Cybersecurity 2: privacy is hot

Techreuzen zoals Google en Amazon die toegang hebben tot miljoenen patiëntgegevens, patiënten die klagen dat hun data gedeeld worden zonder toestemming, een Engelse apotheker die een fikse GDPR-boete krijgt omdat hij duizenden patiëntgegevens “op straat gooide” … het zijn maar enkele voorbeelden die tonen dat privacy en cybersecurity momenteel hot items zijn.

De digitalisering in de zorgsector groeit gestaag: elektronische patiëntendossiers en voorschriften, sensor en tracking technologie, apps, automatisering van processen en communicatie, big data analyses, IoT enz. tonen het belang aan van ICT en maken onze sector extra kwetsbaar. Berichten over ransomware of gijzelsoftware die de systemen van ziekenhuizen, universiteiten enz. platlegt, zijn tegenwoordig legio. Aangezien hackers meestal alleen tegen betaling opnieuw toegang verlenen, is het zaak te zorgen voor een adequate beveiliging om te voorkomen dat het zover komt.

Foto: Denis Hanjoul DPO (links) en Lieven Zwaenepoel, Voorzitter APB

Paniek zaaien

Onlangs kwam Nexuzhealth, een medisch samenwerkingsverband tussen een aantal Vlaamse ziekenhuizen nog in het nieuws, omdat het onzorgvuldig zou omspringen met patiëntgegevens. De privacy van patiënten is een gevoelige materie, maar te vaak worden halve waarheden de wereld ingegooid of gaat men veralgemenen terwijl het om één geval gaat. Voorzichtigheid is hier geboden en een goede communicatie cruciaal. Nexuzhealth liet na snel te reageren, de kerstperiode zat daar allicht voor iets tussen, alleen UZLeuven verduidelijkte meteen op haar site hoe medische gegevens gedeeld worden en stipte de strikte toegangscontrole en de registratie van elke inzage in het patiëntendossier aan. Ook staat er te lezen dat elke patiënt bij raadpleging of opname een informatiebrochure “Uw patiëntendossier en privacy” ontvangt.

Nuance

Genuanceerde informatie over dit thema is noodzakelijk. In het magazine Knack verscheen een artikel met een tendentieuze titel en commentaar van de journalist in gesprek met Professor Hans de Loof (UAntwerpen) over het feit dat het wegvallen van het papieren voorschrift zou leiden tot heel wat privacy problemen, dat er bovendien onduidelijkheid is wie er een dossier kan inkijken omdat aan patiënten niet duidelijk wordt uitgelegd wat hun toestemming inhoudt en dat ook het GFD niet helemaal deugt.
In antwoord op dit interview nuanceert Lieven Zwaenepoel, voorzitter van APB, dat zelfs als – en dat is zeker niet voor oktober 2020 – volledig elektronisch de regel wordt en papier de uitzondering, patiënten nog de mogelijkheid moeten hebben om ook zonder computer hun rechten af te dwingen. De vertegenwoordigers van patiëntenverenigingen moeten daarom actief betrokken worden bij de beslissingen hierrond. Hij licht ook toe dat gegevens zoals de medische toestand of de afgeleverde medicatie van een patiënt slechts kunnen geraadpleegd worden als je daarvoor bevoegd bent door je activiteit in de gezondheidszorg, je therapeutische relatie met die bepaalde patiënt of als de patiënt zijn eHealth consent gegeven heeft.

FarmaFlux

Dat je met patiëntgegevens voorzichtig moet omspringen, blijkt uit de monsterboete die een Engelse apotheker te beurt viel omdat hij een half miljoen medische documenten met gevoelige informatie in een niet afgesloten container dropte. Niet meteen een toonbeeld van een GDPR bewuste apotheker. Om zo’n toestanden te vermijden, stelde FarmaFlux begin 2019 in samenwerking met de tariferingsdiensten, beroepsverenigingen en BeMeSo de GDPR praktische handleiding voor de actoren binnen het apothekersnetwerk op (enkel toegankelijk via APB-login). Onder Punt 19 Veilig verwijderen/vernietigen van (digitale) persoonsgegevens lezen we: 

Binnen de 30 dagen na het verstrijken van de toepasselijke bewaartermijn moeten de gegevens verwijderd worden. Documenteer – bij voorkeur in uw verwerkingsregister – hoe dit proces verloopt. Wat betreft een analoge drager (bv. papier): De vernietiging van documenten die persoonsgegevens bevatten moet op een gecontroleerde manier gebeuren. Documenten die persoonsgegevens bevatten dienen vernietigd te worden door gebruik te maken van papierversnipperaars of afgesloten papiermanden (destrabox). De inhoud van deze containers wordt door een gespecialiseerde firma vernietigd. Vernietiging van originele gegevens kan uitsluitend met medeweten van de verwerkingsverantwoordelijke en rekening houdend met de wettelijke bepalingen die erop van toepassing zijn.

Naast deze praktische GDPR handleiding maakte FarmaFlux vorig jaar ook haar papieren verwerkersovereenkomst met alle aangesloten apothekers volledig GDPR conform, kwestie van ook op papier in regel te zijn.

Apothekers die vragen hebben over de GDPR, neem contact met onze DPO Denis Hanjoul via gdpr@apb.be.