Vanaf 1 januari 2016 geldt voor bedrijven en instellingen een meldplicht wanneer digitale informatie met persoonsgegevens ongewenst buiten de organisatie terechtkomt. Het College Bescherming persoonsgegevens (CPB) moet daarvan onmiddellijk op de hoogte worden gesteld. Blijft de melding achterwege, dan kan CPB de betreffende organisatie een boete opleggen. Grote zorginstellingen, waaronder ziekenhuizen, zijn in staat zelf maatregelen te nemen. Zorgaanbieder met een geringe omvang moeten ook aan de wet meldplicht datalekken voldoen, maar hebben doorgaans te weinig financiële middelen om dat zelf goed te regelen.
Meldplicht
Qfast heeft een dienst ontwikkeld waarmee zorgverleners de monitoring van de digitale data met persoonsgegevens conform de richtlijnen van CPB kunnen laten regelen. Om datalekken te voorkomen, moeten bedrijven, zorginstellingen en overheden die persoonsgegevens gebruiken, deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Voor het melden van datalekken is het noodzakelijk dat organisaties hun ict-voorzieningen permanent monitoren. Van der Zwaan: ‘De zorgverleners waarmee wij gesproken hebben waren zich allen niet bewust van het feit dat zij hun digitale patiëntendossiers afdoende moeten beveiligen. Wij kunnen de systemen scannen en met de bevindingen in het rapport kan in het geval van een datalek tijdig melding worden gedaan bij CBP. Op dit moment voeren we een pilot project uit. Vanaf 1 januari 2016 is de dienst operationeel.’