Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

Compliance met meldplicht datalekken in drie stappen

Zorgvisie heeft meermalen aandacht besteed aan de meldplicht datalekken die 1 januari ingaat. In dit artikel leest u hoe u in drie praktische stappen compliance met de meldplicht datalekken bereikt.
balfoort.jpeg

Zowel in het magazine als op de website heeft Zorgvisie aandacht besteed aan de meldplicht datalekken die op 1 januari 2016 ingaat. Wat een datalek is, wanneer sprake is van een datalek, op welke wijze een datalek moet worden gemeld en de consequenties van het niet melden van een datalek zijn reeds uitgebreid beschreven in een eerdere bijdrage. 

1 – Inventarisatie
Breng allereerst in kaart welke persoonsgegevens worden verwerkt. Hierbij is van belang dat de wet onderscheid maakt tussen reguliere persoonsgegevens en bijzondere persoonsgegevens. Zorginstellingen hebben per definitie te maken met medische gegevens, oftewel, ‘bijzondere persoonsgegevens’. De verwerking van dergelijke gegevens is aan strengere regels onderworpen. Maak in het op te stellen overzicht daarom onderscheid tussen reguliere persoonsgegevens en bijzondere persoonsgegevens.

Inventariseer vervolgens op welke wijze de diverse persoonsgegevens beveiligd zijn en vooral ook of de beveiliging afdoende is. Uiteraard dienen bijzondere persoonsgegevens beter beveiligd te worden dan reguliere persoonsgegevens. Voorts is het van belang dat geïnventariseerd wordt in hoeverre technische maatregelen zijn getroffen om een inbreuk op de beveiliging tijdig te detecteren. Indien dergelijke maatregelen ontbreken, is van belang dat deze op korte termijn geïmplementeerd worden.

Stel tenslotte een overzicht op van alle partijen die toegang hebben tot persoonsgegevens, de zogenoemde ‘bewerkers’. Dit kunnen bijvoorbeeld verzekeraars en maatschappelijke instellingen zijn, maar ook IT-dienstverleners (hosting, systeembeheer, aanbieders van cloudsoftware, etc.).

Stap 2 – Beleid
Een datalek dient binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens. Dit is uiteraard een zeer kort tijdbestek. Alleen al om deze reden is het van belang over een draaiboek/protocol/beleidsstuk te beschikken voor het geval een datalek ontstaat.

Het is van belang dat dit beleidsstuk in ieder geval beschrijft in welke gevallen sprake is van een datalek, bij wie een datalek intern wordt gemeld, hoe de omvang van het lek wordt vastgesteld, welke stappen worden genomen om de schade te beperken, welke nadere informatie nodig is om een melding te kunnen doen aan de toezichthouder, hoe wordt vastgesteld of ook aan de getroffen personen moet worden gemeld en welke andere interne en externe partijen geïnformeerd moeten worden (bijv. de communicatieafdeling, de verzekeraar, etc.). Ook dient een format opgesteld te worden voor het verplichte logboek waarin datalekken worden geregistreerd.

‘Bewustmaking’ is de volgende stap. Alle medewerkers moeten in ieder geval een datalek kunnen herkennen en moeten weten bij welke persoon het lek per direct gemeld dient te worden. Bewustwording zal uiteraard een constant proces zijn, maar is desondanks in de beginfase extra relevant.

Stap 3 – Bewerkersovereenkomsten
Een datalek doet zich niet altijd intern voor. Het kan namelijk voorkomen dat het lek bij de bewerker ontstaat. Bijvoorbeeld bij de aanbieder van een cloud-based applicatie die binnen de zorginstelling wordt gebruikt.

De wet verplicht zorginstellingen middels een zogenoemde bewerkersovereenkomst heldere afspraken te maken met de bewerkers. Onder meer moet worden vastgelegd welke persoonsgegevens aan de bewerker worden verstrekt, voor welk doel dit gebeurt, hoe de gegevens beveiligd worden en hoe de zorginstelling kan toezien op de naleving van de gemaakte afspraken.

Bestaande bewerkersovereenkomsten moeten voor 1 januari a.s. worden aangepast. Vanaf deze datum moet namelijk ook zijn vastgelegd dat de bewerker per direct, maar uiterlijk binnen een x-aantal uren (bijv. 24 uur), een datalek meldt aan de zorginstellingen. Ook moeten afspraken worden gemaakt over de inhoud van de melding van de bewerker aan de zorginstelling. De toezichthouder zal namelijk allerhande informatie omtrent het lek willen ontvangen waarover alleen de bewerker beschikt.

Bestuurders
Bescherming van persoonsgegevens en IT-security zijn niet (langer) uitsluitend operationele aandachtspunten. De torenhoge boetes, de persoonlijke aansprakelijkheid van bestuurders en het risico op zeer ernstige reputatieschade maken dat ook bestuurders een actieve rol zouden moeten spelen in het compliance-proces. Better safe than sorry lijkt hier zonder meer van toepassing.

Willem Balfoort is advocaat Privacy- en IT-recht bij de Clercq Advocaten Notarissen

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden