Zorginstellingen in Nederland zijn grootverwerkers van privacygevoelige gegevens, maar de meerderheid geeft aan niet bekend te zijn met relevante (nieuwe) wet- en regelgeving.

Ook lopen zorgorganisaties risico’s omdat informatiebeveiliging nog te vaak niet de kerntaak is van bestuurders of directie (51%) en niet of onvoldoende informatiebeveiligingsbeleid doorgevoerd is (56%). Dit blijkt uit een enquête van BDO onder 55 zorginstellingen. De borging van informatiebeveiliging, de toenemende regeldruk vanuit de overheid en de geringe voorbereiding op de nieuwe wet- en regelgeving baren de onderzoekers zorgen.

Privacywet- en regelgeving worden steeds meer aangescherpt en staan nadrukkelijk in de maatschappelijke belangstelling. Daarom heeft BDO zorginstellingen bevraagd over verschillende aspecten van informatiebeveiliging. In de periode januari tot en met april 2015 hebben respondenten van 55 instellingen uit diverse zorgsectoren meegewerkt aan een uitgebreide informatiebeveiligingsscan. De uitkomsten zijn samengevat in een rapport (pdf).

Vanwege toenemende impact van IT heeft de Europese Commissie besloten dat de huidige richtlijn van de privacyverordening moet worden aangepast. De verwachting is dat de nieuwe verordening in de loop van 2016 wordt goedgekeurd door het parlement. Daarmee wordt de verordening ook rechtstreeks van kracht in Nederland. Het voorstel bevat nieuwe en strengere privacyregels. Ook kunnen er boetes worden opgelegd die oplopen tot 100 miljoen euro als organisaties niet voldoen. Van de respondenten heeft niet meer dan 40 procent inhoudelijke kennis over deze aanstaande verordening. Van dat percentage hebben alle zorginstellingen één of meer maatregelen genomen om zich hierop voor te bereiden. “Dat is niet voor niets. Als zorginstellingen niet voldoen aan deze strengere regels dan kunnen zij in het ergste geval hun toelating verliezen. Dat betekent dat een instelling dan geen zorg meer mag bieden die bijvoorbeeld voor vergoeding op grond van de Zorgverzekeringswet of de Wet langdurige zorg in aanmerking komt”, stelt Robert van Vianen, één van de onderzoekers en tevens partner bij BDO.

Wanneer er sprake is van een datalek en persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dan moet dat volgens de meldplicht datalekken direct gemeld worden aan het College bescherming persoonsgegevens (CBP). Het kabinet heeft deze meldplicht recent verder aangescherpt, met name door het CBP (dat met de inwerkingtreding van deze wet per 1 januari 2016 verdergaat onder de nieuwe naam Autoriteit Persoonsgegevens) de bevoegdheid te geven aanzienlijk hogere boetes te kunnen opleggen. Dit kan oplopen tot 810.000 euro of, als dat niet passend is, 10 procent van de jaaromzet. Slechts 38 procent van de respondenten is bekend met de werking van deze meldplicht. Van deze 38 procent heeft nog geen eenderde maatregelen getroffen om aan deze wet te voldoen.

Uit het onderzoek blijkt dat de verantwoordelijkheid voor informatiebeveiliging op verschillende niveaus is belegd in de organisatie: 49 procent bij het hoogste orgaan, directie of raad van bestuur, en in 44 procent van de gevallen bij de IT-verantwoordelijke. En dat terwijl de norm voor informatiebeveiliging in de zorg (de zogenoemde NEN 7510) heel duidelijk is; de directie is niet alleen op papier verantwoordelijk, maar moet ook het beleid actief monitoren, aanscherpen en goedkeuren. Ook op het gebied van informatiebeveiligingsbeleid is er ruimte voor verbetering. Slechts 44 procent van de respondenten geeft aan dat er een helder geïmplementeerd beleid is voor alle medewerkers en relevante derden. Zo’n 15 procent van de ondervraagden zegt daarmee bezig te zijn. Goed nieuws is er ook: alle ondervraagde zorginstellingen hebben maatregelen getroffen om te voorkomen dat internetcriminelen privacygevoelige informatie in handen kunnen krijgen. Opvallend is wel dat 42 procent dit niet heeft gedaan op basis van een risicoanalyse. In die gevallen zijn risico’s op blinde vlekken aanwezig en als gevolg daarvan mogelijk te lage of juist onnodige investeringen gedaan.