Zijn uw patiëntengegevens veilig?

woensdag 5 oktober 2016
timer 6 min
Weet u dat u als praktijkhouder juridisch aansprakelijk blijft voor de gegevens van uw patiënten? Ook als deze data door een hack in handen van cybercriminelen vallen of door de schuld van een door u ingeschakelde partij op straat komen te liggen? Een overzicht van wat u kunt doen om uw data en de privacy van uw patiënten zo goed mogelijk te beschermen.

Elke medische praktijk beheert patiëntengegevens: belangrijke data die u moet beschermen. Niet alleen om te voldoen aan de steeds strengere privacywetgeving, maar ook in het belang van uw patiënten en u zelf. Criminelen zijn namelijk ook geïnteresseerd in uw data. Een crimineel kan bijvoorbeeld, en dat is echt gebeurd, alle patiënten een brief sturen met het verzoek hun factuur op een ander rekeningnummer te betalen.

 

Om uw data zo goed mogelijk te beschermen, moet u op drie niveaus maatregelen nemen:

  1. Uw eigen IT-infrastructuur
  2. Uw gedrag  en dat van uw medewerkers
  3. Hoe uw partners met uw data omgaan

IT-infrastructuur

Als u denkt dat uw praktijk niet zo interessant is voor hackers, heeft u het mis. Het bedrijf Qfast , gespecialiseerd in ICT-ondersteuning van praktijken (onder andere  tandartsen, orthodontisten, mondhygiënisten, huisartsen, fysiotherapeuten en GGZ) monitorde eerder dit jaar tien tandartspraktijken en ontdekte dat hun IP-adressen veel aanvallen te verduren krijgen.

 

Waarom zouden criminelen geïnteresseerd zijn in uw data? Omdat deze gegevens op de zwarte markt geld opleveren. Een naam met telefoonnummer is 5 euro waard, met volledige BSN en adres levert het 300 euro op. Wat ook vrij vaak voorkomt, juist bij kleine bedrijven, is dat criminelen een computersysteem blokkeren en pas na het betalen van een flink bedrag aan losgeld weer vrijgeven.

 

Maatregelen die u kunt nemen:

  • Upgrade al uw systemen (Windows, Java et cetera) steeds naar de laatste versie. In Windows10 zijn bijvoorbeeld veel beveiligingsproblemen opgelost.
  • Zorg voor een goede viruschecker en firewall en update die regelmatig.
  • Gebruik geen wifi en bied dus ook geen gratis wifi aan in de wachtkamer. Als u dat toch wilt aanbieden, neem dan een aparte lijn. Zorg dat uw apparatuur niet makkelijk toegankelijk is, zet het bij voorkeur in een aparte afgesloten ruimte.
  • Firefox is een van de veiligste internetbrowsers.
  • Als u uw medewerkers vanuit huis wilt laten inloggen, zorg dan voor een goed beveiligingsbeleid. Uit het onderzoek van Qfast bleek dat de meeste problemen ontstonden doordat medewerkers op afstand inlogden zonder degelijke authenticatiemethode.
  • Doe zaken met een professionele IT-aanbieder die minimaal een keer per jaar de veiligheid van uw praktijk doorlicht.

Gedrag

Aan een goed beveiligde IT-omgeving heeft u niets als u en uw personeel niet zorgvuldig omgaan met wachtwoorden of pc’s niet ‘locken’.  

 

Maatregelen die u kunt nemen:

  • Zorg samen met uw IT-leverancier voor een goed wachtwoordbeleid: bepaal hoe een wachtwoord eruit moet zien en hoe vaak het moet wisselen. Als u de inloggegevens van uw medewerkers ergens centraal bewaart, doe dat dan in een beveiligd bestand. Geen lijstje met inlognamen en wachtwoorden op het prikbord!
  • Waarschuw uw medewerkers voor ‘phishing mails’, die zijn soms moeilijk van echt te onderscheiden.
  • Laat medewerkers hun computer blokkeren indien hij of zij  even van zijn of haar plaats loopt.
  • Klik niet op reclames op websites, ook op betrouwbare websites kunnen advertenties staan die malware op uw netwerk installeren.

Partners

De data die u als zorgaanbieder verzamelt, worden vaak verwerkt binnen andere bedrijven. Toch blijft u verantwoordelijk voor deze data vanuit het perspectief van de Wet bescherming persoonsgegevens (Wbp). Het is dus erg belangrijk u ervan te vergewissen dat uw partners en leveranciers verantwoord omgaan met de persoonsgegevens van uw patiënten.

 

Om te beginnen moet u in kaart brengen met welke partijen u data uitwisselt. De meest belangrijke partners van eerstelijnspraktijken zijn doorgaans de leverancier van praktijksoftware en het factoringbedrijf dat uw declaraties verzorgt.

 

Maatregelen die u kunt nemen zijn:

  • Sluit met alle partners die patiëntgegevens verwerken een bewerkersovereenkomst af waarin expliciet staat vermeld dat het bedrijf uw data goed moet beveiligen. De Wbp verplicht  hen om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.
  • Ga daarbij ook na welk protocol uw partners hanteren voor het melden van datalekken. Wist u dat de Autoriteit Persoonsgegevens  forse boetes mag opleggen als datalekken niet of niet op tijd gemeld worden?
  • Denk ook aan onderaannemers. Vaak werkt de partner ook weer met andere bedrijven samen. Een factoringbedrijf kan bijvoorbeeld zaken doen met een incassobureau of een printbedrijf.  In alle schakels van de keten moet de veiligheid van uw patiëntengegevens worden beschermd. U kunt van uw directe partners eisen dat ze ook weer bewerkersovereenkomsten afsluiten met hun onderaannemers.
  • Kijk naar certificering. Het is moeilijk om zelf in te schatten hoe goed een partner zijn informatiebeveiliging op orde heeft. De meeste zekerheid heeft u als een partner ISO27001 of NEN7510 gecertificeerd is. Dit zijn speciale normen voor informatiebeveiliging. En dan ben u ervan verzekerd dat getrainde auditors jaarlijks de kwaliteit van het informatiebeveiligingsbeleid toetsen.
  • E-mail is niet veilig voor het uitwisselen van patiëntengegevens. Zorg ervoor dat u patiëntgegevens uitsluitend uitwisselt via bijvoorbeeld een beveiligde portal.

Honderd procent veiligheid bestaat niet, maar als u maatregelen neemt om zo veilig mogelijk met uw patiëntengegevens om te gaan (en deze maatregelen ook documenteert!) kunnen uw patiënten ervan op aan dat u al het mogelijke gedaan heeft om hun persoonsgegevens te beschermen. En u staat juridisch sterker mocht het onverhoopt toch een keer fout gaan.

 

PM Regiomiddagen

Op de PM Regiomiddagen spreekt Fred Bloem over de beveiliging van patiëntengevens. Wilt u meer informatie? Kijk op www.pmregiomiddag.nl.

 

Fred Bloem is financieel directeur van factoringbedrijf Infomedics ( www.infomedics.nl). Infomedics is sinds 2015 ISO 27001 en NEN7510 gecertificeerd. Infomedics eist van alle partners in haar keten dezelfde certificeringsgraad, waardoor het bedrijf inmiddels volledig ketengecertificeerd is.


Lees meer over het onderzoek door Qfast op https://www.qfast.nl/zelfs-tandarts-wordt-gehackt

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.
Zijn uw patiëntengegevens veilig?

Meer artikelen met dit thema

‘WoonZorgWijzer’ en ‘Digitale Reflectie Tafel’: hulpmiddelen om datagestuurd te ondernemen
flash_onNieuws

‘WoonZorgWijzer’ en ‘Digitale Reflectie Tafel’: hulpmiddelen om datagestuurd te ondernemen

12 nov 2020 timer3 min
Wil je weten wie er in je wijk wonen? Hoe je patiëntenpopulatie zich in de toekomst ontwikkelt? En wat betekent…
Lees verder »
Alexander Tolmeijer over ‘Innovaties in de Mondzorg’: ‘Innoveren moet implementeren worden’
flash_onNieuws

Alexander Tolmeijer over ‘Innovaties in de Mondzorg’: ‘Innoveren moet implementeren worden’

12 nov 2020 timer6 min
Innoveren is moeilijker dan je denkt, stelt Alexander Tolmeijer (tandarts en adviseur bij Dentiva). Tijdens de…
Lees verder »
Jelle Jouwsma (FysioHolland): ‘Blended therapie net zo effectief als reguliere behandeling’
flash_onNieuws

Jelle Jouwsma (FysioHolland): ‘Blended therapie net zo effectief als reguliere behandeling’

12 nov 2020 timer5 min
Jelle Jouwsma gaf tijdens de online Dag van de Praktijkhouder 'Digitalisering en regionalisering' (7 november) een…
Lees verder »
Regiovisie ‘Oet Twente’ vertaald naar digitale oplossing: ArtsOnline
flash_onNieuws

Regiovisie ‘Oet Twente’ vertaald naar digitale oplossing: ArtsOnline

11 nov 2020 timer4 min
Erik Veldboer en Carin Pipers legden tijdens hun presentatie tijdens de online Dag van de Praktijkhouder over…
Lees verder »
'Hybride' zorgaanbieder Quin presenteert digitaal platform om huisarts te ontlasten
flash_onNieuws

'Hybride' zorgaanbieder Quin presenteert digitaal platform om huisarts te ontlasten

10 nov 2020 timer3 min
Quin is een snelgroeiende digitale zorgaanbieder met fysieke praktijken die patiënten en huisartsen ondersteunt in…
Lees verder »
KNMT onderzoekt verdere digitalisering medicatieproces
flash_onNieuws

KNMT onderzoekt verdere digitalisering medicatieproces

5 nov 2020 timer2 min
De KNMT onderzoekt de mogelijkheden voor het verder digitaliseren van het medicatieproces in de mondzorg. Dit doet…
Lees verder »
Huisarts Vladan Ilic over 'digital first': ‘We hebben nu veel meer tijd, dertig minuten per consult’
mic_external_onInterview

Huisarts Vladan Ilic over 'digital first': ‘We hebben nu veel meer tijd, dertig minuten per consult’

4 nov 2020 timer6 min
Door innovatieve technologie te gebruiken, ontstaat een nieuwe relatie met de patiënt. Dat ontdekte de Amsterdamse…
Lees verder »
Ruben Hoefnagels (Tandarts Today): ‘Een platte organisatiestructuur geeft meer ruimte voor innovatie’
flash_onNieuws

Ruben Hoefnagels (Tandarts Today): ‘Een platte organisatiestructuur geeft meer ruimte voor innovatie’

4 nov 2020 timer5 min
Ruben Hoefnagels is eigenaar van Tandarts Today, een keten van tien tandartspraktijken en een tandtechnisch lab.…
Lees verder »