CBP legt 4 ziekenhuizen dwangsom op

bescherming-privacyVier ziekenhuizen hebben privacygevoelige informatie van patienten niet goed genoeg beveiligd. Volgens het CBP handelen de ziekenhuizen in strijd met de Wet bescherming persoonsgegevens (Wbp) doordat het niveau van informatiebeveiliging niet voldoet aan de daarvoor geldende norm. Met name het ontbreken van kennis over waar men welke risico’s loopt op het gebied van informatiebeveiliging rekent het CBP de ziekenhuizen aan. Dit kan namelijk ernstige gevolgen hebben voor de kwaliteit van de zorg en de privacy van patienten. Het betreft Ommelander Ziekenhuis Groep, MC/Lelystad, Medisch Spectrum Twente en het Rijnland Ziekenhuis. Over een vijfde aangesproken ziekenhuis, het Diaconessenhuis Leiden, heeft het CBP besloten om af te zien van het opleggen van een last onder dwangsom, onder meer omdat dat ziekenhuis inmiddels wel beschikt over een adequate risicoanalyse. De ziekenhuizen hebben 3 maanden om de zaak op orde te brengen.

Naar aanleiding van het onderzoek naar het niveau van informatiebeveiliging door het CBP in samenwerking met de Inspectie voor de Gezondheidszorg (IGZ) in 2007, kregen de ziekenhuizen tot 15 oktober 2008 de tijd om een Plan van Aanpak op te stellen. Hierin moest duidelijk worden omschreven wat het ziekenhuis onderneemt om de beveiliging op orde te brengen zodat het aan de geldende norm voor informatiebeveiliging in de zorg voldoet. Een actuele risicoanalyse van de informatiebeveiliging moest onderdeel uitmaken van het Plan van Aanpak. Drie van de vier ziekenhuizen hebben in hun Plan van Aanpak geen adequate analyse opgenomen. “Als je niet weet waar risico’s gelopen worden, kun je ook geen serieuze informatiebeveiliging ontwikkelen. Het ontbreken van een goede risicoanalyse is voor ons mede aanleiding om een gele kaart uit te delen in de vorm van een last onder dwangsom. Als de ziekenhuizen hun informatiebeveiliging niet binnen drie maanden op orde brengen, volgt een rode kaart en innen we de dwangsom”, aldus CBP-voorzitter Jacob Kohnstamm.

De last onder dwangsom verschilt per ziekenhuis. Naast het niet uitvoeren van een juiste risicoanalyse informatiebeveiliging zijn in het handhavingsbesluit verschillende maatregelen genoemd waarvan het CBP van oordeel is dat deze getroffen hadden moeten worden. Het betreft onder meer het opstellen van een rapportage van de risicoanalyse informatiebeveiliging, het vaststellen van een functieprofiel voor een informatiebeveiligingsfunctionaris, het aanstellen van een informatiebeveiligingsfunctionaris en het aanwijzen van een portefeuillehouder informatiebeveiliging binnen de Raad van Bestuur.

In ziekenhuizen is sprake van verwerking van persoonsgegevens betreffende de gezondheid. De beveiliging van dergelijke gegevens moet aan de hoogste normen voldoen. In 2007 heeft het CBP samen met IGZ onderzoek gedaan naar de informatiebeveiliging in twintig ziekenhuizen. De conclusie van dat onderzoek was dat geen van de onderzochte ziekenhuizen aan de norm voor de informatiebeveiliging voldoet, de zogeheten NEN 7510. Het CBP heeft de ziekenhuizen in juli 2008 al geïnformeerd over het voornemen om handhavend op te treden indien de ziekenhuizen onvoldoende maatregelen namen om de informatiebeveiliging te verbeteren. Vier van de twintig onderzochte ziekenhuizen maken nog steeds onvoldoende voortvarend werk van het verbeteren van de informatiebeveiliging en krijgen een last onder dwangsom opgelegd door het CBP.

Bron: CBP

Redactie Medicalfacts/ Janine Budding

Ik heb mij gespecialiseerd in interactief nieuws voor zorgverleners, zodat zorgverleners elke dag weer op de hoogte zijn van het nieuws wat voor hen relevant kan zijn. Zowel lekennieuws als nieuws specifiek voor zorgverleners en voorschrijvers. Social Media, Womens Health, Patient advocacy, patient empowerment, personalized medicine & Zorg 2.0 en het sociaal domein zijn voor mij speerpunten om extra aandacht aan te besteden.

Ik studeerde fysiotherapie en Health Care bedrijfskunde. Daarnaast ben ik geregistreerd Onafhankelijk cliëntondersteuner en mantelzorgmakelaar. Ik heb veel ervaring in diverse functies in de zorg, het sociaal domein en medische-, farmaceutische industrie, nationaal en internationaal. En heb brede medische kennis van de meeste specialismen in de zorg. En van de zorgwetten waaruit de zorg wordt geregeld en gefinancierd. Ik ga jaarlijks naar de meeste toonaangevende medisch congressen in Europa en Amerika om mijn kennis up-to-date te houden en bij te blijven op de laatste ontwikkelingen en innovaties. Momenteel ben doe ik een Master toegepaste psychologie.

De berichten van mij op deze weblog vormen geen afspiegeling van strategie, beleid of richting van een werkgever noch zijn het werkzaamheden van of voor een opdrachtgever of werkgever.

Recente artikelen