Zorginstellingen in Nederland zijn grootverwerkers van privacygevoelige gegevens, maar de meerderheid geeft aan niet bekend te zijn met relevante (nieuwe) wet- en regelgeving. Ook lopen zorgorganisaties risico’s omdat informatiebeveiliging nog te vaak niet de kerntaak is van bestuurders of directie (51 procent) en niet of onvoldoende informatiebeveiligingsbeleid doorgevoerd is (56 procent).
Dit blijkt uit een enquête van BDO onder 55 zorginstellingen over verschillende aspecten van informatiebeveiliging. Een zorgelijke ontwikkeling, vinden de onderzoekers van het accountancy- en adviesbureau. Privacywet- en regelgeving worden steeds meer aangescherpt en staan nadrukkelijk in de maatschappelijke belangstelling.
Europese privacy-verordening
Vanwege toenemende impact van IT heeft de Europese Commissie besloten dat de huidige richtlijn van de privacy-verordening moet worden aangepast. De verwachting is dat de nieuwe verordening in de loop van 2016 wordt goedgekeurd door het parlement. Daarmee wordt de verordening ook rechtstreeks van kracht in Nederland. Het voorstel bevat nieuwe en strengere privacy-regels. Ook kunnen er boetes worden opgelegd die oplopen tot 100 miljoen euro als organisaties niet voldoen.
Van de respondenten heeft niet meer dan 40 procent inhoudelijke kennis over deze aanstaande verordening. Van dat percentage hebben alle zorginstellingen één of meer maatregelen genomen om zich hierop voor te bereiden. “Dat is niet voor niets. Als zorginstellingen niet voldoen aan deze strengere regels dan kunnen zij in het ergste geval hun toelating verliezen”, zegt Robert van Vianen, één van de onderzoekers en tevens partner bij BDO. “Dat betekent dat een instelling dan geen zorg meer mag bieden die bijvoorbeeld voor vergoeding op grond van de Zorgverzekeringswet of de Wet langdurige zorg in aanmerking komt.”
Meldplicht datalekken
Wanneer er sprake is van een datalek en persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dan moet dat volgens de meldplicht datalekken direct gemeld worden aan het College bescherming persoonsgegevens (CBP). Het kabinet heeft deze meldplicht recent verder aangescherpt, met name door het CBP de bevoegdheid te geven aanzienlijk hogere boetes te kunnen opleggen. Dit kan oplopen tot 810.000 euro of, als dat niet passend is, 10 procent van de jaaromzet.
Slechts 38 procent van de respondenten is bekend met de werking van deze meldplicht. Van deze 38 procent heeft nog geen derde maatregelen getroffen om aan deze wet te voldoen. “Een verontrustende uitkomst”, stelt Frank van der Lee, partner bij BDO en als consultant betrokken bij de BDO Branchegroep Zorg, “want het niet naleven van de meldplicht gaat voor nog grotere financiële risico’s zorgen.”
