Hoewel sinds afgelopen week zorginstellingen beboet kunnen worden bij het lekken van data, staat het onderwerp ‘databeveiliging’ bij instellingen nog veel te laag op de agenda, zo blijkt uit het nieuwe nummer van Lucide.
De Eerste Kamer keurde op 26 mei de wetswijziging Meldplicht Datalekken goed. En daarmee breidde het en passant de bestuurlijke boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP) flink uit. Elke organisatie die persoonsgegevens verzamelt, bewerkt of registreert, moet onder deze wetswijziging datalekken verplicht melden bij het CBP, en in bepaalde gevallen ook bij de betreffende personen wier gegevens gelekt zijn.
Vormden datalekken tot voor kort alleen een risico op aanzienlijke reputatieschade, onder deze wetswijziging kunnen bij falend beleid ook boetes worden opgelegd, tot maximaal 810 duizend euro. Bovendien kunnen bestuurders en managers bij falend ICT-beleid dat tot datalekken of diefstal heeft geleid, ook persoonlijk worden aangepakt.
Menselijke kant
Wie denkt dat dit gegeven in de zorg tot grootscheepse professionalisering in de omgang met data heeft geleid, heeft het mis, zo is te lezen in het nieuwe nummer van Lucide.
Op 8 juni publiceert BDO Accountants voor de eerste maal haar Informatiebeveiligingsscan Zorg, waaruit blijkt dat in de meeste zorgorganisaties het onderwerp databeveiliging is gedelegeerd naar de ICT-afdeling. Die voert netjes typische ICT-maatregelen als websitebeveiliging en passwordbeheer uit. Maar, zegt Julien Spronck, bij BDO verantwoordelijk voor de scan: “kijken we naar de menselijke kant van informatiebeveiliging – verpleger gooit dossiers in container; medewerkers loggen in met elkaars gegevens; specialist neemt dossiers in de auto mee naar huis – dan blijkt dat daar nauwelijks aandacht aan wordt besteed.”
Directieniveau
Juist die menselijke kant van databeveiliging, die in de zorg – waar veel verschillende individuen met patiëntgegevens omgaan – van groot belang is, vraagt een organisatiebrede aanpak, vanuit de directie. Spronck: “En die mist bijna overal.”
Toen BDO zijn onderzoek deed, was bovengenoemde wetswijziging nog in voorbereiding. Dat geldt nu ook nog voor de nieuwe wetgeving op het gebied van digitaal gegevensbeheer die vanuit de Europese Unie onderweg in en waar nog veel hogere boetes uit voort zullen gaan vloeien. Gevraagd in hoeverre zorginstellingen zich op de aankomende wetgeving aan het voorbereiden waren, antwoordde 40 procent van de respondenten daar bevestigend op.
Het zomernummer van Lucide gaat over data in de zorg. Hier leest u een uitgebreid verhaal over databeveiliging en wat u er gezien het strenge nieuwe regime aan dient te doen.
