Beveiligingsrisico’s verminderen en verzekeren

 
Als huisarts heeft u veel gevoelige en vertrouwelijke gegevens van uw patiënten in de praktijk. U heeft een verantwoordelijkheid om hier vertrouwelijk mee om te gaan en deze voldoende te beveiligen. Het allerbelangrijkste is om preventieve beveiligingsmaatregelen te treffen. Daarmee verkleint u de risico’s die digitaal werken met zich meebrengen. We zien dat er verschillende verzekeringsmaatschappijen cyber- en datariskverzekeringen aanbieden. Het is niet verplicht om zo’n verzekering af te sluiten. Overweegt u toch om zo’n verzekering af te sluiten? Dan geven we u graag een aantal punten ter overweging mee.

Beveiligingsmaatregelen

Allereerst is het van belang dat u ervoor zorgt dat binnen de praktijk goede interne beschermingsmaatregelen zijn getroffen om risico’s op cyberincidenten tot een minimum te beperken. Voorkomen is immers beter dan genezen.

Denk hierbij aan bewustwording onder medewerkers in de praktijk. Besteed bijvoorbeeld aandacht aan het signaleren van phishing mails, het regelmatig veranderen van wachtwoorden en het locken van de computer wanneer je even wegloopt. Zorg er daarnaast voor dat uw ICT-dienstverlener het netwerk beveiligt en er regelmatig back-ups worden gemaakt. Vergeet ook niet uw wifi-verbinding te beveiligen. 

Let daarnaast op bij welke leveranciers/verwerkers u diensten afneemt en welke beveiligingsmaatregelen zij treffen. Het is uw verantwoordelijkheid met leveranciers samen te werken die voldoende passende beveiligingsmaatregelen hebben genomen. Hier maakt u afspraken over in een verwerkersovereenkomst. Mocht de verwerker zich niet aan die afspraken houden en hierdoor een datalek ontstaat, kunt u hier niet in alle gevallen aansprakelijk voor worden gehouden. Met de checklist verwerkersovereenkomst van de LHV kunt u nagaan of een verwerkersovereenkomst voldoet aan de privacywet AVG.

Cyber- en datariskverzekering

Overweegt u een cyber- en datariskverzekering af te sluiten? Kijk dan eerst goed naar de polisvoorwaarden en de situaties en omstandigheden waarvan de dekking is uitgesloten. En naar de hoogte van het eigen risico van de dekking. Bij schade zijn de kosten dan minstens de premie en het eigen risico. Verder is ook de hoogte van de retentietijd van belang. Dat is het aantal uren dat voor uw eigen rekening komt na het melden van de bedrijfsschade.

De verzekering biedt vaak professionele bijstand bij een digitale calamiteit, zoals een datalek of hack. Deze bijstand kunt u wanneer u geen verzekering heeft uiteraard tegen betaling ook zelf inschakelen. Daarnaast biedt de verzekering in veel gevallen professionele bijstand bij cyber-afpersing.

In sommige gevallen vallen ook opgelegde boetes onder de verzekering, maar het is maar de vraag of een boeterisico wel te verzekeren is. Dit is een ethische kwestie, waarbij er juristen zijn die van mening zijn dat dergelijke afspraken nietig zijn en in strijd met de goede zeden. Hun idee is dat als je een boete kunt verzekeren, er daarmee geen preventieve werking meer van uit gaat.

Tenslotte biedt de verzekering veelal ook dekking tegen schadevergoedingen bij datalekken (van patiënten). De omvang van dergelijke door de rechter toegekende schadevergoedingen bij het lekken van persoonlijke gegevens is over het algemeen – voor zover ons nu bekend - slechts beperkt. Tegelijkertijd is het natuurlijk wel zo dat wanneer er sprake is van een massaal lek, vele kleine schadevergoedingen kunnen optellen tot een aanzienlijk bedrag.

Maak dus een afweging van de mogelijke cyberrisico’s die u loopt, wat u en uw leveranciers kunnen doen om die te verminderen, en de kosten die een verzekering met zich meebrengen (inclusief het eigen risico) en de mate waarin een mogelijke schade vergoed zal worden.

Vragen?

Heeft u nog vragen over dit onderwerp? Neemt u dan contact op met de LHV via jz@lhv.nl.

Bekijk ook: