Berichten

Gegevens van 1.400 UMCG-patiënten gelekt na diefstal laptops

NU.nl bericht:

“De gegevens van zo’n 1.400 patiënten zijn gelekt, na de diefstal van drie laptops uit het Universitair Medisch Centrum Groningen (UMCG). (…)

De laptops zijn eind oktober gestolen uit het Beatrix Kinderziekenhuis, onderdeel van het UMCG. Het gaat volgens een woordvoerster van het ziekenhuis om naw-gegevens (naam, adres, woonplaats), geboortedata en patiëntnummers.”

Lees HIER meer over hoe ziekenhuizen dit jaar alleen al verplicht waren 304 keer meldingen te maken over het verlies van privacygevoelige informatie.

Autoriteit Persoonsgegevens eist (geldige) bewerkersovereenkomst bij uitbesteden van verwerking medische gegevens

Zorginstellingen mogen de verwerking van medische gegevens, zoals het inscannen van medische dossiers, uitbesteden aan een externe organisatie. De desbetreffende zorginstelling houdt dan wel de verantwoordelijkheid over het gebruik en de bescherming van de medische gegevens. Dat betekent onder meer dat de zorginstelling ingevolge art. 14 van de Wet bescherming persoonsgegevens (hierna: Wbp) een bewerkersovereenkomst sluit met dit externe bedrijf.

Medische gegevens zijn bij uitstek privacygevoelig. Zij worden hierom aangemerkt als bijzondere persoonsgegevens in de zin van de Wbp. Andere voorbeelden van bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst, ras, politieke gezindheid, seksuele leven, alsmede iemands lidmaatschap van een vakvereniging en iemands strafrechtelijke verleden. De Autoriteit Persoonsgegevens (hierna: AP) meent dan ook dat de beveiliging ervan aan de hoogste normen moet voldoen. De verwerking van medische gegevens is ingevolge art. 16 juncto art. 21 Wbp slechts onder voorwaarden toegestaan.

In een persbericht van 17 mei jl. benadrukt de AP dat bij de digitalisering van patiëntdossiers (een verwerking) door een externe organisatie een bewerkersovereenkomst moet worden gesloten. De AP heeft geconstateerd dat ziekenhuizen geen goede afspraken hebben gemaakt met het bedrijf dat namens het ziekenhuis patiëntgegevens verwerkt. Door één ziekenhuis is zelfs in het geheel geen bewerkersovereenkomst gesloten. Bij twee andere ziekenhuizen ontbraken in de gesloten overeenkomst met het externe bedrijf details over de duur van de opslag en de beveiliging van de gegevens en was niet expliciet een plicht tot geheimhouding opgenomen.

De AP eist dat een dergelijke bewerkersovereenkomst aan bepaalde minimumeisen voldoet, zoals:

  • De overeenkomst moet specifiek over de gegevensverwerking door de bewerker (de externe organisatie) gaan.
  • De verplichtingen over en weer behoren duidelijk in de overeenkomst te zijn vastgelegd.
  • De overeenkomst bevat gedetailleerd het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en de beveiligingsmaatregelen.
  • In de overeenkomst is opgenomen hoe de verantwoordelijke (de zorginstelling) kan toezien op de naleving van waarborgen.
  • De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
  • Als sprake is van subbewerkerschap, moeten daarover bepalingen in de overeenkomst zijn neergelegd.

De AP heeft de drie betrokken ziekenhuizen een korte termijn verleend om alsnog een bewerkersovereenkomst te sluiten die aan de wettelijke vereisten, zoals neergelegd in de Wbp, voldoet. De AP controleert na afloop van de termijn opnieuw of er dan wel sprake is van een (geldige) bewerkersovereenkomst.

De AP voert regelmatig onderzoek uit binnen zorginstellingen. Conclusie daarvan is dat het privacy-beleid binnen zorginstellingen, net als bij gemeenten, nog in de kinderschoenen staat. Het is zelfs nog maar de vraag of de verbetertrajecten, die de AP reeds eerder nodig achtte – zie met name de open brief van de AP van 15 februari jl. – al zijn ingesteld binnen zorginstellingen. Na het recente onderzoek zijn zorginstellingen ook gewaarschuwd voor de gevaren die er zijn bij de verwerking van medische gegevens door een externe organisatie. Zorginstellingen kunnen niet meer zomaar voorbijgaan aan de constateringen en waarschuwingen van de AP, temeer daar de bevoegdheid van de AP om een bestuurlijke boete op te leggen is verruimd. Deze boetebevoegdheid is nader uitgewerkt in Boetebeleidsregels Autoriteit Persoonsgegevens 2016.

Het is dus zaak voor zorginstellingen om vast te stellen wat nu de stand van zaken is ten aanzien van de bescherming van medische gegevens door, onder andere, in kaart te brengen wie toegang (kunnen) krijgen tot patiëntgegevens. Op dit punt komen beleid, praktijk en de (neergelegde vereisten in de) wet, voor zorginstellingen samen. Dit is voor veel zorginstellingen een onbekend terrein.

Bijna helft Nederlandse ziekenhuizen geeft informatie over websitebezoekers door aan derden

De Autoriteit Persoonsgegevens (hierna: AP) concludeert na onderzoek van websites van alle algemene en academische ziekenhuizen dat bij 39 van de 85 onderzochte ziekenhuizen door commerciële, derde partijen zogenoemde tracking cookies op de apparatuur van bezoekers van de ziekenhuiswebsite zijn geplaatst. Met behulp van deze tracking cookies kan worden bijgehouden welke internetpagina’s iemand bezoekt. Op die manier kunnen bedrijven afleiden wat iemands voorkeuren en interesses zijn en op basis daarvan persoonlijke aanbiedingen doen. De AP noemt als voorbeeld iemand die de afdeling cardiologie op een ziekenhuiswebsite bezoekt. Diegene heeft het recht om daarna, gedurende zijn verdere internetbezoeken, niet her en der te worden benaderd als mogelijk hartpatiënt.

In geval van bijna de helft van de onderzochte ziekenhuizen zijn tracking cookies geplaatst op de apparatuur, zonder dat de bezoekers daarvoor toestemming hebben gegeven. Dat is in strijd met privacywetgeving. Volgens de AP vindt met behulp van dergelijke tracking cookies namelijk mogelijk een verwerking van persoonsgegevens over de gezondheid plaats. Op grond van art. 8, aanhef sub a, Wet bescherming persoonsgegevens moet de betrokkene voor de verwerking van persoonsgegevens juist zijn uitdrukkelijke toestemming geven. De AP benadrukt bovendien dat, ingevolge art. 10 Grondwet, eenieder recht heeft op een zorgvuldige omgang met zijn persoonsgegevens.

Daarnaast is volgens de AP onderdeel van ‘goede zorg’ dat bezoekers van een ziekenhuiswebsite erop moeten kunnen vertrouwen dat informatie over hun bezoek aan een ziekenhuiswebsite niet bij andere partijen terecht komt.

Over zes weken controleert de AP de websites van de onderzochte ziekenhuizen opnieuw. Indien dan nog steeds sprake is van een overtreding zal de AP handhavend optreden door middel van het opleggen van maatregelen aan de individuele ziekenhuizen.