Heeft u als lid van raad van bestuur van een zorginstelling zich afgevraagd in hoeverre uw organisatie zorgvuldig omgaat met de gegevens van cliënten (patiënten)?

Dat betekent dat er naast mogelijk verlies van gegevens en de mogelijke financiële schade ook het imago en/of vertrouwen in de organisatie ter discussie komt als gevolg van negatieve publiciteit. In dergelijk scenario zal vanuit haar verantwoording een RVB direct maatregelen moeten nemen met tot gevolg meer overhead en hoog oplopende kosten. Dit kunt u zoveel mogelijk voorkomen. Met deze whitepaper informeren we u over de mogelijkheden en de vragen die u aan uw organisatie kunt stellen.

Elke organisatie heeft te maken met het beschermen van gegevens. Bij een zorginstelling gaat het om de mensen die zorg nodig hebben. Om die zorg zo goed mogelijk te kunnen leveren werkt uw instelling met de privacy gegevens van mensen (zorgdossiers / medicatie / behandelingen etc.), maar ook de medewerkers die werken op verschillende locaties waar ze toegang moeten krijgen tot die gegevens. Deze gegevens zijn kwetsbaar en ongeautoriseerd gebruik kan leiden tot overtreding van de AVG en GDPR regelgeving en dus des te belangrijker om hier de nodige aandacht aan te schenken.

In 2020 kwamen 30% van de datalek incidenten voor in de sector gezondheid en welzijn

Aantal datalekmeldingen per sector

Wellicht bent u er van overtuigd dat het bij uw zorginstelling goed geregeld omdat er geen incident is geweest tot nu toe. In deze whitepaper behandelen wij een aantal onderwerpen waarbij u zich kunt afvragen “hoe is dat nu in onze organisatie geregeld ?“ Als u hierop geen duidelijk antwoord kan krijgen dan geven wij u door het lezen van deze whitepaper enkele handvatten om uw organisatie verder te helpen.

Om een beeld te geven hierbij een aantal artikelen die in de media zijn verschenen en de nadruk waarom data beveiliging belangrijk is;

• Haga ziekenhuis, juli 2019 en 2020
• UWV, juli 2021
• KvK, augustus 2021
• HAN, september 2021
• LinkedIn, juni 2021

^{Bron: Overzicht van bekende datalekken | About Privacy}

^{Bron: Flinke boete voor UWV vanwege datalek: ‘Pijnlijk als dit soort gegevens in verkeerde handen terechtkomen’ | Trouw}

Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis
De AP constateert dat het HagaZiekenhuis onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HagaZiekenhuis handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG.

^{Bron: haga_rapport_def.pdf (autoriteitpersoonsgegevens.nl)}

Deze voorbeelden geven aan hoe belangrijk het is om gegevens te beschermen. De volgende 3 elementen spelen hierbij een crusiale rol.

1. De mens
2. De processen
3. De techniek

1. De mens

Wat we ook doen aan processen en techniek dan zal de mens vaak nog steeds een belangrijke factor blijven bij het ontstaan van datalekken.
Een belangrijke oorzaak van onbedoeld gegevens lekken is omdat mensen welke hun laptop niet dicht doen of “locken” als ze even van hun plek lopen. Het zal voor de ene functie wellicht niet veel impact hebben maar de andere wel. De systeembeheerder welke toegang heeft tot allerlei gevoelige data of de restaurantmedewerker welke de menu’s in het systeem zet. Er is een verschil echter als je de techniek niet goed hebt ingeregeld kan je zelfs met het account van de restaurantmedewerker datalekken veroorzaken.

“Van de gemelde datalekken in 2020 is 66% van het type "Persoonsgegevens verstuurd" of "Afgegeven aan een verkeerde ontvanger”

^{Bron: autoriteitspersoongegevens 2020}

De vragen welke Raad van Bestuur aan uw organisatie zou kunnen stellen:

• Hoe staat het met security awareness binnen ons bedrijf?Loop eens door uw organisatie en kijk wat er allemaal ligt op bureaus en openstaande schermen
• Hebben we een account beleid? Zo ja; hoe is dit beleid ingericht? Hebben we een informatie beveiligingsbeleid? Zo ja; hoe is dit beleid ingericht? Hoe toetsen we het beleid op de omgeving, periodieke controle?

2. De processen; Instroom, Doorstoom,Uitstroom

Hoe staat het bij u met het registeren van medewerkers, leveranciers, klanten, stagiaires? Het proces waar ik op doel is het bekende Instroom, Doorstroom en Uitstroom proces.
Als we dit zien in het licht van datalekken moet u kijken hoe dit proces is ingeregeld. Een dergelijk proces is essentieel om te zorgen dat het verkrijgen van toegangen op data, via applicaties, goed en veilig geregeld is. Is dit niet goed geregeld dan komt u bedrijf in de media of terecht bij Autoriteit Persoonsgegevens. De vraag is alleen wanneer dit gaat gebeuren.

Een drietal simpele voorbeelden:

Voor de IDU processen kunt u de volgende vragen stellen:

• Is er een Instroom, Doorstroom en Uitstroom proces?
  • Het core HR proces. Zonder dergelijk proces is er geen controle op toegangen en zal een identiteit altijd toegang houden.
• Hoe zit dat met aanvragen van toegangsrechten en intrekken van toegangsrechten?
  • Mogen/moeten leidinggevende toegangsrechten aanvragen en hoe wordt dat gedaan.
• Wordt er periodiek controle gedaan op de toegangsrechten?
  • Regelmatig toetsen of alle autorisaties nog steeds valide zijn per team en individuen
• Is personeel bewust van hun eigen verantwoordelijkheid?
  • HR is proceseigenaar maar leidinggevende is HR operationeel verantwoordelijk en dient te zorgen voor veilig kunnen werken door hun medewerkers

3. De techniek

Als laatste nemen we u mee naar de techniek. Applicaties gebruiken we vanwege snelheid, gemak en op den duur kosten technisch. Als we de applicaties nu goed bekijken dan zult u zien dat applicaties vaak verouderd zijn of technieken gebruiken met betrekking tot toegang welke niet meer voldoet aan de problemen van datalekken.

Dit zijn de vragen die u hierover zou kunnen stellen:

• Is er een overzicht van alle applicaties?
  • Is dit uitgesplitst op bedrijfskritisch?
• Wordt er lifecycle management gedaan op alle applicaties?
  • Hoe wordt beheer gedaan op de applicaties?
• Disaster recovery (in geval dat er brand uitbreekt op een locatie zijn dan de gegevens weer snel voorhanden) 
  • Backup en terugzetten (regelmatige controle)
• Hoe staat het met de toegangsrechten op de applicaties?
  • Duidelijkheid wie mag wat?
• Periodieke controle op accounts (nog steeds actief?)

Al deze vragen leiden tot data beveiliging of het mogelijk kunnen anticiperen op bepaalde situaties zodat uw bedrijfsvoering gecontroleerd en zo goed mogelijk door kan gaan.

Zoals genoemd in de inleiding heeft (privacy) gegevens lekken, bewust of onbewust, een grote impact op uw organisatie en als Raad van Bestuur heeft u een directe verantwoordelijkheid. Imago schade is niet alleen slecht voor de naam van uw organisatie maar het kan u ook in een pijnlijke situatie brengen.

Stel kritische vragen aan HR, Ciso en Functionaris Gegevensbescherming zodat zij u kunnen informeren over hoe het nu voorstaat binnen de organisatie en waar kwetsbaarheden en eventueel pijnpunten zitten. Focus op gegevens beveiliging en vooral cliënten bescherming.