RTL nieuws maakte gisteren bekend dat het de beschikking heeft over meer dan 1000 dossiers die toebehoren aan de Inspectie van de Gezondheidszorg. In deze dossiers zouden gevoelige persoonsgegevens staan van patiënten die te maken hebben gehad met medische blunders. Dit incident laat weer zien dat Internet Risk Management cruciaal is voor organisaties.

Wettelijke verplichting tot beveiligen persoonsgegevens (13 WBP).

De patientengegevens kunnen gezien worden als persoonsgegevens in de zin van de Wet Bescherming Persoonsgegevens (WBP). Op grond van artikel 13 WBP is de verantwoordelijke organisatie (in deze de IGZ) verplicht passende technische en organisatorische maatregelen te nemen.

Welke maatregelen passend zijn hangt af van het type informatie en de organisatie zelf. Patientendossiers vallen onder het medisch beroepsgeheim en dienen daarom goed beschermd te worden. De IGZ is bovendien een professionele organisatie waardoor de beschermingsplicht zwaarder kan vallen. De IGZ heeft dus een verzwaarde beschermingsplicht voor deze gegevens.

Internet Risk Management: Groot risico op diefstal van gegevens.

Internet Risk Management begint bij het inschatten van de risico’s die een organisatie loopt op het internet. Door het nemen van maatregelen kan het risico vervolgens worden beperkt.

Risico kan gedefinieerd worden als kans maal impact. De impact van het verlies van deze gegevens is dermate groot dat het risico, al is de kans nog zo klein, van diefstal van deze gegevens groot is. De mogelijkheid om de impact van diefstal van persoonsgegevens te verminderen is beperkt. De maatregelen dienen zich daarom te richten op het verminderen van de kans op diefstal van persoonsgegevens.

Maatregelen kunnen organisatorisch en technisch van aard zijn.

  • Technische maatregelen tegen verlies van persoonsgegevens zijn bijvoorbeeld: bescherming tegen virussen/hackers, goed password systeem, rights management, loggen van gebruik van informatie, gegevens niet in grote hoeveelheden tegelijk beschikbaar maken.

  • Organisatorisch maatregelen zijn bijvoorbeeld: toegang tot informatie tot een beperkt aantal personen beperken, duidelijke richtlijnen over het gebruik van de gegevens verstrekken, duidelijke voorlichting over zorgvuldig omgaan met data.

 

Had Internet Risk Management de diefstal van gegevens kunnen voorkomen?

Nee, je kunt niet voorkomen dat gegevens worden gestolen. Internet Risk Management kan echter wel het risico dat de persoonsgegevens op straat komen te liggen beperken. Daarnaast kan een organisatie door Internet Risk Management bewijzen dat zij passende maatregelen heeft genomen en daarmee artikel 13 WBP niet heeft geschonden. Gerechtelijke aansprakelijkheid wordt dus ook beperkt.

Wilt U meer informatie over Internet Risk Management? Neem dan contact op via ons contactformulier.

 

Licentie

Creative Commons-Licentie
Lexxit Knowledge van Lexxit is in licentie gegeven volgens een Creative Commons Naamsvermelding-NietCommercieel-GelijkDelen 3.0 Unported-licentie.
Gebaseerd op een werk op www.lexx-it.nl.

Lexxit geeft vrijblijvend advies over uw casus!

Meld internetmisbruik