Datalek-meldingen beginnen zoiets als het weerbericht te worden: iets waar je dagelijks bericht over krijgt. Het grote verschil met het weer is dat iedere burger last kan hebben van een datalek, aangezien daarmee vertrouwelijke persoonsgegevens in handen van criminelen terecht kunnen komen, die daarmee onder meer identiteitsfraude en andere vormen van cybercrime kunnen plegen. Naïeve verhalen in de zin van “ik heb toch niets te verbergen” moeten daarom met argwaan worden bekeken.

Een topsector op het gebied van vertrouwelijke persoonsgegevens is de zorg, zo is in de datalekken-rapportage 2019 door de Autoriteit Persoonsgegevens te lezen, die schrijft: “Ook staat sinds de invoering van de meldplicht datalekken de sector openbaar bestuur samen met de sector zorg en de financiële sector steevast in de top 3 van sectoren met de meeste meldingen“.

In de zorg wordt al lang gesproken over meer uitwisseling van persoonsgegevens, om de kwaliteit van de zorgverlening te verhogen, wat op zich een nobel doel is. Dat betekent echter niet dat cybersecurity en zorgvuldige omgang met persoonsgegevens uit het oog moeten worden verloren. Daarom is er alle reden om de ontwikkelingen inzake de gegevensuitwisseling met aandacht te volgen.

Op 10 maart jl. is een internetconsultatie gestart, die als onderwerp een wetsvoorstel Elektronische Gegevensuitwisseling in de Zorg heeft. In de aankondiging staat onder meer:

Dit wetsvoorstel draagt bij aan een functionerende elektronische gegevensuitwisseling tussen zorgverleners, door verplichtingen op te leggen aan zorgaanbieders en eisen te stellen aan IT-producten of –diensten. Het wetsvoorstel ziet op het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen binnen de zorgdomeinen. Door te regelen hoe gegevens moeten worden uitgewisseld, kunnen de randvoorwaarden worden gesteld om goede zorg te verlenen. (…)

Dit wetsvoorstel ziet op de uitwisseling van gegevens tussen zorgverleners. Goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Door te verplichten dat gegevens elektronisch uitgewisseld worden, en eventueel eisen aan taal en techniek te stellen, worden zorgverleners beter in staat gesteld goede zorg verlenen.

De zorgaanbieder is verantwoordelijk voor materiële middelen waarvan gebruik wordt gemaakt en voor de organisatie van de informatiehuishouding. Met dit wetsvoorstel wordt de verplichting om bij een aangewezen gegevensuitwisseling gegevens elektronisch uit te wisselen, daarom aan de zorgaanbieder opgelegd. Er kunnen ook eisen aan taal en techniek worden gesteld en aan de zorgaanbieder opgelegd, met uitzondering van de technische eisen die aan IT-producten worden gesteld en waarvoor verplichte certificering geldt.

Cliënten merken van dit wetsvoorstel dat zij hun verhaal minder vaak hoeven te vertellen, geen onnodige onderzoeken hoeven te ondergaan en er minder kans is op foute diagnoses of niet passende behandelingen.

Aanbieders van informatietechnologieproducten of -diensten die de aangewezen gegevensuitwisseling ondersteunen, worden met dit wetsvoorstel verplicht om deze producten of diensten te doen certificeren.

Het is te hopen dat het wetsvoorstel er toe zal leiden dat het aantal datalekken in de zorg afneemt.

Meer informatie:

Consultatie:

• Aankondiging Wetsvoorstel Elektronische Gegevensuitwisseling in de Zorg
• Concept regeling (pdf)
• Concept toelichting op de regeling (pdf)
• Beoordeling (pdf) Integraal Afwegingskader voor beleid en regelgeving (IAK)

Databescherming in de zorg, onder meer:

• In het datalekken-overzicht 2019 schrijft de Autoriteit Persoonsgegevens: “Ook staat sinds de invoering van de meldplicht datalekken de sector openbaar bestuur samen met de sector zorg en de financiële sector steevast in de top 3 van sectoren met de meeste meldingen“.
• Een zorgverzekeraar wordt aangepakt door de Autoriteit Persoonsgegevens: De Autoriteit Persoonsgegevens (AP) heeft na onderzoek bij zorgverzekeraar CZ geoordeeld dat de werkwijze van CZ bij machtingsaanvragen in strijd was met de privacywet, 14 februari 2020