Begin april 2018 berichtte EenVandaag dat tientallen medewerkers van een ziekenhuis ongeoorloofd hebben gekeken in het medisch dossier van BN'er Samantha de Jong, beter bekend als Barbie. Later bleek het niet om tientallen, maar om welgeteld 85 medewerkers te gaan. De Autoriteit Persoonsgegevens (AP), berichtte dat het een onderzoek is begonnen naar het ziekenhuis. In antwoord op Kamervragen stelde de minister voor Medische Zorg en Sport, Bruno Bruins: "De beveiliging van medische gegevens valt onder de verantwoordelijkheid van de ziekenhuizen zelf en de regels zijn streng en duidelijk." Maar hoe streng en duidelijk zijn de regels eigenlijk?
Nieuwe privacy regels
De berichtgeving over Barbie komt op een moment dat Nederland in de ban is van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Deze verordening is op 25 mei 2018 van toepassing geworden in de EU. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten van burgers, meer verantwoordelijkheden voor organisaties en stevige bevoegdheden voor onze privacywaakhond, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Beveiliging van de verwerking
De medische gegevens van Barbie en van miljoenen andere Nederlanders worden opgeslagen in elektronische patiëntendossiers, beter bekend als EPD's. Bij ongeoorloofde raadpleging van het EPD rijst de vraag of de betrokken zorgaanbieder de regels over beveiliging van de verwerking heeft nageleefd. Die regels zijn vastgelegd in art. 32 e.v. van de AVG. Daarin is bepaald dat "de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen" treffen "om een op het risico afgestemd beveiligingsniveau te waarborgen". Wat die maatrelen precies moeten inhouden als het om de beveiliging van het EPD gaat, maakt de AVG niet duidelijk.
Betekenis NEN-normen onder de AVG
Ik ben van mening dat zorgaanbieders aansluiting kunnen zoeken bij NEN-normen 7510, 7512 en 7513. De Wbp bevatte namelijk een vergelijkbare verplichting als art. 32 AVG. Die verplichting was uitgewerkt in het Besluit elektronische gegevensverwerking door zorgaanbieders, dat zorgaanbieders verplichtte om de hiervoor genoemde NEN-normen na te leven. De NEN-normen geven regels en beheersmaatregelen over onder meer autorisaties en logging.
Wat leren de NEN-normen ons over deze casus? Het autorisatiebeleid van het betrokken ziekenhuis was mogelijk te ruim. De 85 medewerkers hadden geen rechtstreekse behandelrelatie met Barbie. Toch konden zij in haar dossier. Dankzij logging kon het ziekenhuis wel precies aanwijzen wie in het dossier van Barbie had gesnuffeld. Overigens heeft het ziekenhuis het onderzoek van de AP niet afgewacht maar proactief zelf een heel pakket aan maatregelen aangekondigd om de betreffende medewerkers aan te pakken en herhaling te voorkomen.
Aan de casus die de aanleiding vormt voor dit blog zitten ook andere juridische aspecten. Over de arbeidsrechtelijke aspecten kunt u verder lezen in het blog van Daphne van Zelst.
Juridisch advies of meer informatie?
Heeft u vragen naar aanleiding van dit blog? Neem dan contact op met Hedwig den Herder.
Dit blog is onderdeel van de nieuwsbrief Zorg.
Begin april 2018 berichtte EenVandaag dat tientallen medewerkers van een ziekenhuis ongeoorloofd hebben gekeken in het medisch dossier van BN'er Samantha de Jong, beter bekend als Barbie. Later bleek het niet om tientallen, maar om welgeteld 85 medewerkers te gaan. De Autoriteit Persoonsgegevens (AP), berichtte dat het een onderzoek is begonnen naar het ziekenhuis. In antwoord op Kamervragen stelde de minister voor Medische Zorg en Sport, Bruno Bruins: "De beveiliging van medische gegevens valt onder de verantwoordelijkheid van de ziekenhuizen zelf en de regels zijn streng en duidelijk." Maar hoe streng en duidelijk zijn de regels eigenlijk?
Nieuwe privacy regels
De berichtgeving over Barbie komt op een moment dat Nederland in de ban is van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Deze verordening is op 25 mei 2018 van toepassing geworden in de EU. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten van burgers, meer verantwoordelijkheden voor organisaties en stevige bevoegdheden voor onze privacywaakhond, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Beveiliging van de verwerking
De medische gegevens van Barbie en van miljoenen andere Nederlanders worden opgeslagen in elektronische patiëntendossiers, beter bekend als EPD's. Bij ongeoorloofde raadpleging van het EPD rijst de vraag of de betrokken zorgaanbieder de regels over beveiliging van de verwerking heeft nageleefd. Die regels zijn vastgelegd in art. 32 e.v. van de AVG. Daarin is bepaald dat "de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen" treffen "om een op het risico afgestemd beveiligingsniveau te waarborgen". Wat die maatrelen precies moeten inhouden als het om de beveiliging van het EPD gaat, maakt de AVG niet duidelijk.
Betekenis NEN-normen onder de AVG
Ik ben van mening dat zorgaanbieders aansluiting kunnen zoeken bij NEN-normen 7510, 7512 en 7513. De Wbp bevatte namelijk een vergelijkbare verplichting als art. 32 AVG. Die verplichting was uitgewerkt in het Besluit elektronische gegevensverwerking door zorgaanbieders, dat zorgaanbieders verplichtte om de hiervoor genoemde NEN-normen na te leven. De NEN-normen geven regels en beheersmaatregelen over onder meer autorisaties en logging.
Wat leren de NEN-normen ons over deze casus? Het autorisatiebeleid van het betrokken ziekenhuis was mogelijk te ruim. De 85 medewerkers hadden geen rechtstreekse behandelrelatie met Barbie. Toch konden zij in haar dossier. Dankzij logging kon het ziekenhuis wel precies aanwijzen wie in het dossier van Barbie had gesnuffeld. Overigens heeft het ziekenhuis het onderzoek van de AP niet afgewacht maar proactief zelf een heel pakket aan maatregelen aangekondigd om de betreffende medewerkers aan te pakken en herhaling te voorkomen.
Aan de casus die de aanleiding vormt voor dit blog zitten ook andere juridische aspecten. Over de arbeidsrechtelijke aspecten kunt u verder lezen in het blog van Daphne van Zelst.
Juridisch advies of meer informatie?
Heeft u vragen naar aanleiding van dit blog? Neem dan contact op met Hedwig den Herder.
Dit blog is onderdeel van de nieuwsbrief Zorg.