'Naïviteit rond persoonsgegevens niet voorbehouden aan de zorg'
De Autoriteit Persoonsgegevens (AP) uitte maandag zijn zorgen over ‘regelmatig terugkerende signalen’ over patiëntdossiers, die onder ogen komen van medewerkers van zorginstellingen die daar niets mee te maken hadden. Hoewel onderzoek van de AP uitwijst dat de situatie inmiddels voldoet aan de wettelijke eisen, wijst de open brief er op dat de toezichthouder allerminst gerust is dat dat ook zo blijft.
Naïviteit komt vaker voor
“Voor de goede orde,” stelt Lacroix in zijn reactie, “dit is geen uniek probleem voor de zorg. Je kunt hooguit zeggen dat de hoeveelheid, en de gevoeligheid van de persoonsgegevens in die branche erg hoog ligt. Maar wij hebben alle reden om aan te nemen dat de naïviteit van organisaties op dit gebied niet voorbehouden is aan de zorg.” Wat deze brief volgens Lacroix wel eens te meer aantoont, is dat de bescherming van data geen zaak is die alleen het externe verkeer aangaat. “Ook binnen organisaties bestaat de verplichting om te zorgen dat persoonsgegevens niet worden ingezien door ongeautoriseerd personeel. Dat betekent dat voor de toegang tot deze gegevens helder en controleerbaar beleid moet worden opgesteld – en dat de hele organisatie van het belang van het navolgen van dat beleid op de hoogte moet worden gebracht.”
Forse boete mogelijk
Lacroix wijst er nogmaals op dat uitstel van maatregelen om de organisatie voor te bereiden op de meldplicht datalekken een groot risico met zich meebrengt. "De Autoriteit Persoonsgegevens kan al bij geringe verdenking van ziekenhuizen vereisen dat zij de beveiliging van hun IT-infrastructuur inzichtelijk maken. Daarop kan een berisping volgen of bij ernstige tekortkomingen zelfs een boete tot 820.000 euro.”
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee