De toezichthouder benadrukt in haar brief dat het zorgvuldig omgaan met patiëntgegevens integraal deel uitmaakt van goede patiëntenzorg. ‘Vertrouwelijke omgang met patiëntgegevens is in de gezondheidszorg essentieel’, zegt Tomesen. ‘Net zo cruciaal als medicatieveiligheid of de kwaliteit van maaltijden. Mensen hebben recht op bescherming van hun persoonsgegevens.  Onzorgvuldigheid hierbij zou mensen bovendien kunnen afschrikken om tijdig hulp te vragen.’

Signalen
De AP richt haar vizier al sinds 2013 op de zorg. ‘Omdat we regelmatig signalen en vragen krijgen over de zorgsector. Bijvoorbeeld over patiëntendossiers die onder ogen zouden zijn gekomen van medewerkers die daar niets mee te maken hadden. We hebben naar aanleiding van deze signalen diepgaand onderzoek gedaan bij negen zorginstellingen. Inmiddels heeft de Autoriteit Persoonsgegevens geconstateerd dat de door de onderzochte zorginstellingen getroffen maatregelen voldoen aan de wettelijke vereisten. Het voorkomen van incidenten en het daadwerkelijk goed regelen van gecontroleerde toegang  tot patiëntgegevens bleek een complexe, maar niet onmogelijke opgave. Met deze brief onderstrepen we dat de bescherming van persoonsgegevens door heel de organisatie gedragen moet worden en aangejaagd door het bestuur.’  

Niet eenvoudig
Volgens Tomesen reageren de brancheorganisaties en zorginstellingen serieus en adequaat op de boodschap voor betere beveiliging. ‘Het is tegenwoordig vanzelfsprekend dat de beveiliging op orde moet zijn, daar is iedereen zich van bewust. Maar het is niet eenvoudig. Met de snelle ontwikkelingen rondom het delen van gegevens door steeds meer aanbieders is er blijvende aandacht nodig. Een zorginstelling moet bij de verwerking van persoonsgegevens voldoen aan de vereisten van de Wet bescherming persoonsgegevens (Wbp) en kan patiënten niet aan het risico blootstellen dat onbevoegden medische gegevens inzien. Natuurlijk moeten die gegevens wel altijd toegankelijk zijn voor medewerkers die betrokken zijn bij de behandeling of zorg voor een specifieke patiënt. Je kunt dit als bestuurder niet alleen bij de technische mensen in je organisatie neerleggen. Het is een taak van alle medewerkers.’

Autorisatie
Een van de basisdingen waar de AP op let is dat voor elk systeem waarin gegevens gewisseld worden een autorisatie vereist is voor toegang. Bovendien moet iedere login van gebruikers geregistreerd worden en ten slotte moeten die logs gecontroleerd worden.