Als ze binnen drie maanden de zaken nog niet op orde hebben, dan int het CBP de boetes. Het betreft het Ommelander Ziekenhuis Groep, MC/Lelystad, Medisch Spectrum Twente en het Rijnland Ziekenhuis. Met name het ontbreken van kennis over waar men welke risico’s loopt op het gebied van informatiebeveiliging rekent het CBP de ziekenhuizen aan. Over een vijfde aangesproken ziekenhuis, het Diaconessenhuis Leiden, heeft het CBP besloten om af te zien van het opleggen van een last onder dwangsom, onder meer omdat dat ziekenhuis inmiddels beschikt over een adequate risicoanalyse.
Dwangsom
De last onder dwangsom verschilt per ziekenhuis. Naast het niet uitvoeren van een juiste risicoanalyse informatiebeveiliging zijn in het handhavingsbesluit verschillende maatregelen genoemd waarvan het CBP van oordeel is dat deze getroffen hadden moeten worden. Het betreft onder meer het opstellen van een rapportage van de risicoanalyse informatiebeveiliging, het vaststellen van een functieprofiel voor een informatiebeveiligingsfunctionaris, het aanstellen van een informatiebeveiligingsfunctionaris en het aanwijzen van een portefeuillehouder informatiebeveiliging binnen de raad van bestuur. (ANP)
Lees ook:
NZa: Privacy moet beter worden beschermd
NZa: privacy ggz-patiënt goed
‘Privacy patiënten bij EPD onvoldoende gewaarborgd’
Ziekenhuizen geven patiëntgegevens vrij