Maak privacy in de zorg zorgvuldiger
Dat zorginstellingen de beveiliging van privacy niet op orde hebben staat voor meer
In april 2019 kwam in het nieuws dat Jeugdzorg Utrecht (nu “Samen Veilig”, what’s in a name?) zijn oude domeinnaam had laten verlopen en dat daardoor zorgdossiers terechtgekomen waren bij mensen die daar niets mee te maken hebben. Het goede van deze zaak is dat veel mensen zich nu realiseren waar privacy in de zorg over gaat: deze gegevens in verkeerde handen kan levens van kwetsbare jongeren, en de mensen om hen heen, kapot maken. Als fout wordt gezien dat Samen Veilig de domeinnaam niet meer had geregistreerd. Dat is inderdaad oerstom. Maar ik zie zo veel meer wat hier mis is. Waarom heeft een zorginstelling in vredesnaam zijn processen zo ingericht dat in een half jaar, de tijd dat de klokkenluiders de mailbox in beheer hadden, ruim 3200 dossiers via mail verstuurd werden? Een zorginstelling legt, normaal gesproken, gegevens vast in een elektronisch patiënten- of cliëntendossier (EPD/ECD). Een centraal systeem waaromheen je beheersing kunt inrichten. Je kunt regelen wie welke delen van dossiers mag inzien of muteren.Dat dat nog moeilijk genoeg is zie ik dagelijks bij zorginstellingen en bleek ook uit het verhaal over het OLVG dat in februari 2019 in het nieuws kwam. |
Mail = ongestructureerde informatie
Die informatieverwerking moet je wel zorgvuldig doen. Mailboxen bevatten bergen met ongestructureerde informatie. Alles wat er mis kan gaan, zowel technisch als door menselijke vergissingen, maakt dat mail een van de grootste bronnen van datalekken is. Dit blijkt ook uit de cijfers over datalekken van de Autoriteit Persoonsgegevens. Dus Samen Veilig, hoe kan het dat al deze informatie per mail verstuurd wordt, onversleuteld nog wel? Wie is eigenlijk de afzender? Hoe kan het dat er in 2019 nog mails gestuurd worden naar e-mailadressen die, als ik het goed begrijp, sinds 2015 niet meer gebruikt worden? Hoezo dit ongericht strooien met dossiers?Bestuurders en toezichthouders, wat doet u?
Mijn indruk is dat zorginstellingen die hun privacyzaken en informatiebeveiliging niet op orde hebben, vaak ook andere zaken niet op orde hebben. Ook hier zie ik berichtgeving dat er klachten en twijfels zijn over de hulpverlening van Samen Veilig. Het gaat om de bestuursagenda. En dus, om het breder te trekken dan alleen deze organisatie, beste bestuurders, directeuren, MT-leden én toezichthouders van zorginstellingen, is de vraag: heeft u dit onderwerp op de agenda staan? Wie is er volgens u verantwoordelijk dat uw zorginstelling voldoet aan de AVG? Wat heeft u gedaan om u te verdiepen in de risico’s en verplichtingen die er zijn op dit gebied? Wat heeft u gedaan om op de hoogte te zijn in hoeverre bij u de zaken geregeld zijn? Hoe faciliteert u de organisatie? Hoe vaak stelt ú de vraag, die bij bijna alles wat uw bestuurstafel passeert relevant is: Maar hoe zit het met de privacy en informatiebeveiliging? Samen Veilig Midden Nederland haastte zich te melden dat het lek van de domeinnaam gedicht is. Maar volgens mij is het echte lek nog niet boven, daar in Utrecht. Stuurt bij jullie zorginstelling ook nog iedereen alles per onbeveiligde mail? Neem eens contact op, ik denk graag met je mee. Deze blog verscheen op 16 april 2019 als opiniestuk in De Volkskrant. Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)[learn_press_profile]
0 Comments