Heeft u als lid van raad van bestuur van een zorginstelling zich afgevraagd in hoeverre uw organisatie zorgvuldig omgaat met de gegevens van cliënten (patiënten)?
Als Raad van Bestuur bent u verantwoordelijk voor het resultaat van de organisatie in de breedste zin van het woord. Om een goede zorg te verlenen is het werken met en bewaren van client gegevens van groot belang. Een inbreuk op de veiligheid van deze gegevens door onjuist gebruik kan grote negatieve gevolgen hebben op de organisatie.
Dat betekent dat er naast mogelijk verlies van gegevens en de mogelijke financiële schade ook het imago en/of vertrouwen in de organisatie ter discussie komt als gevolg van negatieve publiciteit. In dergelijk scenario zal vanuit haar verantwoording een RVB direct maatregelen moeten nemen met tot gevolg meer overhead en hoog oplopende kosten. Dit kunt u zoveel mogelijk voorkomen. Met deze whitepaper informeren we u over de mogelijkheden en de vragen die u aan uw organisatie kunt stellen.
Elke organisatie heeft te maken met het beschermen van gegevens. Bij een zorginstelling gaat het om de mensen die zorg nodig hebben. Om die zorg zo goed mogelijk te kunnen leveren werkt uw instelling met de privacy gegevens van mensen (zorgdossiers / medicatie / behandelingen etc.), maar ook de medewerkers die werken op verschillende locaties waar ze toegang moeten krijgen tot die gegevens. Deze gegevens zijn kwetsbaar en ongeautoriseerd gebruik kan leiden tot overtreding van de AVG en GDPR regelgeving en dus des te belangrijker om hier de nodige aandacht aan te schenken.
Aantal datalekmeldingen per sector
Wellicht bent u er van overtuigd dat het bij uw zorginstelling goed geregeld omdat er geen incident is geweest tot nu toe. In deze whitepaper behandelen wij een aantal onderwerpen waarbij u zich kunt afvragen “hoe is dat nu in onze organisatie geregeld ?“ Als u hierop geen duidelijk antwoord kan krijgen dan geven wij u door het lezen van deze whitepaper enkele handvatten om uw organisatie verder te helpen.
Om een beeld te geven hierbij een aantal artikelen die in de media zijn verschenen en de nadruk waarom data beveiliging belangrijk is;
Bron: Overzicht van bekende datalekken | About Privacy
Flinke boete voor UWV datalek: “Pijnlijk als dit soort gegevens in verkeerde handen terechtkomen”
“Het UWV heeft jarenlang het versturen van groepsberichten via de ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website, waar werkzoekenden contact hebben met het UWV. Hierdoor waren er vele datalekken van persoonlijke gegevens van ruim 15.000 mensen, onder meer over hun gezondheid.”
Bron: Flinke boete voor UWV vanwege datalek: ‘Pijnlijk als dit soort gegevens in verkeerde handen terechtkomen’ | Trouw
Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis
De AP constateert dat het HagaZiekenhuis onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HagaZiekenhuis handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG.
Bron: haga_rapport_def.pdf (autoriteitpersoonsgegevens.nl)
Deze voorbeelden geven aan hoe belangrijk het is om gegevens te beschermen. De volgende 3 elementen spelen hierbij een crusiale rol.
Wat we ook doen aan processen en techniek dan zal de mens vaak nog steeds een belangrijke factor blijven bij het ontstaan van datalekken.
Een belangrijke oorzaak van onbedoeld gegevens lekken is omdat mensen welke hun laptop niet dicht doen of “locken” als ze even van hun plek lopen. Het zal voor de ene functie wellicht niet veel impact hebben maar de andere wel. De systeembeheerder welke toegang heeft tot allerlei gevoelige data of de restaurantmedewerker welke de menu’s in het systeem zet. Er is een verschil echter als je de techniek niet goed hebt ingeregeld kan je zelfs met het account van de restaurantmedewerker datalekken veroorzaken.
“Van de gemelde datalekken in 2020 is 66% van het type "Persoonsgegevens verstuurd" of "Afgegeven aan een verkeerde ontvanger”
Bron: autoriteitspersoongegevens 2020
De vragen welke Raad van Bestuur aan uw organisatie zou kunnen stellen:
Hoe staat het bij u met het registeren van medewerkers, leveranciers, klanten, stagiaires? Het proces waar ik op doel is het bekende Instroom, Doorstroom en Uitstroom proces.
Als we dit zien in het licht van datalekken moet u kijken hoe dit proces is ingeregeld. Een dergelijk proces is essentieel om te zorgen dat het verkrijgen van toegangen op data, via applicaties, goed en veilig geregeld is. Is dit niet goed geregeld dan komt u bedrijf in de media of terecht bij Autoriteit Persoonsgegevens. De vraag is alleen wanneer dit gaat gebeuren.
Een drietal simpele voorbeelden:
Een nieuwe medewerker wordt aangenomen bij een facilitair bedrijf en heeft toegang nodig tot gebouwen, bepaalde ruimtes en applicaties.
Vanuit het aanvraagproces voor toegangen (autorisaties) krijgt de medewerker A exact dezelfde autorisaties als een andere bestaande medewerker B. Echter medewerker B is een re-integratie is gestart bij Facility en hierdoor heeft hij autorisaties gekregen van facility. Eigenlijk is hij HR medewerkers welke toegang heeft tot persoonlijke gegevens van medewerkers.
Doordat er bij de aanvraag de zogenaamde Voorbeeld Gebruiker is gebruikt (doe maar hetzelfde als B) heeft medewerker A nu ook toegang tot alle HR gegevens van alle medewerkers. Medewerker A krijgt zo onbedoeld toegang tot de persoonlijke gegevens van alle medewerkers.
Medeweker A is goed bezig bij facility en besluit stap te nemen naar de zorgkant. Hij/Zij gaat naar een ander team en begint als begeleider Zorg. A krijgt nu toegang tot zorgdossiers en cliënten data. Even kijkend naar de instroom en het verkrijgen van autorisaties, zal dit dus betekenen dat A heel veel overbodige autorisaties zal krijgen.
Medewerker A gaat met een welverdiende pensioen en vanuit HR zal A worden afgemeld want A krijgt geen loon meer. Worden dan nu ook alle accounts waar de toegangsrechten ook afgesloten? Hoe werkt dat bij uw bedrijf? Hoe zit het met de controle?
Voor de IDU processen kunt u de volgende vragen stellen:
Als laatste nemen we u mee naar de techniek. Applicaties gebruiken we vanwege snelheid, gemak en op den duur kosten technisch. Als we de applicaties nu goed bekijken dan zult u zien dat applicaties vaak verouderd zijn of technieken gebruiken met betrekking tot toegang welke niet meer voldoet aan de problemen van datalekken.
Dit zijn de vragen die u hierover zou kunnen stellen:
Al deze vragen leiden tot data beveiliging of het mogelijk kunnen anticiperen op bepaalde situaties zodat uw bedrijfsvoering gecontroleerd en zo goed mogelijk door kan gaan.
Zoals genoemd in de inleiding heeft (privacy) gegevens lekken, bewust of onbewust, een grote impact op uw organisatie en als Raad van Bestuur heeft u een directe verantwoordelijkheid. Imago schade is niet alleen slecht voor de naam van uw organisatie maar het kan u ook in een pijnlijke situatie brengen.
Stel kritische vragen aan HR, Ciso en Functionaris Gegevensbescherming zodat zij u kunnen informeren over hoe het nu voorstaat binnen de organisatie en waar kwetsbaarheden en eventueel pijnpunten zitten. Focus op gegevens beveiliging en vooral cliënten bescherming.
Wilt u meer weten over dit onderwerp? Of heeft u andere vragen? Wij zijn IGA specialisten.
Wij houden non-profit organisaties uit de krant door te zorgen dat de juiste mensen bij de juiste informatie kunnen. Wij kunnen binnen enkele weken inzichtelijk maken of u zich zorgen moet maken over privacy gevoelige data in uw organisatie. Dat slaapt een stuk lekkerder.
U kunt contact met ons opnemen op 0515 70 10 50 of mail naar info@IDProfs.nl