AppleMark
Een nieuwe Europese privacyverordening kan zorginstellingen nog voor een flinke opgave stellen. Terwijl zorginstellingen verantwoordelijk zijn voor de opslag, verwerking en uitwisseling van grote hoeveelheden privacy gevoelige informatie, lijken zij onvoldoende bekend met de nieuwe wetgeving en lijkt informatiebeveiliging bij veel directies en besturen geen prioriteit te zijn.
Vanwege toenemende impact van IT heeft de Europese Commissie besloten dat de huidige richtlijn van de privacy-verordening moet worden aangepast. De verwachting is dat de nieuwe verordening in de loop van 2016 wordt goedgekeurd door het parlement. Daarmee wordt de verordening ook rechtstreeks van kracht in Nederland. Het voorstel bevat nieuwe en strengere privacy-regels.
Robert van Vianen, expert op het gebied van informatiebeveiliging en lid van de BDO Branchegroep Zorg, heeft de grootste gevolgen van de nieuwe privacyverordening op een rij gezet.
100 miljoen
Ten eerste kunnen in de toekomst boetes tot 100 miljoen euro of 5 procent van de wereldwijde jaarlijkse omzet van een onderneming worden opgelegd bij het niet voldoen aan de regelgeving. In het ergste geval kan een zorginstelling haar licentie verliezen.
Zowel de medewerker die informatie verwerkt als de eindverantwoordelijke moeten alle documenten die betrekking hebben op de verwerking van persoonsgegevens bewaren en op verzoek van de toezichthouder kunnen overleggen. Daarom moet iedere organisatie die gedurende 12 maanden persoonsgegevens verwerkt van meer dan vijfduizend mensen of überhaupt met privacygevoelige informatie werkt, ook iemand moeten aanstellen voor gegevensbescherming, stelt Van Vianen.
Wissen
Medewerkers die pricacygevoelige informatie verwerken moeten de juiste technische en organisatorische vaardigheden hebben. Wanneer organisaties hier niet aan kunnen voldoen, kan de toezichthouden iemand aanstellen. Zorginstellingen moeten altijd kunnen aantonen dat zij toestemming hebben om de informatie te bewaren en te gebruiken. Betrokkenen hebben ook het recht om van de verantwoordelijke te vragen om al hun persoonsgegevens te wissen.
Onbekend
Uit onderzoek van BDO eerder dit jaar bleek dat een meerderheid van zorginstellingen niet bekend is met relevante (nieuwe) wet- en regelgeving. Zorgorganisaties lopen risico’s omdat informatiebeveiliging nog te vaak niet de kerntaak is van bestuurders of directie (51 procent) en niet of onvoldoende informatiebeveiligingsbeleid doorgevoerd is (56 procent).
Van de respondenten heeft niet meer dan 40 procent inhoudelijke kennis over deze aanstaande verordening. Van dat percentage hebben alle zorginstellingen één of meer maatregelen genomen om zich hierop voor te bereiden. “Dat is niet voor niets. Als zorginstellingen niet voldoen aan deze strengere regels dan kunnen zij in het ergste geval hun toelating verliezen”, zegt Robert van Vianen, één van de onderzoekers en tevens partner bij BDO. “Dat betekent dat een instelling dan geen zorg meer mag bieden die bijvoorbeeld voor vergoeding op grond van de Zorgverzekeringswet of de Wet langdurige zorg in aanmerking komt.”
Meldplicht datalekken
Wanneer er sprake is van een datalek en persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dan moet dat volgens de meldplicht datalekken direct gemeld worden aan het College bescherming persoonsgegevens (CBP). Het kabinet heeft deze meldplicht recent verder aangescherpt, met name door het CBP de bevoegdheid te geven aanzienlijk hogere boetes te kunnen opleggen. Dit kan oplopen tot 810.000 euro of, als dat niet passend is, 10 procent van de jaaromzet.
Slechts 38 procent van de respondenten bleek bekend met de werking van deze meldplicht. Van deze 38 procent heeft nog geen derde maatregelen getroffen om aan deze wet te voldoen. “Een verontrustende uitkomst”, stelde Frank van der Lee, partner bij BDO en als consultant betrokken bij de BDO Branchegroep Zorg, “want het niet naleven van de meldplicht gaat voor nog grotere financiële risico’s zorgen.”
