of 59045 LinkedIn

‘Naïviteit rond persoonsgegevens niet voorbehouden aan de zorg'

De Autoriteit Persoonsgegevens (AP) uitte maandag zijn zorgen over ‘regelmatig terugkerende signalen’ over patiëntdossiers, die onder ogen komen van medewerkers van zorginstellingen die daar niets mee te maken hadden.
Reageer

Het is zorgwekkend dat zo'n signaal kennelijk nog nodig is, reageert Pieter Lacroix, Managing Director Sophos Nederland op de open brief van de Autoriteit Persoonsgegevens deze week aan de Raden van Bestuur van zorginstellingen.

Toch is hij verheugd dat de discussie over de veiligheid van data breder wordt getrokken dan het IT-domein. “De Autoriteit Persoonsgegevens richt zich hiermee tot het hoogste bestuursorgaan, en geeft daarmee een krachtig signaal af: de bescherming van persoonsgegevens is een verantwoordelijkheid voor de gehele organisatie.”

De Autoriteit Persoonsgegevens (AP) uitte maandag zijn zorgen over ‘regelmatig terugkerende signalen’ over patiëntdossiers, die onder ogen komen van medewerkers van zorginstellingen die daar niets mee te maken hadden. Hoewel onderzoek van de AP uitwijst dat de situatie inmiddels voldoet aan de wettelijke eisen, wijst de open brief er op dat de toezichthouder allerminst gerust is dat dat ook zo blijft.

Naïviteit komt vaker voor
“Voor de goede orde,” stelt Lacroix in zijn reactie, “dit is geen uniek probleem voor de zorg. Je kunt hooguit zeggen dat de hoeveelheid, en de gevoeligheid van de persoonsgegevens in die branche erg hoog ligt. Maar wij hebben alle reden om aan te nemen dat de naïviteit van organisaties op dit gebied niet voorbehouden is aan de zorg.” Wat deze brief volgens Lacroix wel eens te meer aantoont, is dat de bescherming van data geen zaak is die alleen het externe verkeer aangaat. “Ook binnen organisaties bestaat de verplichting om te zorgen dat persoonsgegevens niet worden ingezien door ongeautoriseerd personeel. Dat betekent dat voor de toegang tot deze gegevens helder en controleerbaar beleid moet worden opgesteld – en dat de hele organisatie van het belang van het navolgen van dat beleid op de hoogte moet worden gebracht.”

Forse boete mogelijk
Lacroix wijst er nogmaals op dat uitstel van maatregelen om de organisatie voor te bereiden op de meldplicht datalekken een groot risico met zich meebrengt. "De Autoriteit Persoonsgegevens kan al bij geringe verdenking van ziekenhuizen vereisen dat zij de beveiliging van hun IT-infrastructuur inzichtelijk maken. Daarop kan een berisping volgen of bij ernstige tekortkomingen zelfs een boete tot 820.000 euro.”

Bron: Thijs Doorenbosch, Automatiseringgids

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.