of het Limburgse ziekenhuis wel volgens de regels een datalekprocedure in gang heeft gezet.

Vinder Jeroen Dekkers van de papieren zegt bij L1 de indruk te hebben dat het ziekenhuis de zaak in de doofpot wilde stoppen. Hij zocht zondag meteen na zijn vondst al contact met het ziekenhuis.

Datalek uit de media houden

Dekkers zegt dat hij zich geïntimideerd voelt en dat hem meerdere malen is gevraagd om de zaak uit de media te houden.

Een woordvoerder van het ziekenhuis ontkent bij L1 dat zij dit gevraagd heeft.

Functionaris Gegevensbescherming (FG)

Opvallend is echter dat de Functionaris Gegevensbescherming (FG) van VieCuri volgens Dekkers pas woensdag persoonlijk contact opnam met Dekkers. Terwijl volgens de Algemene Verordening Gegevensbescherming (AVG) een organisatie binnen 72 uur na het ontdekken van een lek meteen passende maatregelen moet treffen en een datalekprocedure bij de Autoriteit Persoonsgegevens (AP) in gang moet zetten.

De FG is voor die datalekprocedure verantwoordelijk. Het is dan ook uitermate vreemd dat de FG niet eerder contact heeft opgenomen met de vinder.

Volgens de Autoriteit Persoonsgegevens is er inmiddels wel een datalekmelding door het ziekenhuis gedaan.

Ziekenhuis onderzoekt lek en afhandeling melding

Het ziekenhuis zegt te onderzoeken hoe het lek is ontstaan en hoe er is omgegaan met de melding.

De papieren werden zondag toevallig door Dekkers gevonden op de dijk langs de Maas, pal naast VieCuri.

Medische gegevens pasgeboren kinderen

In de documenten kon hij de voor- en achternaam, geboortedatum van de in sommige gevallen pasgeboren kinderen en gegevens van ouders en verzorgers lezen. Ook was er informatie over de medische situatie van de kinderen te vinden.

Uit de datum bovenaan de documenten blijkt dat ze dezelfde dag nog zijn gebruikt. Het betteft dienstlijsten van vermoedelijk de kinderafdeling.

ICT-bedrijf komt met opvallend antivirus systeem voor besmette smartphones in de zorg

Er komt een nieuw antivirus systeem voor smartphones in de zorg. Het is ontwikkeld door een ICT-bedrijf, maar het heeft – anders dan je zou verwachten na het lezen van de titel van dit bericht en eerdere berichtgeving over onveilige Android-smartphones op PrivacyZone – niets te maken met de Algemene Verordening Gegevensbescherming (AVG).

Uit onderzoek van Verpleegkundigen & Verzorgenden Nederland (VVN) blijkt dat een derde van de zorgmedewerkers zijn smartphone zelden tot nooit reinigt en dat hier in de zorg ook geen richtlijnen voor zijn.

Smartphone vol met bacteriën

Op een gemiddelde smartphone wemelt het van de bacteriën als streptokokken, stafylokokken en de E. colibacterie.

Patiënten, bezoekers en zorgmedewerkers hebben dit broeinest van bacteriën elk uur wel even in de hand, ook in het bijzijn van patiënten.

Een aantal zorginstellingen wil vanaf deze week een smartphone-reiniger testen.

Antivirussysteem werkt met uv-licht en ozon

Het apparaat wordt beschikbaar gesteld door it-detacheerder Peak-It en is het eerste in zijn soort dat werkt op basis van uv-licht en ozon.

 

Om deze nesten uit te roeien, gaat Peak-It deze week de servicedesks van veertien van zijn zorgklanten voorzien van een smartphone-reiniger.

Na 8 minuten is smartphone bacterievrij

De werking van het apparaat is eenvoudig: deksel eraf, telefoon erin, acht minuten wachten en de telefoon is volledig bacterievrij.

Kenmerk van het apparaat is uv-licht, dat de celwanden van bacteriën en virussen binnendringt en beschadigt zodat ziektekiemen sterven.

Daarnaast maakt de reiniger gebruik van ozon, dat weer desinfecterende eigenschappen heeft.

Operationeel directeur van Peak-It Richard Stassen laat via een persverklaring weten dat de actie geen commercieel doel behelst. ‘We gaan ze niet verkopen. Het is puur als gebaar richting de zorginstellingen waarmee we samenwerken.’

Over Peak-It

Peak-It is een grote it-detacheerder met landelijk ruim vierhonderd medewerkers in dienst. Het bedrijf, met de beschikking over drie vestigingen in Naarden, Rijswijk en Eindhoven. Het bedrijf kwam in maart 2018 in handen van ManpowerGroup en maakt onderdeel uit van Experis-IT.

70% bedrijven heeft geheugen en weggegooide harddiscs IT-apparatuur niet gewist en overtreedt dus de AVG

70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.

De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.

Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.

Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.

Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.

Vooral transportsector overtreedt de AVG

Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.

Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.

Top 10 bedrijfstakken die AVG overtreden

De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:

  • Vervoer – 72%
  • Verkoop en marketing – 62%
  • Productie – 59%
  • Nutsbedrijven – 58%
  • Detailhandel – 57%
  • Onderwijs – 54%
  • Vrije tijd en reizen – 49%
  • Gezondheidszorg en gastvrijheid – 45%
  • Handelaren / administratie – 44%
  • Voorlichting en communicatie – 39%

Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben

“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.

De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).

Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen

“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.

Huisarts Hans Gimbel geeft voorbeelden van absurde gevolgen AVG privacyregels in de zorg

Huisarts Hans Gimbel uit Heerhugowaard waarschuwt aan de hand van dagelijkse praktijkvoorbeelden voor absurde en onveilige gevolgen van de AVG in de zorgsector.

Gimbel is lid van de Ledenraad van Landelijke Huisartsen Vereniging (LHV). Hij schreef op persoonlijke titel een opiniestuk voor de Volkskrant. Dit veelgelezen stuk is ook gedeeld op de website Netkwesties.

 

Volgens Gimbel zorgt de Algemene Verordening Gegevensbescherming voor onnodige schadelijke rompslomp in de zorg en wordt medisch handelen beletseld.

Absurde en gevaarlijke vereiste in de zorg

“Door de nieuwe privacywetgeving kunnen artsen sinds 25 mei niet meer bij de gegevens van patiënten zonder hun uitdrukkelijk verleende schriftelijke toestemming. Een even absurde als gevaarlijke vereiste in de zorg”, schrijft Gimbels.

“Op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht geworden. Brussel vond dat de privacy van burgers wel een steuntje in de rug kon gebruiken. Daar was zeker wat voor te zeggen als je ziet hoe commerciële organisaties als Facebook en Google met gegevens op internet omgaan.”

AVG in zorg is vanwege eed van Hippocrates overbodig

“Helaas heeft Brussel in één moeite door ook de alle andere sectoren meegenomen, waaronder de zorg. Volkomen onnodig, aangezien in de zorg al van oudsher het medisch geheim geldt, bekrachtigd met de eed van Hippocrates (460 voor Christus!) die elke arts aflegt.”

“Helaas pakt deze wet voor de zorg desastreus uit. Alle medische gegevens zijn achter een schier onneembare burcht geplaatst met als gevolg dat artsen niet bij de gegevens van de patiënt kunnen. Dat is natuurlijk niet de bedoeling, maar wel het gevolg van de wet.”

Huisartsen geen toegang tot patientendossier in regionaal ziekenhuis

“In onze regio, waar in het grote regionale ziekenhuis toevallig ook net een nieuw EPD (Elektronisch Patiënten Dossier) werd ingevoerd, kon de huisarts van de ene op de andere dag niet meer bij de gegevens van zijn patiënten.”

“Als een patiënt bij de specialist onder behandeling is, is het belangrijk dat ook de huisarts over die gegevens kan beschikken. Bijvoorbeeld bij het voorschrijven van bepaalde medicijnen is het belangrijk te weten wat de nierfunctie van de patiënt is. Voorheen kon de huisarts dat opzoeken in het ziekenhuissysteem via een beveiligde weg.”

“Nu is die route afgesneden met als gevolg dat de huisarts opnieuw bloedonderzoek moet laten doen. Ook andersom, als de specialist de onderzoekgegevens van de patiënt bij de huisarts nodig heeft, kan hij sinds 25 mei niet meer bij deze gegevens.”

Chirurg mag röntgenfoto gebroken enkel niet bekijken

“Als de huisarts bij een patiënt met een enkelletsel een foto laat maken en deze patiënt heeft een gebroken enkel, dan mag de chirurg niet kennis nemen van de foto, tenzij de patiënt schriftelijk toestemming heeft gegeven. Het lijkt absurd, maar het is helaas de werkelijkheid.”

AVG zorgt voor veel bureaucratie

“Om zorgverlening toch mogelijk te maken hebben juristen een administratief monstrum bedacht. De huisarts mag pas kennis nemen van de gegevens van een patiënt nadat de patiënt een schriftelijke verklaring heeft afgegeven aan het ziekenhuis. Deze formulieren komen op een grote stapel te liggen en worden vervolgens handmatig in het systeem ingevoerd. Zo gaat het althans in onze regio. Het invoeren van alle patiënten gaat maanden duren.”

Aanmelden op zorgportaal werkt omslachtig of niet

“Vervolgens moet de huisarts zich met een speciale pas, een zogenaamde UZI-pas, aanmelden bij het zorgportaal van het ziekenhuis.”

”Dat kan niet met elke webbrowser en ook niet met elke computer. Voorlopig is het voor Apple-computers nog niet mogelijk. Pas dan is het mogelijk de gegevens te raadplegen, tenminste als de patiënt een schriftelijke verklaring heeft afgegeven dat hij dat goedkeurt.”

Probleem als patient voor eerste keer in ziekenhuis komt

”Is die verklaring er niet, bijvoorbeeld omdat men verzuimd heeft dit te vragen, of omdat de patiënt nog niet eerder in het ziekenhuis is geweest, dan kun je alsnog niet bij de gegevens.”

“Het kan niet anders dan dat onvoldoende is nagedacht wat de consequenties van deze wet voor de zorg zijn”, schrijft Gimbel. “Desondanks is een speciale instantie in het leven geroepen, de Autoriteit Persoonsgegevens met PvdA’er Aleid Wolfsen aan het hoofd, die scherp toeziet op goede naleving van de regels uit Brussel. Overtredingen worden zwaar bestraft met boetes die kunnen oplopen tot 20 miljoen euro! De schrik zit er daarom goed in bij de zorgverleners.”

AVG houdt geen rekening met belangen patienten

“Bij het invoeren van deze privacywet is de patiënt geheel uit beeld verdwenen. Privacyregels zijn bedoeld om het belang van de burger te beschermen en niet om zijn zorgverlening te blokkeren. Geen patiënt zal tegen de chirurg zeggen dat hij wel zijn gebroken enkel mag repareren, maar niet naar de foto mag kijken.”

Advies van huisarts Gimbel

“Laat een zinloze schriftelijke toestemming achterwege. Het kan alleen maar problemen opleveren, als de verklaring er per ongeluk niet is. We zijn in de zorg al jaren bezig de administratieve rompslomp terug te dringen. Alle politieke partijen staan hierachter. Mondjesmaat leek dat te gaan lukken en nu zijn we met één decreet uit Brussel weer jaren teruggeworpen.”

“De zorgverlener moet nu cursussen gaan volgen hoe hij de gegevens volgens de Brusselse regels moet opbergen, er moeten registers worden aangelegd, overeenkomsten, tientallen pagina’s dik, getekend met allerlei toeleveranciers, met beheerders van de computersystemen, van praktijk- websites, van de telefooncentrale op de praktijk, met de personeelsadministratie enz. De enorme hoeveelheid tijd hieraan besteed gaat ten koste van de zorg aan de patiënt.”

Zonder de zorg uit van deze bureaucratische privacywet

“Iedereen zal het erover eens zijn dat in de zorg de patiënt centraal staat. Dat betekent dat privacyregels het zorgproces niet mogen frustreren. Het zal toch mogelijk moeten zijn Brussel duidelijk te maken dat wat goed is voor Google niet goed hoeft te zijn voor de zorg. Privacy is bovendien van oudsher al goed geregeld in de zorg. Zonder daarom de zorg uit van deze bureaucratische privacywet. De patiënt zal er wel bij varen.”

*) Hans Gimbel is huisarts te Heerhugowaard en lid van de Ledenraad van huisartsenclub LHV. Dit artikel verscheen eerder in de Volkskrant

AVG in de wachtkamer. Patiënt 031872 naar behandelkamer 2

Het is tien uur ‘s ochtends. Je ligt in het ziekenhuis op een verpleegzaal met drie andere patienten. Je behandelend specialist maakt samen met de verpleegsters een ronde. Jij krijgt alles mee over de ziekte van je kamergenoten.

Hoe zit het eigenlijk met de AVG op verpleegzalen in ziekenhuizen?

Veel artsen en patienten worstelen met de Algemene Verordening Gegevensbescherming (AVG). Hoe ga je om met privacy in wachtkamers en kamers in ziekenhuizen waar meerdere patienten liggen?

Sommige artsen en patienten denken dat niets meer mag. Artsen laten voor de zekerheid krampachtig patienten een verwerkingsovereenkomst tekenen waarin zij akkoord gaan met het omroepen van hun naam als ze aan de beurt zijn.

Het gaat verder met de samenwerking met andere artsen en eindigt met een overeenkomst over samenwerking met de zorgverzekeraar.

Absurd. Nergens voor nodig.

Om te beginnen is er volgens de AVG geen toestemming vereist voor de omroepen van de naam van patienten die aan de beurt zijn. Het anonimiseren van patienten door nummers te gebruiken is dus niet nodig.

Hoe zit het met privacy op de verpleegzaal met 4 bedden?

Hetzelfde geldt ook voor verpleegzalen met meerdere bedden in het ziekenhuis. Ook hier is het niet nodig om de individuele patiënten (in hun bed) telkens te verplaatsen naar een seperate behandelkamer waar het medische team slechts met één patiënt kan praten.

De samenwerking met andere artsen, laboratoria en zorgverzekeraars kan worden samengevat onder de noemer “ontheffing van de geheimhoudingsplicht”.

In principe vallen alle verwerkingen die nodig zijn om aan het verwerkingscontract te voldoen, onder het verwerkingscontract.

Toestemming is niet vereist!

Diverse andere wetten verlenen artsen ook transmissiebevoegdheden.

De gegevens kunnen ook worden doorgestuurd naar de ziektekostenverzekeraars. Anders zouden ze geen rekeningen kunnen vereffenen met de artsen.

Zorgverleners en patiënten versturen vaak patiëntinformatie via onbeveiligde mail. Project Veilig Mailen in de Zorg moet daar verandering in brengen

Het Informatieberaad Zorg, een samenwerking tussen zorgkoepels en het het ministerie van Volksgezondheid Welzijn en Sport (VWS), komt met het project Veilig Mailen in de zorg.

Halverwege 2019 moet er een implementatie-toolkit beschikbaar zijn voor zorgaanbieders en moet er een toetsingskader liggen voor de Autoriteit Persoonsgegevens (AP).

Zorgverleners en patienten mailen onveilig

Zorgverleners en patiënten versturen nu nog vaak via e-mail patiëntinformatie zonder dat die gegevens goed beveiligd zijn.

Het Informatieberaad Zorg ontwikkelt samen met de normcommissie Nen een standaard voor het beveiligen van e-mails met medische gegevens tussen zorgverleners en patiënten, zorgverleners onderling en tussen patiënten en hun omgeving, bijvoorbeeld in het geval van mantelzorg.

Op 10 oktober 2018 is de eerste bijeenkomst bij Nen.

Het doel is om veilig mailen in de zorg sneller te realiseren.

In sommige gevallen moeten zorgorganisaties via de mail patiëntgegevens uitwisselen. Bijvoorbeeld op het moment dat een specialist nog enige vragen heeft over de gezondheid van een verpleeghuisbewoner, die opgenomen is in het ziekenhuis.

Veilige e-mail na consult

Ook komt het regelmatig voor dat een patiënt na een consult bij thuiskomst toch nog een paar vragen heeft voor de behandelaar. Veilige mail kan helpen bij deze vormen van communicatie.

Het plan is om de norm begin 2019 vast te stellen. In de loop van 2019 moet duidelijk zijn in hoeverre bestaande oplossingen van ict-partijen daaraan kunnen voldoen en welke stappen leveranciers moeten zetten om te voldoen aan de norm.

Daarbij is interoperabiliteit ook een belangrijk onderdeel zodat patiënten en zorgverleners de keuzevrijheid hebben om verschillende oplossingen te kiezen.

Kwart van ziekenhuizen heeft volgens Autoriteit Persoonsgegevens AVG beleid nog niet op orde

Ongeveer 25 procent van de ziekenhuizen en zorgverzekeraars voldoet volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Persoonsgegevens. Zij hebben onvoldoende verplichte informatie op de website staan en moeten dit aanpassen.

De Autoriteit Persoonsgegevens heeft bij 91 ziekenhuizen en 33 zorgverzekeraars gecontroleerd of zij een Functionaris Gegevensbescherming (FG) in dienst hebben.

Twee ziekenhuizen bleken niet aan die verplichting die is vastgelegd in de Algemene Verordening Persoonsgegevens te voldoen.

De twee ziekenhuizen zonder FG hebben vier weken de tijd gekregen om hier iemand voor aan te nemen.

Verplichte publicatie contactgegevens FG

 

Ziekenhuizen en zorgverzekeraars zijn ook verplicht om de contactgegevens van hun AP op de website te publiceren.

In de nieuwe privacywet staat vastgelegd dat een ieder die dat wil, gemakkelijk contact moet kunnen opnemen met de FG van een organisatie.

17 ziekenhuizen en 2 zorgverzekeraars

 

Zeventien ziekenhuizen en twee zorgverzekeraars hadden deze contactgegevens niet op hun website staan.

In andere gevallen ontbrak een direct e-mailadres of doorkiesnummer.

Sinds de invoering van de privacywet AVG (Algemene verordering gegevensbescherming) op 25 mei 2018 is het de taak van de Autoriteit Persoonsgegevens om de naleving ervan te controleren.

AVG controle overheid

 

Al eerder werden overheidsorganisaties gecontroleerd op de aanwezigheid van een Functionaris Gegevensbescherming.

Overigens hoeft niet iedere medische organisatie een FG aan te stellen. Huisartspraktijken zijn bijvoorbeeld niet verplicht om dit te doen, omdat zij niet op grootschalig niveau medische gegevens verwerken.

Artsen: ‘Wetsvoorstel om zorgfraude te bestrijden tast privacy en medisch beroepsgeheim aan’

Minister Hugo de Jonge (CDA) van Zorg heeft een wetsvoorstel ingediend om zorgfraude te bestrijden, maar daarvoor moeten wel medische gegevens van patiënten gedeeld worden met onder meer gemeenten en de Belastingdienst. Artsen zijn daar mordicus op tegen.

Aantasting van het medisch beroepsgeheim en aantasting van de privacy van de patiënt.

“Wij denken dat het een aantasting van het medisch beroepsgeheim is, en een aantasting van de privacy van de patiënt”, zegt voorzitter René Heman van de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG). Dit is een federatie van beroepsverenigingen van artsen die de belangen van artsen in Nederland behartigt.

Artsen zijn nu al verplicht beperkte medische gegevens van hun patiënten door te geven aan zorgverzekeraars. Het nieuwe voorstel geeft aan dat die gegevens ook weer met derden gedeeld kunnen worden. “Dat vinden wij geen goede zaak”, zegt Heman.

De gemeenten, de zorgverzekeraars, de zorgaanbieders, de FIOD, de Inspectie gezondheidszorg (IGZ), de Inspectie SZW, de belastingdienst, de zorgautoriteit NZA en de Sociale Verzekeringsbank worden straks verplicht om op verzoek (medische) gegevens aan te leveren aan een centraal informatiepunt.

Dit zogeheten Informatie Knooppunt Zorg (IKZ) zal op basis van een vermoeden van fraude bij de deelnemende organisaties relevante gegevens opvragen om dit vermoeden verder te onderzoeken.

Zodra het knooppunt een conclusie heeft getrokken wordt dit teruggekoppeld aan de deelnemende partijen, zodat deze daar vervolgens actie op kunnen ondernemen bij het bestrijden van fraude.

Het knooppunt gaat ook statistische rapportage en trendanalyses over fraude in de gemeentelijke zorg maken.

Bevechten van beroepsgeheim als principe

“Het bevechten van de grenzen van het beroepsgeheim blijft belangrijk, een principieel punt”, zegt huisarts Toosje Valkenburg uit De Bilt. Ondanks dat is Valkenburg niet tegen de intenties achter het plan. “Je gaat niemand vinden die zegt: wat een ontzettend goed idee, die fraude. Maar deze maatregel is niet proportioneel.”

Alternatieven voor wet

Heman geeft aan niet te snappen waarom er geen alternatieven worden gebruikt, in plaats van deze nieuwe wet. “We hebben twee jaar geleden een convenant gesloten over de inzet van onafhankelijke artsen. Zij maken van in beslag genomen gegevens een verslag, dat anonimiseren ze en dat gaat naar de overheidsinstellingen.”

Met dit plan is echter nog nooit iets gedaan. “Sinds 1 januari 2017 zijn zij in de lucht, maar ze zijn nog nooit ingezet door het Openbaar Ministerie.”

Britse toezichthouder ICO ontvangt recordaantal meldingen datalekken. Met name medische sector

De Britse Autoriteit Persoonsgegevens ICO meldt in zijn jaarverslag een recordaantal meldingen van datalekken te hebben ontvangen van getroffen organisaties.

Het aantal datalekken dat door organisaties zelf is gemeld is met 29% gestegen van 2 447 in 2017 naar 3 156 in 2018.

Op grond van het GDPR zijn organisaties verplicht ernstige datalekken te melden bij de toezichthouder.

In juni, na de inwerkingtreding van het GDPR, ontving het ICO 1 700 kennisgevingen, een sterke stijging in vergelijking met de vorige niveaus (ongeveer 360-390 kennisgevingen van inbreuken per maand).

De sector die het grootste aantal inbreuken meldde, was de gezondheidszorg, die volgens het vandaag gepubliceerde jaarverslag van het ICO 37% van alle gevallen uitmaakt.

Het ICO exploiteert een telefoonlijn voor het melden van datalekken. De telefoonlijnen werken van maandag tot vrijdag van 21.00 tot 17.00 uur.

Organisaties kunnen ook gebruik maken van een online formulier dat beschikbaar is op de ICO-website.

Ze kunnen ook hun eigen formulieren gebruiken, maar het ICO moedigt het gebruik van het ICO-formulier aan om ervoor te zorgen dat alle nodige informatie wordt verzonden.

Het ICO zegt dat ze niet willen dat organisaties kleine incidenten melden. Het is de bedoeling dat elk verslag in behandeling wordt genomen op de dag dat het wordt ontvangen of zeer snel daarna.

Ook cyberincidenten maken deel uit van de toename van het aantal meldingen, dit jaar 361.

Je kunt het ICO-jaarverslag hier downloaden.

Nationale Ombudsman doet onderzoek naar uitwisseling persoonsgegevens binnen overheid

Niet alleen de Autoriteit Persoonsgegevens, maar ook de Nationale ombudsman doet onderzoek naar de verwerking van persoonsgegevens.

De ombudsman heeft bekendgemaakt een onderzoek te zijn begonnen naar de manier waarop de overheid om gaat met persoonsgegevens van burgers.

De focus van de Nationale Ombudsman ligt op de zogeheten ketenoverleggen tussen verschillende overheidsinstanties waarin gegevens van burgers worden gedeeld.

Aanvragen zorg

Het gaat bijvoorbeeld om gemeenten die burgers helpen bij een vraag om zorg of ondersteuning.

Wat mogen burgers van de overheid verwachten?

De vraag die in dit onderzoek centraal staat is: Wat mogen burgers van de overheid verwachten als het gaat om het bieden van maatwerk en dienstverlening in relatie tot het waarborgen en respecteren van de privacy?

Ketenoverleg ten behoeve van het oplossen of voorkomen van problemen voor de burger en het bieden van maatwerk, vindt de ombudsman een goede ontwikkeling.

Maar hij vindt het ook van belang dat het burgerperspectief binnen het ketenoverleg gewaarborgd is en dat de burger in kwestie betrokken is bij wat er met zijn of haar gegevens gebeurt.

Over het onderzoek

Dit onderzoek uit eigen beweging maakt deel uit van het onderzoeksprogramma van de Nationale ombudsman.

De ombudsman gaat voor het onderzoek in gesprek met burgers wiens gegevens binnen overheidsketens worden gedeeld.

Ook praat hij met overheidsinstanties die onderdeel uitmaken van ketenoverleggen. De ombudsman verwacht zijn onderzoek in december 2018 af te ronden.