Wet Meldplicht Datalekken
Informatiebeveiliging is steeds vaker in het nieuws. Sinds 1 januari 2016 is er een nieuw middel ter bescherming van belangen van individuen in werking getreden. Het betreft de Wet Meldplicht Datalekken. Deze wet moet er onder andere voor zorgen dat beveiligingsincidenten op de juiste wijze worden opgevolgd. Zo is het niet alleen belangrijk dat het ‘lek’ gedicht wordt, maar is in een aantal gevallen van belang dat de getroffen persoon (degene van wie persoonlijke informatie gelekt is) op de hoogte wordt gesteld zodat hij of zij waar mogelijk maatregelen kan nemen.
Steeds meer organisaties zijn bezig met informatiebeveiliging. In de zorg heeft dit al eerder geleid tot de NEN7510-norm.
Waar gaat het vaak mis?
Informatiebeveiliging richt zich op de 3 basisvereisten van een betrouwbaar ICT-systeem:
- Beschikbaarheid (informatie is beschikbaar als het nodig is)
- Integriteit (informatie is juist)
- Vertrouwelijkheid (informatie is alleen beschikbaar voor bevoegden)
In het geval van een datalek is er sprake van een incident m.b.t. de vertrouwelijkheid.
Op dit punt komen we een nare tegenstelling tegen die bij informatiebeveiliging vaak om de hoek komt kijken. Het afschermen van gegevens betekent namelijk vaak dat de toegang bemoeilijkt wordt door extra veiligheidsmaatregelen. Denk aan inloggen met aparte software, complexe wachtwoorden of tokens met wisselende codes, et cetera. Goede beveiliging staat dus regelmatig haaks op gemak.
Datalekken komen soms voort uit de focus op het ‘gemakkelijk’ kunnen delen van informatie (bedoeld voor een selecte groep), of bijvoorbeeld uit een fout of gemakzucht in het configureren van de digitale omgeving. In de dagelijkse praktijk zie ik vaak dat beveiligingsincidenten worden veroorzaakt door keuzes waarbij gemak wordt verkozen boven veiligheid.
WGBO
In hetzelfde nieuwsbericht wordt geschreven over de Wet Geneeskundige Behandelovereenkomst.
Deze wet zorgt regelmatig voor lastige situaties. Zo dienen zorgverleners privacygevoelige gegevens geheim te houden. Wat nu als je duizenden papieren dossiers wil inscannen? Mag je dan een ‘derde’ inschakelen om de nietjes uit het papier te halen zodat het scannen eenvoudiger gaat? Mag een helpdeskmedewerker (eventueel op afstand) met een arts meekijken die een bepaalde patiëntkaart niet kan printen?
Per situatie moeten de risico’s in kaart worden gebracht, en passende maatregelen worden genomen. Oplossingen moeten passen binnen het wettelijk kader en een betrouwbare ICT-voorziening opleveren.
Indien je vragen hebt over bovenstaande of ondersteuning wenst bij het in kaart brengen van gegevensstromen, uitvoeren van een beveiligingsscan en/of opstellen van een calamiteitenplan, neem dan gerust contact op met mij.