Gemeenten zo lek als een mandje?

Wees zorgvuldig met uitwisseling van patiëntgegevens.

Opnieuw verschijnen er berichten in de media dat gemeenten zo lek zijn als een mandje als het gaat om de verwerking van persoonsgegevens. Aangezien gemeenten nu ook verantwoordelijk zijn voor de financiering en uitvoering van Jeugdwet en Wmo, vragen zij veel persoonsgegevens op bij zorgaanbieders en vice versa. Bij deze uitwisseling van gegevens is de kans groot dat er ook patiëntgegevens gelekt worden.

Niet versleutelen is vragen om problemen

In de dagelijkse praktijk van uitwisseling van gegevens tussen gemeenten en zorgaanbieders wordt op dit moment nog lang niet altijd op een beveiligde manier gewerkt. Praktijkvoorbeelden hiervan zijn gemeenten die nog niet in staat zijn om versleuteld berichten te versturen of te ontvangen. Dit betekent dat de zorgaanbieder op haar beurt ook in een lastig parket komt.

Waar in het proces gaat het mis?

In het toeleidingsproces, van de gemeente naar de zorgaanbieder, is de kans op een datalek groot. In deze fase waarin geïnventariseerd wordt of de cliënt bij de zorgaanbieder terecht kan, verloopt de communicatie tussen beide partijen vaak onversleuteld per mail. Is er overeenstemming bereikt? Dan wordt de beschikking (WMO301 of JW301) meestal wel via versleuteld berichtenverkeer (Vecozo) verstuurd. Echter bij het declareren van de zorg ligt een datalek weer op de loer.

Idealiter stuurt de gemeente via Vecozo een retourbericht (WMO304 of JW304) waarin de zorgaanbieder precies kan zien of er declaraties zijn afgekeurd en wat de reden hiervan is. Staat er bijvoorbeeld in het bericht dat er persoonsgegevens ontbreken? Dan kan de zorgaanbieder dit zelf aanpassen en gaat de afgekeurde declaratie mee in de volgende periode. Echter werkt dit proces bij veel gemeenten nog niet en wordt er weer teruggegrepen op onbeveiligde communicatiemiddelen zoals mail en post.

Hoe kun je als gemeente het risico op datalekken verlagen?

In de ideale wereld zouden alle gemeenten en zorgaanbieders conform de Berichten standaarden voor de zorg persoonsgegevens moeten uitwisselen. Dit vraagt om een zorgvuldige aanpassing van de ICT-infrastructuur en de interne organisatie van zowel gemeenten als zorgaanbieders. Gezien het feit dat het er bijzondere persoonsgegevens worden uitgewisseld tussen gemeenten en zorgaanbieders, is dit ook hard nodig, maar niet van de één op de andere dag gerealiseerd. Wat je als gemeente wél direct kan doen, is kritisch kijken naar de persoonsgegevens die je opvraagt.

  • Zijn al deze persoonsgegevens écht noodzakelijk voor het behalen van het doel dat nagestreefd wordt?
  • Staat de gevoeligheid van de persoonsgegevens in verhouding met het doel dat wordt beoogd?
  • Kun je je beslissing wellicht ook baseren op minder informatie en daarmee werken met niet meer persoonsgegevens dan je echt nodig hebt?

Ook zorgaanbieder dient verantwoordelijkheid te nemen

Genoeg afwegingen die om een kritische blik vragen. Ook als zorgaanbieder kun je met een aantal simpele stappen het risico verlagen. Verdiep je in wat je als zorgaanbieder verplicht bent en wat juist niet gedeeld of enkel onder voorwaarden gedeeld mag worden. Vraagt de gemeente om meer? Dan kun je goed gemotiveerd de (on)mogelijkheden aankaarten. Bedenk hierbij ook altijd dat het uitgangspunt van privacy wet- en regelgeving is dat het in beginsel niet is toegestaan om gegevens betreffende iemands gezondheid te verwerken, tenzij de wet dit uitdrukkelijk heeft toegestaan.

Creëer bovendien meer bewustzijn binnen de organisatie. Zorg dat er duidelijk beleid beschreven is, regelmatig onder aandacht gebracht, zodat medewerkers hiernaar zullen en kunnen handelen en het beleid dus echt geborgd is binnen de organisatie.

Hoe ga je om met het verzamelen en delen van persoonsgegevens in de zorg?

Lees onze tips en aandachtspunten

MARIEKE VAN DIJK

legal counsel

marieke.vandijk@cure4.nl 

Volg mij op Linkedin

Marieke van Dijk

Business Line Manager Legal | Legal Counsel

Recente publicaties

Blog Privacy | De zorg in top 3 met meeste datalekken 2016

03 April 2017

Volgens de Autoriteit Persoonsgegevens blijkt dat 5.000 meldingen van een datalek maar liefst 1.000 …

Tips Privacy | Hoe laat ik mijn organisatie privacy ademen?

03 April 2017

Bescherming van de privacy van patiënten, hoe zorg je daar nou voor? Wet- en regelgeving geeft een …

Gerelateerde thema's

©2018 Cure4 |

Werken bij Cure4 | Disclaimer | Privacy Statement | Over Cure4 | Aanmelden Nieuwsbrief
Contact