Wet bescherming persoonsgegevens

De privacywetgeving bevat een groot aantal verplichtingen, die niet allemaal even concreet zijn. Hoe weet je nu wanneer je voldoet aan de wet of niet?

Wet bescherming persoonsgegevens en medische gegevens

De Wet bescherming persoonsgegevens (Wbp) is in 2001 in werking getreden en is gebaseerd op Europese regelgeving. Een persoonsgegeven is een gegeven dat zonder buitensporige inspanningen is te herleiden tot een natuurlijk persoon. De wet heeft een aantal gegevens aangewezen als “bijzondere” persoonsgegevens. Hieronder vallen gegevens betreffende iemands gezondheid. Zorginstellingen hebben met hun medische gegevens dus direct te maken met de specifieke bepalingen over bijzondere gegevens. Als basis is het verwerken van bijzondere persoonsgegevens verboden, behoudens de expliciet beschreven uitzonderingen. Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening vallen onder bedoelde uitzonderingen, maar wel met het voorbehoud voor zover dat noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene. Andere genoemde uitzonderingen zijn onder meer verzekeraars, scholen en werkgevers. Naast goede verzorging kunnen er andere redenen zijn om medische gegevens te verwerken zoals wettelijke verplichting of  noodzaak voor het beheer van de zorginstelling (administratie).

De wet stelt een aantal eisen aan bijvoorbeeld zorgvuldigheid van de verwerking, doel waarvoor verwerkt mag worden en maximale bewaartermijnen.

Een van de kernpunten van de wet is dat persoonsgegevens passend beveiligd moeten worden. De wetgever heeft met opzet gekozen voor de term passend, omdat de invulling hiervan verandert als de stand van de techniek verandert. Maar wanneer heb je als organisatie op de juiste manier invulling gegeven?

Passende beveiliging en Richtsnoeren beveiliging persoonsgegevens

Het College Bescherming Persoonsgegevens (CBP) heeft Richtsnoeren gepubliceerd om organisaties handvatten te geven bij het voldoen aan de wet. De aanpak die het College Bescherming Persoonsgegevens voorstaat is een risico-gebaseerde aanpak die wordt vormgegeven door middel van een plan-do-check-act-cyclus. Dit is de aanpak die we in de informatiebeveiliging ook kennen in de normen ISO 27001 en NEN 7510. Als eerste breng je in kaart welke informatie aanwezig is in de organisatie en waar deze opgeslagen en verwerkt wordt. Op basis daarvan breng je in kaart welke risico’s er zijn dat informatie toegankelijk is voor onbevoegden. Voor elk van de risico’s bepaal je als organisatie welke risico’s je accepteert en voor welke je maatregelen treft. Veel mogelijke maatregelen zijn beschreven in de NEN 7510. Het is dus niet verplicht om al deze maatregelen te implementeren! Je kiest die maatregelen die in samenhang voldoende zijn om de gesignaleerde risico’s terug te brengen tot een acceptabel risico.

Maatregelen zijn te verdelen in technische, organisatorische en procedurele maatregelen. Hiervan lijken technische maatregelen het meest grijpbaar. Maar laat informatiebeveiliging vooral niet het feestje van de IT-afdeling worden! Bij alle maatregelen is het van belang dat de mensen die erbij betrokken zijn het waarom van de maatregelen begrijpen en inzien wat de risico’s zijn. Vaak wordt gezegd dat de mens de zwakste schakel is in het samenstel van maatregelen. Het expliciet werken aan het bewustzijn bij medewerkers op alle niveaus draagt bij aan informatieveiligheid. Mensen die doordrongen zijn van het belang van goede beveiliging van informatie zullen ook alert zijn op situaties waar er kans is dat informatie toegankelijk is voor onbevoegden. Als er een cultuur is waar men wil leren van incidenten en waar mensen niet bang zijn misstanden, klein of groot, te melden, dan is er direct een prima basis voor het veilig houden van gevoelige informatie.

Informatieveiligheid en vertrouwen

Het verlenen van goede zorg is waar het om draait bij zorginstellingen. Maar om het vertrouwen van cliënten te winnen en te behouden is zorgvuldigheid met medische gegevens ook een vereiste. Als je weet waar informatie zich bevindt van ontstaan tot vernietiging kun je de risico’s in kaart brengen en passende maatregelen treffen. En dat is precies wat de wet van je vraagt.

In mijn blogs wil ik graag ingaan op wat leeft bij organisaties die met medische gegevens werken. Vul in de comments hieronder in waar jij tegenaan loopt bij toepassing van de Wet bescherming persoonsgegevens, dan kom ik daar in volgende artikelen op terug.