Recent raakte Het Groene Hart Ziekenhuis in opspraak toen bleek dat een deel van haar patiëntendossiers onbeveiligd op een openbare server stonden. Deze zaak staat niet op zich. Steeds vaker lezen we in het nieuws dat zorginstellingen op de één of andere manier patiëntendossiers ‘lekken’. Het is de vraag of instellingen zich wel bewust zijn van de waarde van de gegevens die ze in hun bezit hebben. Wordt het wellicht tijd om Chief Privacy Officers in te zetten om orde op zaken te stellen?
In de media werd voornamelijk gesproken over het feit dat Het Groene Hart zich niet aan haar wettelijke verplichting heeft gehouden. Uiteraard bestaat er geen twijfel over dat instellingen de wet na moeten leven. Wat in de mediadiscussie echter ontbreekt, is de reden waarom de wet zo streng toeziet op de bescherming van persoonsgegevens en de mogelijke oplossingen om nieuwe lekken te voorkomen.
Identiteitsfraude
De reden dat de wet streng toeziet op de privacy van de burger is eenvoudig. Met gegevens zoals ze gelekt zijn, is het namelijk mogelijk om inzage te krijgen in iemands gezondheidsdossier. Bovendien is het mogelijk om volledige identiteitsfraude in gang te zetten, en dat kan zeer verstrekkende gevolgen hebben. Zo kunnen er bijvoorbeeld leningen of contracten worden afgesloten op naam van het slachtoffer. Hiermee kan grote financiële en emotionele schade worden toegebracht. Instellingen zouden zich veel bewuster moeten zijn van de waarde van de gegevens die ze beheren en de risico’s van misbruik als ze lekken uit de organisatie. Het lijkt mij dat geen enkele instelling aan de bron zou willen staan van (grootschalige) identiteitsfraude die hun patiënten voor bijna onoplosbare problemen zou stellen.
Verantwoordelijkheid
Privacy en de daarvoor noodzakelijke beveiliging van informatiesystemen zouden een prominente rol moeten hebben binnen de bedrijfs- en procesvoering zorginstellingen. Privacy is een vak apart en gaat verder dan alleen maar gegevensbeveiliging. Instellingen kunnen zich positief en professioneel onderscheiden door het aanstellen van een privacy officer. Deze is verantwoordelijk voor het managen van het bedrijfsrisico ten aanzien van privacyzaken en privacywetgeving. Mocht de instelling toch in opspraak raken – want niets is volledig te beveiligen – dan is hij ook degene die noodscenario’s in gang zet en adequaat overleg pleegt met betrokken instanties. Op deze manier wordt schade voorkomen of zo beperkt mogelijk gehouden.
Reacties
Plaats een reactie