De Autoriteit Persoonsgegevens (AP) gaat de komende maanden onaangekondigde steekproeven uitvoeren bij ziekenhuizen, huisartsenposten en andere zorgverleners om te controleren hoe zij patiëntgegevens beveiligen. De privacytoezichthouder richt zich daarbij vooral op de omgang met medische dossiers, omdat deze gegevens tot de meest gevoelige categorie binnen de AVG behoren.

Volgens de AP hebben zorgaanbieders een grote verantwoordelijkheid om deze informatie zorgvuldig te beschermen. Alleen behandelaars en strikt bevoegde medewerkers mogen een medisch dossier inzien, en zorginstellingen moeten actief controleren of dat ook daadwerkelijk gebeurt. Daarnaast moeten systemen voldoende beschermd zijn tegen datalekken en cyberaanvallen. De toezichthouder signaleert dat dit in de praktijk vaak misgaat: de beveiliging is regelmatig onvoldoende en bij de uitwisseling van patiëntgegevens tussen zorgverleners gaat het nog te vaak fout.

Grote impact bij diefstal

AP-vicevoorzitter Monique Verdier benadrukt dat burgers erop moeten kunnen vertrouwen dat hun medische informatie veilig is. Volgens haar is de impact groot wanneer gegevens worden gestolen of wanneer medewerkers zonder noodzaak in medische dossiers kijken. De AP combineert de controles daarom met voorlichting, zodat organisaties beter begrijpen welke maatregelen volgens de AVG noodzakelijk zijn en hoe zij die moeten toepassen.

Zorg koploper in incidenten

Dat is hard nodig, blijkt uit de cijfers. In 2024 kwamen ruim 6800 datalekmeldingen uit de zorgsector binnen, waarmee de zorg opnieuw koploper was in het aantal incidenten. Cybercriminelen richten zich bovendien steeds vaker op zorginstellingen, waarbij gestolen gegevens soms worden gebruikt om druk uit te oefenen of losgeld te eisen. Een recente hack bij het laboratorium Clinical Diagnostics liet zien hoe groot de gevolgen kunnen zijn wanneer medische gegevens in verkeerde handen vallen. De AP is naar aanleiding van die aanval een afzonderlijk onderzoek gestart.

Beveiliging versterken

Met de aangekondigde controles wil de AP de beveiliging van patiëntgegevens in de sector versterken. Zorgaanbieders die hun processen nog niet op orde hebben, worden tijdens de bezoeken aangesproken én geholpen om verbeteringen door te voeren. Verdier benadrukt dat de bescherming van gezondheidsdata geen keuze is, maar een wettelijke plicht die de basis vormt voor vertrouwen in de zorg.