Over privacy in de zorg wordt veel gesproken en geschreven. Logisch, want iedereen is wel een keer ziek, en niemand moet eraan denken dat zijn medische historie door onbevoegden wordt bekeken. We zijn allemaal wel eens patiënt en daarom willen we dat de privacy in de zorg goed geregeld is. Ook artsen en zorgverleners willen én moeten dit. Bij de wet is geregeld dat zorgverleners de medische gegevens van hun patiënten geheim moeten houden, en bovendien het recht op privacy van hun patiënten moeten waarborgen. Zorgverleners mogen alleen maar medische gegevens verwerken als zij ‘handelen binnen de wettelijke kaders van het College Bescherming Persoonsgegevens (CBP)’. Deze gegevens vallen onder de Wet bescherming persoonsgegevens (Wbp), en de beveiliging van deze persoonsgegevens is een belangrijk onderdeel van de wet. Op de naleving van de Wbp wordt dus toegezien door het College bescherming persoonsgegevens (CBP)
Helemaal helder lijkt me. Toch gaat het wel eens mis. Niet (alleen) door plichtsgetrouwe zorgverleners, maar door systemen die niet helemaal waterdicht zijn. In 2012 bracht Zembla in het nieuws dat het computerprogramma van VCD Humannet, waarin medische gegevens zitten van werknemers, niet goed beveiligd werd. Veel werkgevers en arbodiensten gebruiken het programma als verzuimsysteem. Door het lek lagen de gegevens van 300.000 werknemers van honderden verschillende bedrijven zoals zoals FC Twente, de gemeente Deventer, Praxis, Bijenkorf en V&D op straat. Eén van de problemen was dat er alleen een gebruikersnaam en wachtwoord nodig waren om in te loggen, wat volgens de wet te weinig is. Maar gelukkig, drie jaar na dato kondigt VDC Humannet aan dat het security niveau weer op orde zal zijn. Let op: “In september van dit jaar’!
Voortbordurend op de problematiek bij VCD Humannet, riep OVAL begin deze maand op dat privacy, omgang met medische gegevens en beveiliging van verzuimsystemen moeten geborgd worden via een basiscontract. OVAL is een overkoepelend orgaan van dienstverleners die actief zijn op het terrein van werk, loopbaan en vitaliteit. Zij onderschrijven de brief van het CBP waarin beheerders van verzuimsystemen worden gewezen op hun verantwoordelijkheid voor de beveiliging van systemen. Tot zover te begrijpen. Maar dan: ‘Het is volgens OVAL belangrijk dat werkgevers in contracten met hun arbodienstverlener afspraken maken over privacy, omgaan met en beheer van medische gegevens en beveiliging van systemen. Het heeft hiervoor een model basiscontract ontwikkeld dat hier invulling aan kan geven.’ Oftewel, OVAL wil dat arbobedrijven die gebruik maken van ziekteverzuimsystemen een contact aangaan met werknemers, waarin wordt vastgelegd dat de privacy geregeld en de beveiliging op orde is. Echter, dit is toch allang bij de wet geregeld? Alle medische gegevens (dus ja, ook ziekteverzuim) valt onder de Wet bescherming persoonsgegevens (Wbp). OVAL zorgt met zijn ‘basiscontract’ voor enorm veel ruis. Er is geen helemaal contract nodig, er is al een wet!
Het goed beveiligen van patiëntgegevens hang van veel factoren af, zowel technische als menselijke. Het veilig inloggen op systemen is essentieel. Zorgverleners én patiënten moeten handvatten krijgen waarmee risico’s geminimaliseerd worden. Daarnaast kan bijvoorbeeld met een goed ingericht IAM-systeem ervoor zorgen dat authenticatie en autorisatie goed geregeld zijn en dat alleen de juiste zorgverlener bij de benodigde dossiers kan. Maar zolang het belang van een goede beveiliging van medische gegevens nog op de lang baan wordt geschoven (zoals bij VDC Humannet) of organisaties die van security geen kaas hebben gegeten nutteloze contacten opstellen die schijnveiligheid veroorzaken, blijft het voor zorginstanties zeer belangrijk zich goed te laten informeren over gevaren én oplossingen binnen security. En zich te distantiëren van organisaties die schijnveiligheid op patiëntgegevens bieden.
Bram Haasnoot, RealOpen IT
