Rondslingerende patiëntformulieren of onbeveiligde USB-sticks met medische informatie vormen een gevaarlijk risico voor zorginstellingen. Dit soort ogenschijnlijke kleinigheden kunnen desastreuze datalekken tot gevolg hebben.
Door de komst van de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG) gaat het excuus ‘waar mensen werken, worden fouten gemaakt’ niet langer op. Bescheiden missers kunnen afgestraft worden met hoge boetes. Hoe vertalen zorginstanties de abstracte AVG-wet in concrete richtlijnen voor medewerkers?
De AVG stelt allerlei eisen aan zorginstanties om de privacy van de patiënt te waarborgen. Op papier kunnen organisaties aan alle eisen voldoen, maar uiteindelijk moeten de richtlijnen ook zodanig geïmplementeerd worden dat het voor medewerkers simpelweg niet mogelijk is om de privacy van patiënten in gevaar te brengen. Het excuus ‘mensen maken fouten’ is niet langer afdoende.
Datalekken
Voormalig minister van Veiligheid en Justitie, Van der Steur, gaf in 2017 al aan dat menselijke fouten de grootste oorzaak zijn van datalekken. De minister reageerde toentertijd op Kamervragen over de ruim 300 datalekken die in één jaar door ziekenhuizen werden gemeld. Het lijkt vooral te gaan om nalatigheid, zoals een e-mail met persoonsgegevens die bij de verkeerde ontvanger terechtkomt, laptops waarop persoonsgegevens staan die worden gestolen of usb-sticks met patiëntgegevens die kwijtraken.
De tijd waarin je je als instantie kon beroepen op het feit dat fouten maken menselijk is, is vanaf de ingang van de privacywet op 25 mei definitief voorbij. Organisaties dienen de volledige verantwoordelijkheid te dragen voor de privacy van de patiënt.
Verantwoordelijk
Hoewel een organisatie als rechtsorgaan de verantwoordelijkheid draagt, is een organisatie niet in staat om deze ook daadwerkelijk te voelen, in tegenstelling tot de medewerkers. Iedere medewerker moet dan ook beseffen dat zijn of haar gedrag de privacy van de patiënt in gevaar kan brengen. Om medewerkers dit verantwoordelijkheidsgevoel ook daadwerkelijk mee te geven, zijn zorginstanties verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. Dit is een persoon die medewerkers informeert over de richtlijnen van de AVG en deze vertaalt in concrete gedragsregels.
Daarnaast controleert de FG of de nieuwe wet wordt nageleefd en zorgt hij of zij dat de richtlijnen daadwerkelijk geborgd worden in de processen binnen de organisatie. Het gaat dan onder andere over de concrete risico’s binnen organisaties, zoals het werken met wachtwoorden, het afsluiten van ruimtes met computers en het niet laten slingeren van opslagapparaten met persoonsgegevens zoals USB-sticks.
USB-sticks
Het is voor deze functionarissen verleidelijk om processen dicht te timmeren en medewerkers allerlei regels op te leggen, maar het is een stuk efficiënter om bepaald nalatig gedrag onmogelijk te maken. Als het gaat om bijvoorbeeld USB-sticks, kun je allerlei regels opleggen aan medewerkers waarin wordt afgesproken dat deze in een beveiligde la moeten worden opgeborgen na gebruik. Dit is een duidelijke regel, maar niet waterdicht.
Het is veiliger om te kiezen voor beveiligde USB-sticks. Jan van der Lubbe, hoofd van het Information, Security & Privacy Lab van de Technische Universiteit in Delft, beveelt een USB-stick met dubbele beveiliging aan: eentje met een pincode die de gegevens op de stick zelf versleutelt en weer ontcijfert. Als de gebruiker een aantal malen de verkeerde code intoetst, wist de USB-stick zichzelf.
Bedrijfsrisico
Soortgelijke maatregelen zorgen ervoor dat nalatige fouten van medewerkers simpelweg onmogelijk worden gemaakt. In eerste instantie lijken dit allemaal kleine onopzettelijke vergissingen, maar ze vormen toch een significant bedrijfsrisico, blijkt uit onderzoek van Google. Voor het onderzoek werden 297 USB-sticks op verschillende tijdstippen en locaties binnen een universiteitscampus achtergelaten. Van alle verspreidde USB-sticks is 98 procent meegenomen door iemand die niet de eigenaar is en van alle meegenomen USB-sticks is minstens 45 procent aangesloten waarbij de vinder aanwezige bestanden heeft geopend.
Door de AVG-richtlijnen zodanig in de organisatie te borgen dat nalatig gedrag simpelweg onmogelijk is, worden menselijke fouten zoveel mogelijk uitgesloten. Een goed streven, aangezien de AVG geen boodschap heeft aan ‘we blijven allemaal mensen’. De boetes voor het niet naleven van deze AVG lopen op tot 20 miljoen euro en dat gaat een organisatie voelen. En de nalatige medewerker? Die stapt om 17.00 uur gewoon weer in de auto naar huis. De organisatie is dus aan zet om ervoor te zorgen dat menselijke vergissingen in de kiem gesmoord worden. Niet door een wirwar aan regels op te leggen, maar door het werk van medewerkers zodanig te organiseren dat de werkzaamheden simpelweg niet mis kúnnen gaan.
Paul Figini
AVG-consultant voor onder meer Kingston Digital
