CBP legt 4 ziekenhuizen dwangsom op
Vier ziekenhuizen hebben privacygevoelige informatie van patienten niet goed genoeg beveiligd. Volgens het CBP handelen de ziekenhuizen in strijd met de Wet bescherming persoonsgegevens (Wbp) doordat het niveau van informatiebeveiliging niet voldoet aan de daarvoor geldende norm. Met name het ontbreken van kennis over waar men welke risico’s loopt op het gebied van informatiebeveiliging rekent het CBP de ziekenhuizen aan. Dit kan namelijk ernstige gevolgen hebben voor de kwaliteit van de zorg en de privacy van patienten. Het betreft Ommelander Ziekenhuis Groep, MC/Lelystad, Medisch Spectrum Twente en het Rijnland Ziekenhuis. Over een vijfde aangesproken ziekenhuis, het Diaconessenhuis Leiden, heeft het CBP besloten om af te zien van het opleggen van een last onder dwangsom, onder meer omdat dat ziekenhuis inmiddels wel beschikt over een adequate risicoanalyse. De ziekenhuizen hebben 3 maanden om de zaak op orde te brengen.
Naar aanleiding van het onderzoek naar het niveau van informatiebeveiliging door het CBP in samenwerking met de Inspectie voor de Gezondheidszorg (IGZ) in 2007, kregen de ziekenhuizen tot 15 oktober 2008 de tijd om een Plan van Aanpak op te stellen. Hierin moest duidelijk worden omschreven wat het ziekenhuis onderneemt om de beveiliging op orde te brengen zodat het aan de geldende norm voor informatiebeveiliging in de zorg voldoet. Een actuele risicoanalyse van de informatiebeveiliging moest onderdeel uitmaken van het Plan van Aanpak. Drie van de vier ziekenhuizen hebben in hun Plan van Aanpak geen adequate analyse opgenomen. “Als je niet weet waar risico’s gelopen worden, kun je ook geen serieuze informatiebeveiliging ontwikkelen. Het ontbreken van een goede risicoanalyse is voor ons mede aanleiding om een gele kaart uit te delen in de vorm van een last onder dwangsom. Als de ziekenhuizen hun informatiebeveiliging niet binnen drie maanden op orde brengen, volgt een rode kaart en innen we de dwangsomâ€, aldus CBP-voorzitter Jacob Kohnstamm.
De last onder dwangsom verschilt per ziekenhuis. Naast het niet uitvoeren van een juiste risicoanalyse informatiebeveiliging zijn in het handhavingsbesluit verschillende maatregelen genoemd waarvan het CBP van oordeel is dat deze getroffen hadden moeten worden. Het betreft onder meer het opstellen van een rapportage van de risicoanalyse informatiebeveiliging, het vaststellen van een functieprofiel voor een informatiebeveiligingsfunctionaris, het aanstellen van een informatiebeveiligingsfunctionaris en het aanwijzen van een portefeuillehouder informatiebeveiliging binnen de Raad van Bestuur.
In ziekenhuizen is sprake van verwerking van persoonsgegevens betreffende de gezondheid. De beveiliging van dergelijke gegevens moet aan de hoogste normen voldoen. In 2007 heeft het CBP samen met IGZ onderzoek gedaan naar de informatiebeveiliging in twintig ziekenhuizen. De conclusie van dat onderzoek was dat geen van de onderzochte ziekenhuizen aan de norm voor de informatiebeveiliging voldoet, de zogeheten NEN 7510. Het CBP heeft de ziekenhuizen in juli 2008 al geïnformeerd over het voornemen om handhavend op te treden indien de ziekenhuizen onvoldoende maatregelen namen om de informatiebeveiliging te verbeteren. Vier van de twintig onderzochte ziekenhuizen maken nog steeds onvoldoende voortvarend werk van het verbeteren van de informatiebeveiliging en krijgen een last onder dwangsom opgelegd door het CBP.
Bron: CBP