Hoewel zorginstellingen in Nederland veel privacygevoelige gegevens in bezit hebben, zijn de instellingen onvoldoende op de hoogte hoe zij deze data moeten beveiligen. De meerderheid is niet bekend met de nieuwe wet- en regelgeving, blijkt uit een enquête van BDO onder 55 zorginstellingen.
Privacywet- en regelgeving worden steeds meer aangescherpt en staan nadrukkelijk in de maatschappelijke belangstelling. Daarom heeft BDO zorginstellingen bevraagd over verschillende aspecten van databeveiliging. In de periode januari tot en met april 2015 hebben respondenten van 55 instellingen uit diverse zorgsectoren meegewerkt aan een uitgebreide informatiebeveiligingsscan. De uitkomsten zijn samengevat in een rapport.
Databeveiliging
Vanwege toenemende impact van IT heeft de Europese Commissie besloten dat de huidige richtlijn van de privacyverordening moet worden aangepast. De verwachting is dat de nieuwe verordening in de loop van 2016 wordt goedgekeurd door het parlement. Daarmee wordt de verordening ook rechtstreeks van kracht in Nederland. Het voorstel bevat nieuwe en strengere privacyregels. Ook kunnen er boetes worden opgelegd die oplopen tot 100 miljoen euro als organisaties niet voldoen.
Van de respondenten heeft niet meer dan 40 procent inhoudelijke kennis over deze aanstaande verordening. Van dat percentage hebben alle zorginstellingen één of meer maatregelen genomen om zich hierop voor te bereiden. “Dat is niet voor niets. Als zorginstellingen niet voldoen aan deze strengere regels dan kunnen zij in het ergste geval hun toelating verliezen. Dat betekent dat een instelling dan geen zorg meer mag bieden die bijvoorbeeld voor vergoeding op grond van de Zorgverzekeringswet of de Wet langdurige zorg in aanmerking komt”, stelt Robert van Vianen, één van de onderzoekers en tevens partner bij BDO.
Meldplicht datalekken
Wanneer er sprake is van een datalek en persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dan moet dat volgens de meldplicht datalekken direct gemeld worden aan het College bescherming persoonsgegevens (CBP). Slechts 38 procent van de respondenten is bekend met de werking van deze meldplicht. Van deze 38 procent heeft nog geen een derde maatregelen getroffen om aan deze wet te voldoen. “Een verontrustende uitkomst”, stelt Frank van der Lee, partner bij BDO en als consultant betrokken bij de BDO Branchegroep Zorg, “want het niet naleven van de meldplicht gaat voor nog grotere financiële risico’s zorgen.”
Verantwoordelijkheid
Uit het onderzoek blijkt dat de verantwoordelijkheid voor informatiebeveiliging op verschillende niveaus is belegd in de organisatie: 49 procent bij het hoogste orgaan, directie of raad van bestuur, en in 44 procent van de gevallen bij de IT-verantwoordelijke. En dat terwijl de norm voor informatiebeveiliging in de zorg (de zogenoemde NEN 7510) heel duidelijk is; de directie is niet alleen op papier verantwoordelijk, maar moet ook het beleid actief monitoren, aanscherpen en goedkeuren.
Beleid
Ook op het gebied van informatiebeveiligingsbeleid is er ruimte voor verbetering. Slechts 44 procent van de respondenten geeft aan dat er een helder geïmplementeerd beleid is voor alle medewerkers en relevante derden. Zo’n 15 procent van de ondervraagden zegt daarmee bezig te zijn. Goed nieuws is er ook: alle ondervraagde zorginstellingen hebben maatregelen getroffen om te voorkomen dat internetcriminelen privacygevoelige informatie in handen kunnen krijgen.
Bron: Zorginstellingen