Zorgen over beveiliging patiëntinformatie door nieuwe zorgtaak gemeenten

Zwolle, 26 oktober 2015 – Door veranderingen binnen het sociale domein hebben gemeenten diverse extra zorgtaken op zich gekregen. Het uitwisselen van vertrouwelijke cliëntengegevens met ketenpartners zoals zorginstellingen, is hierdoor aan de orde van de dag. Gemeenten staan nu voor de uitdaging om een veilige manier van informatie-uitwisseling met deze ketenpartners mogelijk te maken.

Uit een steekproef van NRC blijkt dat tientallen gemeenten vertrouwelijke informatie over cliënten onveilig uitwisselen met ketenpartners. Informatie zoals de naam, het adres en het behandelplan van de cliënt kan op deze manier in verkeerde handen vallen. Met de ingang van de meldplicht datalekken op 1 januari 2016, lopen gemeenten ook een financieel risico. De meldplicht datalekken zorgt er namelijk voor dat het College bescherming persoonsgegevens (Cbp) boetes kan opleggen als persoonsgegevens zijn ‘gelekt’ en het blijkt dat ze niet op een behoorlijke en zorgvuldige manier zijn verwerkt.

Peter Westerveld, directeur bij Sincerus, consultancybureau op het gebied van informatiebeveiliging, geeft aan welke maatregelen gemeenten moeten treffen:

1. Beheer de inzage in gegevens

Zorg ervoor dat de inzage in vertrouwelijke persoonsgegevens procedureel wordt afgedicht en geaudit. Stel duidelijke regels op wie binnen de gemeente én de ketenpartners toegang heeft tot welke gegevens. Door te beginnen met procedurele maatregelen en controles kunnen gemeenten een boel narigheid voorkomen.

1. Richt zelf een portaal in

Gemeenten kunnen zelf een communicatieportaal inrichten waarbinnen zij veilig gegevens kunnen uitwisselen met ketenpartners, zoals zorginstellingen. Een gemeente heeft tientallen ketenpartners die op een dergelijk communicatiesysteem moeten worden aangesloten. Het is daarom belangrijk dat zij goed nadenken over de inrichting van het portaal en over de controle die daarop plaatsvindt. Ketenpartners kunnen op een beveiligd portaal alleen inloggen met sterke authenticatie. Het inlogproces op een dergelijk portaal bestaat niet alleen uit het opgeven van een gebruikersnaam en wachtwoord, maar ook uit een derde persoonlijk beveiligingsgegeven, zoals een token.

1. Monitor!

Het is zeer belangrijk om te monitoren wat er allemaal in de infrastructuur en met de gegevens gebeurt. BIG, de beveiligingsrichtlijn voor gemeenten, schrijft voor dat gemeenten aan logmanagement moeten doen. Meer dan het verzamelen en opslaan van logging wordt echter niet voorgeschreven, terwijl het controleren, correleren en analyseren van die logging juist het belangrijkst is. Op deze manier kan een gemeente veranderingen en verdachte activiteiten in de infrastructuur signaleren. Door continu de infrastructuur te monitoren, kunnen gemeenten direct ingrijpen zodra dat nodig is.

“Het is belangrijk dat zowel gemeenten als zorginstellingen actie ondernemen op het gebied van informatiebeveiliging”, aldus Westerveld. “De meldplicht datalekken zorgt voor een extra financieel risico dat zij lopen. Als persoonsgegevens in de openbaarheid komen, kunnen gemeenten en zorginstellingen namelijk enorme boetes tegemoet zien als zij dit niet melden en het blijkt dat zij onvoldoende maatregelen hebben getroffen om dit te voorkomen. Deze boetes kunnen niet alleen aan de organisatie worden toegekend, maar ook aan personen op bestuurlijk niveau. Door te zorgen voor een goede informatiebeveiliging wordt de veiligheid van persoonsgegevens gewaarborgd en het financiële risico beperkt.”

Over Sincerus Consultancy

Sincerus Consultancy is een onafhankelijk consultancybedrijf op het gebied van informatiebeveiliging. De consultants van Sincerus helpen organisaties, ongeacht hun schaalgrootte of technische infrastructuur bij het implementeren en borgen van het gewenste niveau van beveiliging door middel van analyses, advies, training en begeleiding. Daarbij gaat veel aandacht uit naar de menselijke factor, die vaak een cruciale rol speelt bij het ontstaan van beveiligingsincidenten. Sincerus Consultancy is volledig onafhankelijk en combineert diepgaande vakinhoudelijke expertise met een no-nonsense cultuur en korte organisatorische lijnen. Analyses en adviezen zijn daardoor altijd kort, krachtig, objectief en helder. Bezoek voor meer informatie: http://www.sincerus.nl en http://www.cybermonitor.nl