Gepubliceerd op: 22 mei 2017

Toezichthouders zorgaanbieders

Iedere onderneming en organisatie moet zich houden aan de (privacy)wetgeving. Zorgaanbieders hebben ook nog eens te maken met extra overheidstoezicht op hun activiteiten, met name als het gaat om het gebruik van medische gegevens. Een zorgaanbieder die patiëntgegevens en de beveiliging daarvan niet op orde heeft, loopt het risico op maatregelen zoals een boete of verscherpt toezicht. Het niet voldoen aan de normen kan dus verstrekkende gevolgen hebben. Waar moeten zorginstellingen aan voldoen en met welke toezichthouders hebben zij te maken?

Wie controleert de informatiebeveiliging?

Over privacy en informatiebeveiliging van medische dossiers worden regelmatig Kamervragen gesteld. Demissionair staatssecretaris Van Rijn heeft op 24 april 2017 toegelicht welke autoriteit waarvoor verantwoordelijk is en op basis van welke wettelijke regelingen.

Wet kwaliteit, klachten en geschillen zorg

De Wet kwaliteit, klachten en geschillen zorg (Wkkgz) wordt door de Inspectie voor de Gezondheidszorg (IGZ) toegepast om zorginstellingen te controleren. De IGZ ziet onder meer toe op naleving van informatiebeveiliging voor zover die ‘de kwaliteit en veiligheid van zorg’ aangaat.

Wet bescherming persoonsgegevens

Gegevens van patiënten en van hun medische dossiers zijn per definitie aan te merken als gevoelige informatie in de zin van de Wet bescherming persoonsgegevens (Wbp), die slechts onder strikte voorwaarden mag worden verzameld, bewaard en gebruikt. Het toezicht op beveiliging van persoonsgegeven in de zorg is in handen van de Autoriteit Persoonsgegevens (AP).

Rolverdeling toezichthouders

Uit de toelichting van de staatssecretaris volgt, dat de IGZ de informatiebeveiliging ‘betrekt’ in haar toezicht, waarbij de inspectie ook de toepasselijk NEN-normen hanteert[1]. De IGZ kan op basis van de Wkkgz maatregelen treffen als de veiligheid van patiënten in het geding is. Kanttekening daarbij is dat een datalek volgens de toelichting geen ‘calamiteit’ is in de zin van de Wkkgz, die direct aan de IGZ moet worden gemeld. Als de IGZ op de hoogte is van een datalek, wordt die informatie wel aan de AP verstrekt in het kader van een samenwerkingsprotocol tussen de IGZ en de AP.

Bij onjuist gebruik van informatie of bij een datalek geldt dat de AP in principe de aangewezen toezichthouder is omdat sprake is van schending van privacywetgeving. De AP beschikt over een eigen instrumentarium om naleving af te dwingen en boetes op te leggen.

Beleid en sancties IGZ

De uitgevoerde inspecties en de bevoegdheden van de IGZ zijn talrijk en de kans dat een zorgaanbieder vroeg of laat te maken krijgen met de IGZ is reëel aanwezig. Dat blijkt uit het jaarbeeld 2016 en het daarbij behorende overzicht, dat betrekking heeft op de uitgevoerde inspecties en alle maatregelen in het afgelopen jaar.

maatregelen 2016

Van boetes tot verscherp toezicht

Voor een belangrijk deel lag, op aandringen van de politiek, de focus van de IGZ in 2016 op verpleeghuiszorg. De IGZ legde 55 bestuurlijke boetes op van in totaal ruim 1.314.000 euro. De inspecteurs legden 2.715 bezoeken af aan zorginstellingen, waarvan 1.183 onaangekondigd. Ook legde de IGZ 21 aanwijzingen op, vier bevelen en stelde de IGZ 20 keer een zorginstelling onder verscherpt toezicht.

Nieuwe privacywetgeving op komst

Op dit moment is de Wet bescherming persoonsgegevens van toepassing, die geldt voor iedere partij die met persoonsgegevens te maken heeft. Op schending van de privacyregels staat nu een maximale boete van 820.000 euro of 10% van de jaaromzet. Vanaf 25 mei 2018 moeten organisaties, en dus ook zorgaanbieders, voldoen aan een nieuwe regels, namelijk die van de Algemene verordening gegevensbescherming (AVG). De AVG kent niet alleen meer rechten en plichten maar bij overtredingen kunnen ook hogere boetes worden opgelegd tot zelf 20 miljoen euro of zelfs 4% van de wereldwijde jaaromzet.

Innovatie en privacy

Naast de inspanningen om aan de huidige en de toekomstige wetgeving te voldoen, ervaren zorgaanbieders ook de druk om vooral ‘te innoveren ’ en om mee te gaan met de ontwikkelingen op het gebied van eHealth, SaaS-diensten, EPD’s, gezondheidsapps, Big Data en cloud oplossingen. Die innovaties helpen om te ontzorgen en om efficiënter te werken, maar het toepassen van innovaties kan op gespannen voet staan met privacybescherming. Het blijft dus een kwestie van goed opletten hoe met persoonsgegevens wordt omgegaan, hoe de beveiliging is geregeld en waar ze voor worden gebruikt.

Het bovenstaande is niet bedoeld om zorgaanbieders onnodig bang te maken maar wel om aan te geven dat privacy en innovatie communicerende vaten zijn, die op de agenda van iedere onderneming moeten staan en al helemaal als het om zorgaanbieders gaat.

De IGZ en de AP kijken mee over uw schouder en een gewaarschuwd zorgaanbieder telt dus letterlijk voor twee. Wij kijken graag met u mee om te zorgen dat u bent voorbereid op de toekomst. Voor vragen omtrent dit onderwerp kunt u contact opnemen met ons opnemen.
 

 

[1] NEN-7510 geeft de richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen moeten treffen ter beveiliging van persoonlijke gezondheidsinformatie.

Fruytier Lawyers in Business
Fruytier Lawyers in Business

Artikelen door Fruytier Lawyers in Business

Stuur ons een bericht

Voor verdere vragen kunt u het formulier hieronder gebruiken. Wij nemen dan zo spoedig mogelijk contact met u op.