Autoriteit Persoonsgegevens richt zich tot zorginstellingen inzake bescherming van patiëntgegevens

De regelgeving rondom privacy is onlangs aanzienlijk aangescherpt. Zowel voor ondernemers als overheden die persoonsgegevens verwerken heeft een aantal nieuwe privacyregels te gelden. Lees hierover verder in mijn eerdere blog: Privacy versus het digitale tijdperk. Ook zorginstellingen moeten bij de verwerking van persoonsgegevens aan de vereisten van de Wet bescherming persoonsgegevens (hierna: Wbp) voldoen. In een open brief aan Raden van Bestuur van zorginstellingen in Nederland vraagt de Autoriteit Persoonsgegevens (hierna: AP) nog eens extra aandacht voor de bescherming van patiëntgegevens om te voorkomen dat onbevoegden medische gegevens kunnen inzien.

Vanaf 2012 deed de AP onderzoek bij negen zorginstellingen, hetgeen aanleiding gaf tot het schrijven van deze open brief. De conclusie was dat zowel het beleid als de praktijk in de onderzochte zorginstellingen niet in overeenstemming  waren met de vereisten van artikel 13 Wbp.[1] Bovendien blijkt dat de in het onderzoek geconstateerde tekortkomingen zich bij veel andere zorginstellingen voordoen.

Medische gegevens zijn bij uitstek privacygevoelig. Om die reden benadrukt de AP dat de beveiliging van medische gegevens aan de hoogste normen dient te voldoen

De AP acht bepaalde maatregelen noodzakelijk ten behoeve van de bescherming van patiëntgegevens in het kader van de Wbp. Zo dienen volgens de AP maatregelen binnen zorginstellingen worden genomen op het gebied van autorisaties (wie kan er bij gegevens), logging (bijhouden van raadplegingen van gegevens) en controle van logging. Tot slot vermeldt de AP in haar brief erop te vertrouwen dat Raden van Bestuur van zorginstellingen de noodzakelijke verbetertrajecten in gang zullen zetten.

Sinds 1 januari 2016 geldt een meldplicht datalekken[2] voor zowel private als publieke organisaties die persoonsgegevens verwerken in geval van een inbreuk op de beveiliging van persoonsgegevens. De boetebevoegdheid van de AP ten aanzien van het verwerken van persoonsgegevens is bovendien uitgebreid. Indien niet wordt voldaan aan de vereisten ten aanzien van de verwerking van persoonsgegevens, neergelegd in de Wbp, ligt een bestuurlijke boete op de loer. Ten slotte waarschuwt de AP in haar brief dat, indien zij als toezichthouder signalen ontvangt over onbevoegde toegang tot patiëntgegevens, te allen tijde een nieuw onderzoek naar de desbetreffende zorginstelling kan worden ingesteld.

Zowel voor ondernemers als zorginstellingen is raadzaam de stand van zaken op te maken betreffende het gehanteerde beleid en de praktijk versus de aangescherpte privacyregelgeving. Met deze open brief biedt de AP daartoe een handvat voor zorginstellingen.