AppleMark
Zorginstellingen zijn niet of nauwelijks bekend met de nieuwe juridische spelregels voor de omgang met digitale data en privacygevoelige gegevens. Zo kent nog geen veertig procent de meldplicht datalekken. Van dit percentage heeft nog geen derde passende maatregelen getroffen.
Eén en ander komt naar voren uit onderzoek van accountantsbureau BDO onder vijfenvijftig zorginstellingen. Aanleiding voor dit onderzoek is het aangescherpte juridische kader rond de verwerking van privacygevoelige informatie op zowel nationaal als internationaal niveau.
Vanwege toenemende impact van IT heeft de Europese Commissie besloten dat de huidige richtlijn van de privacy-verordening moet worden aangepast. Naar verwachting keurt het Nederlandse parlement de nieuwe verordening in de loop van 2016 goed. Daarmee wordt de verordening ook rechtstreeks van kracht in Nederland.
Het voorstel bevat nieuwe en strengere privacy-regels, die op veel vlakken verder gaat dan de huidige Wet bescherming persoonsgegevens. Zo kunnen er boetes worden opgelegd die oplopen tot 100 miljoen euro of 5 procent van de wereldwijde jaarlijkse omzet van een onderneming als organisaties niet voldoen, waar dit nu nog maximaal 4500 euro is. In het ergste geval kan een zorginstelling haar licentie verliezen.
Soft controls
Uit de BDO-rondgang komt naar voren dat zes van de tien respondenten geen inhoudelijke kennis heeft van de aangescherpte Europese spelregels. De resterende organisaties hebben weliswaar één of meer maatregelen genomen om zich voor te bereiden, maar hierbij valt op dat deze maatregelen vooral gericht zijn op de interne IT-kant en IT-leveranciers. “Dit is een signaal dat informatiebeveiliging primair als een IT-aangelegenheid wordt gezien”, concludeert Robert van Vianen, partner bij BDO. “Maatregelen ten aanzien van de soft controls, zoals awareness van medewerkers en een interne rol voor informatiebeveiliging, zijn aanzienlijk minder getroffen. Waar vooral behoefte aan bestaat is een intermediair tussen de RvB dan wel directie en de werkvloer, die de vertaalslag kan maken tussen het privacybeleid volgend uit de wet- en regelgeving naar de werkvloer en vice versa, waarbij operationele signalen worden vertaald naar beleid op organisatie breed niveau.”
Meldplicht
Naast nieuwe Europese spelregels heeft de zorgsector ook te maken met een recent door het kabinet aangescherpte ‘meldplicht datalekken’. Wanneer er sprake is van een datalek en persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dan zijn zorgaanbieders verplicht om dat direct te melden bij het College bescherming persoonsgegevens (CBP).
Verontrustend
Blijkens het BDO-onderzoek is slechts 38 procent van de zorginstellingen bekend met de werking van deze meldplicht. Van deze 38 procent heeft 28 procent maatregelen getroffen om aan deze wet te voldoen. Bij 62 procent is dit niet het geval, nog eens 10 procent weet niet of aanvullende maatregelen zijn getroffen. Een verontrustende uitkomst, vindt BDO-partner Frank van der Lee: “Het niet naleven van de meldplicht gaat voor nog grotere financiële risico’s zorgen.”
Vanaf 1 januari 2016 gaat het CBP op grond van de aangescherpte regels verder als de Autoriteit Persoonsgegevens (AP). Ook het boete-instrumentarium wordt verzwaard. De nieuwe autoriteit mag boetes tot 810 duizend euro opleggen of -als dat niet passend is- 10 procent van de jaaromzet.
