Onlangs is dit artikel verschenen: https://www.security.nl/posting/915658
De huisarts leunt voor een groot deel op de EPD-leverancier voor het beveiligen van patiëntgegevens (bijzondere persoonsgegevens). De huisarts, die onder de AVG de verwerkingsverantwoordelijke is, heeft de verwerking van patiëntgegevens aan de EPD-leverancier, de verwerker, uitbesteed. De huisarts bepaald als verwerkingsverantwoordelijke het doel en de middelen waarmee de patiëntgegevens mogen worden verwerkt. Die onderlinge afspraken zijn vastgelegd in de verwerkersovereenkomst.
Het is daarom belangrijk voor de huisarts om bij een controle van de Autoriteit Persoonsgegevens de verwerkersovereenkomst te kunnen laten zien.
In de verwerkersovereenkomst staat, als het goed is, vermeld welke beveiligingsmaatregelen de EPD-leverancier heeft genomen om het risico op een inbreuk in verband met persoonsgegevens (datalek in de volksmond) te minimaliseren. De EPD-leverancier kan dit aantoonbaar maken door het overhandigen van een certificaat tegen de norm NEN 7510.
Hierbij is het belangrijk om te letten op de geldigheidsdatum van het NEN 7510 certificaat.
Maar, zoals eerder al aangegeven is het beveiligen van patiëntgegevens niet alléén een taak van de EPD-leverancier. De huisarts zal ook zelf maatregelen moeten nemen om het risico op een inbreuk in verband met persoonsgegevens te minimaliseren. Risico’s in de praktijk zijn bijvoorbeeld:
- het meekijken op een scherm door een patiënt in het dossier van een andere patiënt (of een patiënt even alleen laten in de behandelkamer zonder de computer te vergrendelen),
- het printen van patiëntgegevens en die per ongeluk ergens laten liggen bij een visite, of
- het per ongeluk klikken op een phishingmail waarbij de lokale ICT-omgeving onbruikbaar geworden is.
Deze drie risico’s zijn niet technisch van aard en hebben meer te maken met bewustzijn van de medewerkers op de praktijk. Het is dan ook aan te bevelen om hier aandacht aan te besteden. Neem voorbeelden uit het nieuws en maak het bespreekbaar tijdens de lunch of andere gezamenlijke momenten, dit is niet alleen leerzaam maar kan ook leuk zijn om te doen. De IGJ, LHV en de NHG hebben over dit onderwerp veel informatie beschikbaar op hun websites:
- https://www.igj.nl/vraag-en-antwoord/vragen-over-nen-7510
- https://www.lhv.nl/thema/patientengegevens-en-ict/informatiebeveiliging/
- https://www.nhg.org/praktijkvoering/informatisering/praktijkwijzer-informatiebeveiliging-eerstelijnszorgpraktijk/
Naast de IGJ, LHV en NHG heeft de KNMG de richtlijn omgaan met medische gegevens beschikbaar, en biedt de website van eOverdracht een quickscan aan.
Ten slotte; het is het overwegen waard om voor de technische beveiliging van de computers en het netwerk op de praktijk een (lokale) ICT-leverancier in de arm te nemen.
