Voorbeeldprotocol datalek melden voor zorgprofessionals

Categorie:

Een nachtmerrie voor iedere zorgprofessional: gevoelige data is gelekt. Omdat je dagelijks werkt met privacygevoelige informatie kan dat gebeuren. Door het verliezen van geprinte documenten bijvoorbeeld. Of door dossiers in de printer te laten liggen waar onbevoegden bij kunnen.

Het ene datalek is de andere niet

Bovenstaand twee fouten die je zelf vrij eenvoudig kon voorkomen. Een gehackt datasysteem of online verstrekte toegang aan onbevoegden zijn al lastiger. Of in ieder geval een stuk tijdrovender. Nu is gelukkig het ene datalek, de andere niet. Het verzenden van een e-mail aan jouw cliënt en twee andere betrokken artsen is geen enkel probleem. Verzend je informatie van een betrokken arts echter in een mail aan al jouw cliënten zonder de bcc te gebruiken, dan wordt het een compleet ander verhaal.

Of je nu zelfstandig zorgprofessional bent in een HOED of in een grotere organisatie werkt: het is hoe dan ook verstandig om de juiste informatie te melden aan de Autoriteit Persoonsgegevens. Maar wat moet je melden en wat is overbodig? Wij maakten een voorbeeldprotocol voor datalekken bij zorgprofessionals.
[KADER] Wat is een datalek?
Onder een datalek vallen alle verloren of onrechtmatig verwerkte gegevens. In het geval van zorgprofessionals gaat het dan om patiënteninformatie. Dit kan data op een verloren USB-stick zijn, of informatie dat in handen is gekomen van een onbevoegde.

Maak 1 centraal AVG-punt

Verzamel binnen de organisatie een groep personen die verantwoordelijk is voor het melden van datalekken. Voor zelfstandige zorgprofessionals geldt dat je hier persoonlijk voor verantwoordelijk bent. Zorg daarbij ook voor een externe partij zoals een advocaat.

Voorbeeldprotocol

Het voorbeeldprotocol mag iedere zorgprofessional inlijsten en boven het bed hangen.
Zodra er sprake is van verlies of onrechtmatige verwerking van persoonsgegevens maak je hiervan een melding bij jullie interne AVG-punt.
Jullie AVG-punt beoordeelt de zaak en bekijkt of dit moet worden gemeld bij de Autoriteit Persoonsgegevens. Zo ja, dan beslist het ook of de betrokkenen ingelicht moeten worden.
Het AVG-punt dient de melding in. Alleen zij zijn hiertoe bevoegd binnen jullie organisatie.
Bij onenigheid over de beslissing van het AVG-punt om het datalek wel of niet te melden stap je altijd naar de directie.

Is de meldplicht van toepassing?

Wat je concreet moet doen

  • Breng alle persoonsgegevens in kaart en leg de verwerking daarvan (doel, middelen, sub-verwerkers, bewaartermijn en beveiliging) vast in een verwerkingsregister.
  • Maak een datalekregister aan en leg ieder beveiligingsincident daarin vast. Heb je werknemers, stel dan een datalekprotocol op.
  • Stel een privacy- en cookiestatement op en informeer daarmee de betrokkenen over je privacybeleid en de indien getroffen organisatorische en technische maatregelen.
  • Sluit verwerkersovereenkomsten met partijen die of verantwoordelijk zijn (en jij bent verwerker) of verwerker zijn (en jij bent verantwoordelijk).
  • Zorg voor bewustzijn over privacy en persoonsgegevens binnen je bedrijf. Heb je werknemers, informeer die dan ook en zorg dat zij op de hoogte zijn van het privacybeleid en het datalekprotocol.

Opmerkingen zijn gesloten.