Ook huisartsen moeten per 1 januari voldoen aan meldplicht datalekken

 
Ook huisartsen moeten per 1 januari voldoen aan meldplicht datalekken
Zijn persoonsgegevens vanuit uw huisartsenpraktijk onverhoopt in handen gekomen van personen die daar geen toegang toe mogen hebben? Dan bent u vanaf 2016 verplicht zo’n datalek te melden bij het College Bescherming Persoonsgegevens en aan de betrokken patiënt. Maar hoe stelt u een datalek vast en wat moet u doen als u dit overkomt? De LHV zet voor u de belangrijkste aandachtspunten op een rij.

Wat is een datalek?

Bij een datalek komen persoonsgegevens in handen van mensen die daar geen toegang toe mogen hebben, of  de gegevens worden ten onrechte vernietigd. Denk daarbij bijvoorbeeld aan het verliezen van een usb-stick, externe harde schijf of laptop met persoonsgegevens of patiëntendossiers. Maar het kan ook gaan om een inbraak op een server (hack) waarop deze gegevens staan. De risico’s zitten hem dus niet alleen in de technologische beveiliging van informatie, maar ook in de omgang van mensen met deze gegevens.

Tegelijkertijd geldt dat niet elke verlies van persoonsgegevens of elke zwakke plek in uw informatiebeveiliging ook daadwerkelijk een datalek is. Niet alle beveiligingsincidenten zijn dus reden tot melding. Het is dus zeer belangrijk dat helder is hoe u kunt vaststellen welke situatie zich heeft voorgedaan en hoe u dient te handelen.

Handvatten voor de praktijk

Om dat te verduidelijken heeft het CBP (College Bescherming Persoonsgegevens) afgelopen woensdag beleidsregels gepubliceerd. Deze beleidsregels geven handvatten voor de praktijk en gaan over: wat is wel of geen datalek, wanneer moet u melden, hoe moet u melden, hoe lang moet u informatie bewaren, etc. Deze beleidsregels zijn een zeer uitgebreid document. Gezien de ingang van de wet per 1 januari 2016 vinden wij dat deze beleidsregels erg kort dag zijn gepubliceerd. De LHV gaat deze beleidsregels in afstemming met de KNMG analyseren en kijken of we hier meer concrete handvatten uit kunnen halen voor de huisartsenpraktijk.

Boetes bij niet-naleving

Het CBP heet vanaf 1 januari Autoriteit Persoonsgegevens. Zij kan vanaf 2016 hoge boetes opleggen voor wie de wet niet nakomt. De hoogte van de boetes voor gegevens met betrekking tot de gezondheid van mensen kan oplopen tot wel € 810.000. Deze gegevens behoren namelijk tot de categorie zwaarst te beveiligen gegevens.

Hoe kunt u zich voorbereiden op de vernieuwde wet?

  • Contact met ICT-leveranciers
    Wilt u zeker weten of uw ICT-middelen zoals uw HIS en website) voldoen aan alle richtlijnen voor informatiebeveiliging, informeer dan bij uw leverancier hoe die de beveiliging van de gegevens heeft geregeld. Kijk ook wat er contractueel is geregeld over verantwoordelijkheid en aansprakelijkheid.
  • Website van het CBP
    De basisbron van informatie over de toepassing van de vernieuwde wet vormt natuurlijk de website van het CBP. Daar vindt u de wettekst, richtsnoeren en beleidsregels.
  •  Website en nieuwsberichten LHV
    De LHV houdt u via de website en nieuwsberichten op de hoogte van de verdere ontwikkelingen van de wet en in het algemeen ten aanzien van informatiebeveiliging.
  • Website KNMG
    De KNMG gaat in op de nieuwe wet en heeft een dossier Informatiebeveiliging in de zorg, met informatie over bescherming van persoons-/ patiëntgegevens en de richtlijnen rondom gegevensuitwisseling in de zorg. 
  • Cursus Informatiebeveiliging LHV Academie
    De LHV Academie biedt huisartsen een cursus Informatiebeveiliging aan. Deze cursus leert u hoe om te gaan met informatiebeveiliging in de huisartsenpraktijk en welke maatregelen u moet en kunt treffen. De praktijkwijzer Informatiebeveiliging in de huisartsenpraktijk van het NHG vormt een van de bouwstenen van de cursus. De eerstvolgende sessie van deze cursus is op 29 maart 2016. Deze cursus kan ook op aanvraag worden gegeven. Wilt u bijvoorbeeld dat deze cursus binnen uw hagro wordt gegeven, dan kan dat. Neemt u dan contact op met de LHV Academie via academie@lhv.nl of 085 04 80 018.

Tips en aandachtspunten vindt u tevens in dit artikel uit SynthesHIS