Privacy en security

Cyperproof op de Dag van de Privacy

Maandag 28 januari was de Europese ‘Dag van de Privacy'. De kernvraag: hoe kunnen onze persoonlijke data worden gebruikt zonder dat onze individuele privacy wordt geschonden?

De Dag van de Privacy (Data Protection Day) werd in 2007 in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Ruim een kwart eeuw eerder, op 28 januari 1981, werd in Straatsburg het Dataprotectieverdrag ondertekend door de EU-landen. Dat verdrag beschermt het recht op privacy van burgers waar het gaat om de automatische verwerking en verzending van hun persoonlijke gegevens over geografische grenzen heen.

Privacy is in Europa een hoogontwikkeld rechtsgebied en kennelijk vond men het in 2007 belangrijk dat met een ‘Dag’ te adstrueren. Doel van deze dag is Europese burgers beter te informeren over hun rechten met betrekking tot het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties. Ook worden bedrijven en organisaties op deze dag aangespoord de bescherming van persoonsgegevens te verbeteren en best practices te promoten. Onder de naam ‘National Data Privacy Day’ wordt dat sinds 2009 ook in de Verenigde Staten gedaan.

Rechten van de Mens

Ook in andere Europese verdragen, wordt het recht op privacy geadresseerd. Dit geldt bijvoorbeeld voor het Europees Verdrag voor de Rechten van de Mens, de Budapest Convention on Cybercrime en de ePrivacy Regulation (ePR).

Wie ook maar enigszins te maken heeft met technologie weet nog de reuring van vorig jaar, 25 mei 2018. Op die dag werd de Algemene verordening gegevensbescherming (AVG) van kracht, de Europese verordening (General Data Protection Regulation) die onder meer is bedoeld om de controle van burgers (‘data subjects’) over hun persoonlijke data te versterken. Deze verordening heeft gevolgen voor de manier waarop instellingen en bedrijven dienen om te gaan met privacy-gevoelige gegevens. Zo stellen technologische ontwikkelingen ons steeds weer voor nieuwe juridische uitdagingen. Die omtrent privacy liggen gevoelig in Europa, mede gezien de recente geschiedenis van twee Wereldoorlogen.

Juridische problemen

Informatie-privacy, synoniem van data privacy, gaat over de bescherming van persoonsgegevens wanneer die verzameld, gebruikt, verspreid en vernietigd worden via de digitale informatie- en communicatietechnologieën van vandaag. Als persoonlijk identificeerbare of gevoelige informatie niet goed wordt beschermd, kunnen juridische problemen ontstaan op gebieden als financiële transacties, wetenschappelijk onderzoek, medische dossiers, strafrecht, biologische kenmerken, geolocatie enzovoorts. De kern is: hoe kunnen onze persoonlijke data worden gebruikt zonder dat onze individuele privacy wordt geschonden?

In de gezondheidszorg gaat het er dan om dat mensen niet willen dat iedereen weet heeft van hun medische gegevens. Dat kan hun positie als burger, consument, patiënt of werknemer schaden. Of ze schamen zich voor medische of psychiatrische aandoeningen, of hebben het idee daarmee te kunnen worden gechanteerd. Medische privacy betreft de mate van controle over je persoonlijke informatie, de fysieke ontoegankelijkheid daarvan voor anderen, en over psychologische aspecten van vertrouwelijkheid in de arts-patiënt relatie, zoals respect, waardigheid en zelfbeschikking.

Goede behandeling

Tegelijkertijd hebben zorgprofessionals persoonsgegevens nodig om, samen met de patiënt, tot een goede behandeling te komen. Ook vóór 25 mei 2018 waren zij al van het belang privacy-bescherming doordrongen vanwege hun beroepsgeheim. De AVG heeft er niet alleen toe geleid dat zij zich hier meer bewust van zijn, maar confronteert hen ook met de regie van de patiënt over zijn medische gegevens. Dit zowel door zijn rechten op grond van de AVG als die op grond van de wettelijke bepalingen in het Burgelijk Wetboek over de geneeskundige behandelingsovereenkomst (WGBO). Vooral als een patiënt zijn behandeldossier digitaal kan inzien, leidt dit nog wel eens tot spanningen tussen het zelfbeschikkingsrecht van de patiënt en de professionele verantwoordelijkheid van de zorgprofessional.

Social media

In het begin ging het bij de Data Protection Day nog vooral om het vergroten van bewustzijn en gevoeligheid onder gebruikers van informatie, inclusief ondernemers, en dan vooral wat betreft social media. De laatste tijd gaat het ook over gezinnen, burgers en consumenten en ligt de nadruk op tools die je kunnen helpen je gegevens veilig te beheren en te voldoen aan wet- en regelgeving.

Die aandacht is ook wel nodig, want inbreuken op privacy doen zich voortdurend voor. Ook in de gezondheidszorg. Dit plaatje zegt daar meer over.

Zo werden eind oktober 2018 de computers van de Samenwerkende Tandartsen Nijmegen een dag lang ‘gegijzeld’ door criminelen. Daarbij zijn mogelijk patiëntgegevens buitgemaakt. De computersystemen van de tandartspraktijk werden getroffen door ransomware. Daarmee blokkeerden hackers de gegevens, die pas weer vrijgegeven zouden worden in ruil voor losgeld. De situatie werd opgelost omdat de tandartspraktijk regelmatig kopieën maakt van bestanden. Daardoor konden de systemen teruggezet worden. Van de gijzeling werd direct melding gedaan bij de Autoriteit Persoonsgegevens, en ook werden IT-experts ingeschakeld.

Een ander voorbeeld is de hack van de website PratenOnline, waar jongeren met professionals over hun psychische problemen kunnen chatten. De criminelen claimden gegevens van gebruikers (waaronder e-mailadressen, telefoonnummers en IP-adressen) gestolen te hebben. Ze dreigden deze te publiceren en eisten losgeld.

12 tips

Zorginstellingen kunnen zich daartegen wapenen. VvAA geeft bijvoorbeeld tips om uw organisatie ‘cyberproof’ te maken:

  1. Zorg voor een goede firewall en beveilig uw data met antivirus software.
  2. Maak regelmatig een back-up van uw data.
  3. Houd alle software actueel door updates te doen.
  4. Stel regels op voor medewerkers omtrent wachtwoorden.
  5. Deel wachtwoorden met niemand, ook niet met collega’s.
  6. Gebruik moeilijke, goed te onthouden wachtwoorden en wijzig deze regelmatig.
  7. Gaat personeel uit dienst, vergeet dan niet hun toegangsrechten te vergrendelen.
  8. Open geen mailtjes van afzenders die u niet kent.
  9. Steek geen onbekende usb-sticks in uw computer.
  10. Houd medewerkers op de hoogte van cyberrisico’s en preventiemaatregelen.
  11. Zorg voor een noodplan. Soms gaat het toch mis. Wees daarop voorbereid.
  12. Sluit een goede Cyber en Data Risks verzekering af.

Waar staan we?

De actualiteit van ‘privacy’ valt ten slotte af te lezen aan de Nationale Privacy Conferentie, niet toevallig op 28 januari in Den Haag. Waar staan we na alle strubbelingen en ontwikkelingen? Wat leert ons recent onderzoek? Hoe geeft de Autoriteit Persoonsgegevens invulling aan haar rol? Wat vraagt een duurxaam privacy-beleid van instellingen en organisaties. Juist in de zorg is dat van eminent belang gezien de gevoeligheid van medische informatie.

Ondertussen roept de overheid op om samen te werken op het gebied van cybersecurity; binnen de sector, regio of keten. Gezien de verwevenheid van ICT-structuren is dat zeker nodig, ook in de gezondheidszorg. Het Het Nationaal Cyber Security Centrum van het Ministerie van Justitie, geeft informatie en handreikingen over hoe de digitale weerbaarheid van organisaties en sector kan worden vergroot. Bijvoorbeeld door een Information Sharing and Analysis Centre op te zetten, een overleg waar organisaties informatie delen en samen leren over hoe cyberdreigingen te weerstaan. Om zo de risico’s van de digitale transformatie te verminderen en veilig, open en stabiel te blijven. Dat is niet alleen voer voor IT-specialisten en juristen, maar ook voor zorgprofessionals en patiënten. Dit raakt ons allemaal.

Hans C. Ossebaard werkt als adviseur Innovatie & eHealth voor Zorginstituut Nederland. Sinds 2017 werkt hij bij de VvAA aan ontwikkeling en implementatie van bruikbare e-health oplossingen voor de uitvoeringspraktijk. Hij doceert aan Amsterdam UMC.

 

 

 

 

 

 

 

 

Reacties