Duidelijk beleid rond patiëntgegevens is van levensbelang

Dat niet iedereen zo maar toegang mag krijgen tot medische gegevens is iets wat wij niet meer uitleggen aan organisaties. Toch blijkt het in de praktijk zeer lastig om ervoor te zorgen dat alleen de juiste personen toegang hebben tot de patiëntgegevens. Om die reden gaf Autoriteit Persoonsgegevens (AP) Menzis zeer recent een torenhoge boete. Wat valt er te leren van deze case?

Onvoldoende toezicht op gegevens

Dat het niet juist organiseren van de toegang tot medische gegevens zorgt voor financiële consequenties heeft Menzis ervaren.

Uit het financieel jaarverslag van 2017 constateerde de Autoriteit Persoonsgegevens (AP) dat Menzis onvoldoende toezag op wie er toegang had tot de persoonsgegevens. Deze gegevens waren inzichtelijk voor onbevoegden in de organisatie. Hoewel Menzis maatregelen nam om de toegang te beperken, was de AP van mening dat het doorvoeren van die verbeteringen niet snel genoeg ging. Dit resulteerde voor Menzis in een boete van 50.000 euro.

Tijdens de uitvoering van het onderzoek bij Menzis keek de AP in het jaarverslag naar de adequate borging van de privacy in de cultuur van de organisatie. Dit bleek wél voldoende geborgd te zijn in de organisatie.

Risico’s datalek

Afgezien van het feit dat er boetes uitgedeeld worden bij het niet op orde hebben van het toegangsbeleid, zijn er ook risico’s van datalekken.

De consequenties zijn vele maler groter – zoals de berichten doen blijken die van tijd tot tijd in de media verschijnen. Bij een lek zijn de negatieve gevolgen voor patiënten of cliënten enorm. Ondanks alle goede zorg die wordt verleend, komt een organisatie negatief in de schijnwerpers en wordt het vertrouwen van de zorggroep geraakt. Een organisatie verleent zorg en de zorgbehoevenden vertrouwen erop dat het medisch beroepsgeheim in goede handen is.

Quick wins voor jouw organisatie!

  • Zorg met de nodige maatregelen en awareness trainingen voor een organisatiecultuur waar privacy hoog in het vaandel staat.
  • Stel duidelijk beleid op rondom de toegang tot gegevens betreffende de gezondheid.
  • Neem maatregelen om te zorgen dat enkel de juiste mensen toegang hebben tot deze gegevens.
  • Zorg dat je inzichtelijk hebt wie er binnen jouw organisatie allemaal toegang heeft tot persoonsgegevens en controleer of dit noodzakelijk is.
  • Zet de toegang dicht voor die personen voor wie de toegang tot persoonsgegevens betreffende de gezondheid niet nodig is.
  • Natuurlijk kunnen er noodsituaties voordoen. Hiervoor heb je een break-the-glass procedure op de plank liggen met een duidelijke verantwoording. Noodsituaties zijn geen reden om de toegang tot persoonsgegevens betreffende de gezondheid breed open te zetten in de organisatie.
  • Communiceer naar je patiënten of cliënten duidelijk welke maatregelen je neemt om hun privacy te waarborgen.

Wil je op de hoogte gehouden worden van de laatste updates en interessante ontwikkelingen voor jouw organisatie?
Schrijf je dan in voor de nieuwsbrief van Legal!

Inschrijven!

Marieke van Dijk

Legal consultant

Marieke van Dijk

Business Line Manager Legal | Legal Counsel

©2019 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact