Het College bescherming persoonsgegevens (CBP) legt vier ziekenhuizen een last onder dwangsom op, omdat het niveau van informatiebeveiliging niet voldoet aan de daarvoor geldende norm. Hierdoor handelen deze ziekenhuizen in strijd met de Wet bescherming persoonsgegevens (Wbp). Dit heeft het CBP maandag bekend gemaakt.
Vier ziekenhuizen
Het betreft Ommelander Ziekenhuis Groep, MC/Lelystad, Medisch Spectrum Twente en het Rijnland Ziekenhuis. Bij het vijfde aangesproken ziekenhuis, het Diaconessenhuis Leiden, heeft het CBP besloten om af te zien van het opleggen van een last onder dwangsom, onder meer omdat dat ziekenhuis inmiddels wel beschikt over een adequate risicoanalyse. Het CBP rekent de ziekenhuizen vooral aan dat het ontbreekt aan kennis over waar men welke risico’s loopt op het gebied van informatiebeveiliging. Dit namelijk ernstige gevolgen hebben voor de kwaliteit van de zorg en de privacy van patiënten, vindt het CBP.
Onderzoek naar informatiebeveiliging
Het CBP, dat toezicht houdt op de naleving van de wettelijke regels inzake de bescherming van persoonsgegevens, heeft in samenwerking met de Inspectie voor de Gezondheidszorg (IGZ) in 2007onderzoek gedaan in twintig ziekenhuizen naar het niveau van informatiebeveiliging. Naar aanleiding hiervan kregen de ziekenhuizen tot 15 oktober 2008 de tijd om een plan van aanpak op te stellen om de beveiliging op orde te brengen. Een actuele risicoanalyse van de informatiebeveiliging moest onderdeel uitmaken van het plan van aanpak. Drie van de vier ziekenhuizen hebben dit nagelaten. “Als je niet weet waar risico’s gelopen worden, kun je ook geen serieuze informatiebeveiliging ontwikkelen. Het ontbreken van een goede risicoanalyse is voor ons mede aanleiding om een gele kaart uit te delen in de vorm van een last onder dwangsom. Als de ziekenhuizen hun informatiebeveiliging niet binnen drie maanden op orde brengen, volgt een rode kaart en innen we de dwangsom”, aldus CBP-voorzitter Jacob Kohnstamm.
Hoogste beveiligingsnormen
Omdat in ziekenhuizen sprake is van verwerking van persoonsgegevens betreffende de gezondheid, moet de beveiliging van deze gegevens aan de hoogste normen voldoen. In 2007 heeft het CBP samen met IGZ onderzoek gedaan naar de informatiebeveiliging. Geen van de onderzochte ziekenhuizen voldeed aan de norm voor de informatiebeveiliging de zogeheten NEN 7510. In juli 2008 heeft het CBP de ziekenhuizen al laten weten dat ze voornemens was om handhavend op te treden indien de ziekenhuizen onvoldoende maatregelen zouden nemen om de informatiebeveiliging te verbeteren. Vier van de twintig onderzochte ziekenhuizen hebben nog steeds onvoldoende maatregelen getroffen om de informatiebeveiliging te verbeteren. Het CBP heeft hen daarom nu een last onder dwangsom opgelegd.
Ontbrekende voorwaarden
De last onder dwangsom verschilt per ziekenhuis. Het bedrag kan oplopen tot 7000 euro per dag. Dat risico loopt MC Lelystad. Behalve het niet uitvoeren van een juiste risicoanalyse in de informatiebeveiliging, ontbreekt ook het opstellen van een rapportage van de risicoanalyse informatiebeveiliging, het vaststellen van een functieprofiel voor een informatiebeveiligingsfunctionaris, het aanstellen van een informatiebeveiligingsfunctionaris en het aanwijzen van een portefeuillehouder informatiebeveiliging binnen de Raad van Bestuur.
