Optreden CBP leidt tot adequate risicoanalyse van Rijnland Ziekenhuis
ArrayInzicht in risico’s noodzakelijk voor goede beveiliging patientgegevens
In ziekenhuizen gaat het veelal om gevoelige gegevens betreffende de gezondheid. Het is dan ook in het belang van de kwaliteit van de zorg en de privacy van patienten dat deze gegevens juist zijn en goed beveiligd. Zonder kennis over mogelijke risico’s is het niet goed mogelijk om een serieuze informatiebeveiliging te ontwikkelen en gevoelige gegevens betreffende de gezondheid adequaat te beveiligen. Het Rijnland Ziekenhuis (Stichting Rijnland Zorggroep) te Leiderdorp heeft inmiddels zicht op de sterke en zwakke plekken in de beveiliging van zijn informatiesystemen en een adequate risicoanalyse uitgevoerd. Dat is de conclusie van het College bescherming persoonsgegevens (CBP) waarmee het een vervolgonderzoek naar de informatiebeveiliging in het ziekenhuis afsluit.
Lees de brief betreffende de risicoanalyse informatiebeveiliging Rijnland Ziekenhuis (Stichting Rijnland Zorggroep) (47 KB)
Lees het rapport van de definitieve bevindingen naleving last onder dwangsom (87 KB)
Zie ook de persberichten uit 2008, 2009 en de mededeling uit 2010
Naar aanleiding van eerder onderzoek had het CBP in juni 2009 onder meer het Rijnland Ziekenhuis een last onder dwangsom opgelegd omdat het beveiligingsniveau niet voldeed aan de hiervoor geldende norm. Met name het ontbreken van een adequate risicoanalyse werd het ziekenhuis zwaar aangerekend. Het ziekenhuis kreeg hierop drie maanden de tijd om de informatiebeveiliging alsnog op orde te brengen. Tijdens de controle na afloop van de termijn bleek dat het ziekenhuis nog steeds geen gedegen risicoanalyse had uitgevoerd waardoor de dwangsom is verbeurd. Het Rijnland Ziekenhuis heeft in het licht van de eerdere bevindingen en de handhavingsprocedure van het CBP opnieuw een risicoanalyse laten maken. Met deze laatste risicoanalyse heeft het Rijnland Ziekenhuis zijn informatiebeveiliging alsnog in overeenstemming gebracht met de Wet bescherming persoonsgegevens (Wbp). Daarmee is het door het CBP beoogde resultaat bereikt. Het CBP heeft na een zorgvuldige afweging van verschillende belangen dan ook besloten om de reeds verbeurde dwangsom niet te innen.
z2010-00032
Bron: CBP