Hoe pas je GDPR correct toe in de zorg..?

Vanaf mei moeten organisaties voldoen aan de General Data Protection Regulation, de GDPR. Deze EU wetgeving dwingt bedrijven zorgvuldig met persoonsgegevens om te gaan. Gezien alle recentelijke datalekken is deze wet geen overbodige maatregel.

614
0

In de zorgsector is het veilig omgaan met persoonlijke gegevens en het afschermen van patiëntendossiers vanwege de GDPR (General Data Protection Regulation) voor onbevoegden niets nieuws. Zorginstellingen beseffen het belang van databeveiliging en streven ernaar te voldoen aan NEN normeringen of zijn in het bezit van ISO certificeringen. Maar is dit voldoende?

NEN
Zorginstellingen die gebruik maken van een elektronisch patiëntdossier (epd) zijn verplicht om te voldoen aan de NEN 7510 normering. GDPR zorg NEN 7510 NEN 7512 NEN 7513 AVGDe NEN 7510 is een algemene norm; NEN 7512 (vertrouwensbasis voor gegevensuitwisseling in de zorg) en NEN 7513 (het vastlegging van acties in elektronische patiëntendossiers d.m.v. logging) werken deze norm verder uit voor een specifiek aandachtsgebied. De NEN 7510 heeft een optimale beveiliging van informatie als doel.

Oftewel, gegevens van patiënten en cliënten moeten toegankelijk zijn voor de juiste zorgverleners, correct opgeslagen zijn en het informatiesysteem moet zo ingericht zijn dat privacygevoelige informatie niet gelekt of gestolen kan worden. Bij de NEN 7510 kan een organisatie ervoor kiezen niet alle richtlijnen door te voeren. Bijvoorbeeld als de kosten van de beveiligingsmaatregelen niet opwegen tegen de risico’s.

Deze keuzes moeten goed gedocumenteerd en onderbouwd zijn, en komen vaak voort uit een uitvoerige risico-analyse.

ISO
Ook bij de internationale norm ISO 27001 staat informatiebeveiliging centraal, bijvoorbeeld die van financiële gegevens. Van toeleveranciers in de zorg wordt verwacht dat zij voldoen aan deze ISO-normering. In ISO 27001 staat hoe een organisatie procesmatig met informatiebeveiliging omgaat. Echter, een van de uitgangspunten luidt: “Het managementsysteem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie door een risicobeheersproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.”

In de praktijk blijkt dat het risicobeheersproces maatregelen bevat die risico’s afdekken die vooral binnen de scope van een audit vallen, zoals het beveiligen van vertrouwelijke data die eigendom is van de klant. Dit is voor veel bedrijven namelijk essentieel om de relatie met hun opdrachtgevers te continueren. Dat betekent natuurlijk niet dat andere data niet goed beschermd wordt. Maar als deze maatregelen voor de ISO 27001 audit niet relevant zijn, worden ze niet beschreven en blijft het dus onduidelijk wat er óók voldoet aan de security norm. Of wat niet.

Gezond verstand
Zijn organisaties die voldoen aan de NEN 7510 of ISO 271001 klaar voor de GDPR? Nee. Zoals beschreven zijn de beveiligingsnormeringen op sommige punten flexibel en combineren ze een paar harde security-eisen met de veronderstelling dat organisaties genoeg gezond verstand hebben om een veilige dataomgeving te beheren. GDPR zorg NEN 7510 NEN 7512 NEN 7513 ISO 27001De GDPR daarentegen is een niet mis te verstane lijst van regels waaraan voldaan moet worden door elke organisatie die persoonsgegevens verzamelt, beheert of verwerkt. Het is een wet en geen norm, en deze wet is níet flexibel. Er wordt dus niet gekeken naar bedrijfsomstandigheden of goede intenties.

Is het voldoen aan de NEN 7510 of ISO 271001 vanaf mei 2018 dus verspilde moeite? Zeker niet! De eerste stap in de richting van het waarborgen van de bescherming van persoonlijke gegevens en het minimaliseren van datalekken is tenslotte al gezet. De normeringen bieden een uitstekend raamwerk voor de naleving van GDPR. Bovendien zorgen technische controles, gestructureerde documentatie, monitoring en het streven naar continue verbeteringen ervoor dat er een cultuur ontstaat waarin medewerkers zich bewust zijn en meer kennis hebben van beveiligingsincidenten. Doordat medewerkers beveiligingsproblemen kunnen detecteren en melden, is de organisatie stukken veiliger. Tenslotte gaat informatiebeveiliging niet alleen over technologie, maar ook over mensen en processen.

Downloads bij dit artikel

  • De volledige GDPR / AVG wettekstRapport

    De General Data Protection Regulation (GDPR) wet in het Nederlands, beschikbaar gemaakt door de Europese Unie. De wet is binnen Nederland ook bekend als Algemene Verordening Gegevensbescherming (AVG) en heet formeel 'Directive 95/46/EC' (Engels) of 'Richtlijn 95/46/EG' (Nederlands) . In deze download lees je de volledige inhoud van deze wet, in 99 artikelen op 88 pagina's.

  • Gratis handleiding voor digitaal werkeneBook

    Bespaar tijd, kosten en creëer efficiency: digitaliseer uw zakelijke documenten en start met digitaal werken. Het e-book ‘Documenten digitaliseren’ biedt inzichten, tips en eye-openers. Download het e-book hier.

Pieter Rahusen Verbinden, aanhalen en versterken

In mijn optiek moet er altijd ruimte zijn voor vernieuwing, ontplooiing en een open vizier. Door de dialoog aan te gaan met marketing, management en maatschappij, komen we tot echte verbeteringen voor producten, processen én patiënten.

Reageer ook

Reacties 0


Reageer

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Reageer ook