Hoe ga je in een zorgorganisatie om met verwerking van vertrouwelijke gegevens? En vooral: hoe bescherm je de toegang tot die gegevens? Nico van Bergen Bravenboer, Coördinator Informatiebeveiliging en kwaliteit bij GERRIT, geeft je tips.
Digitalisering van informatie en BIV classificatie
De gegevens die binnen de gezondheidszorg worden verwerkt zijn veelal van vertrouwelijke aard. Dit betekent dat we goed moeten omgaan met deze gegevens. De digitalisering in de zorg heeft er voor gezorgd dat we naast allerlei voordelen zoals het snel beschikbaar hebben van gegevens, eenduidige vastlegging en geregelde toegang óók moeten nadenken over de beveiliging van deze gegevens.
Binnen de informatiebeveiliging gebruiken we de termen ‘Beschikbaarheid’, ‘Integriteit’ en ‘Vertrouwelijkheid’, de zogenaamde BIV classificatie. Deze classificatie geeft aan hoe de beveiliging van informatie is ingericht.
BIV classificatie: Beschikbaarheid
Beschikbaarheid geeft de mate van het kunnen beschikken over informatie aan. Wanneer gegevens niet goed of tijdig beschikbaar zijn, kan dit bijvoorbeeld leiden tot fouten in de zorg.
BIV classificatie: Integriteit
Integriteit geeft aan hoe zuiver de beschikbare informatie is. Vaak zie je dit terug in het gebruik van voor gedefinieerde velden zoals datum en/of tijd, maar ook in het gebruik van vastgestelde en algemene afkortingen en termen.
BIV classificatie: Vertrouwelijkheid
Vertrouwelijkheid zegt iets over de mate waarin de gegevens zijn beschermd tegen ongeautoriseerde toegang. Andersom geeft het ook aan dat je als gebruiker van deze gegevens er vanuit mag gaan dat toegang tot de gegevens beschermd is door technische en organisatorische maatregelen.
Beschermen van toegang tot gegevens
Om er voor te zorgen dat de gegevens niet onbeheerd zijn of in handen kunnen vallen van derden is het belangrijk om anderen geen toegang te geven tot accounts of deze gegevens. Dit kun je natuurlijk op verschillende manieren doen. Uitgangspunt is dat je account voor toegang persoonlijk is en de gegevens op basis van vertrouwelijkheid zijn gegeven en dus niet zomaar gedeeld kunnen worden met anderen.
Scherm vergrendelen
Wil je niet dat anderen (ongeoorloofde) toegang hebben tot jouw account en gegevens? Vergrendel dan je computerscherm met een wachtwoord bij het verlaten van je werkplek. Dit kun je op verschillende manieren doen, als je niet weet hoe dit kan vraagt dit dan aan de ICT beheerder of leverancier.
Automatisch vergrendelen
In sommige gevallen is het systeem zo ingesteld dat deze na verloop van tijd automatisch vergrendelt als er geen activiteiten zijn op de computer. Ga er echter niet vanuit dat dit voldoende is bij het verlaten van de werkplek omdat het automatisch vergrendelen vaak pas na 10 minuten actief wordt.
Verwijder toegangspassen
Tegenwoordig wordt voor de toegang tot (gezondheids)gegevens vaak gebruik gemaakt van toegangspassen zoals de UZI-pas. Zorg bij het verlaten van de werkplek dat je ook deze pas verwijdert om misbruik of diefstal te voorkomen. De Gezondheidsinformatiesystemen zijn zo ingericht dat bij terugplaatsen van de toegangspas automatisch gevraagd wordt om de pin- of toegangscode.
Beleid binnen de organisatie
Zorg ervoor dat je binnen de zorgorganisatie of als zelfstandige zorgverlener beleidsafspraken maakt en vastlegt over het beschermen van gegevens. Daarin is ook ruimte om afspraken te maken over het vergrendelen van computers, toegang tot gegevens en de omgang met deze gegevens.
Het is goed om hierover nagedacht te hebben, niet alleen omdat bepaalde wetgeving zoals de AVG en WGBO voorschrijft dat er passende technische en organisatorische maatregelen zijn getroffen bij de bescherming van persoonsgegevens en medische dossiers, maar ook omdat de bescherming van gegevens onderdeel is van de relatie tussen zorgverlener en patiënt.
Norm Informatiebeveiliging (NEN 7510)
Binnen de gezondheidszorg is de NEN7510, Informatiebeveiliging in de zorg, een goed middel om aantoonbaar de informatiebeveiliging in te regelen en te borgen in de organisatie. De Inspectie Gezondheidszorg en Jeugd (IGJ) gebruikt de NEN 7510 als leidraad om te toetsen of zorginstellingen hun informatiebeveiliging goed hebben geregeld en geborgd.
Direct hulp nodig? Neem contact op!
Wil je binnen de organisatie de beveiliging van (persoons)gegevens verbeteren of meer vorm geven zoals het voldoen aan AVG en NEN 7510? GERRIT biedt ondersteuning met privacy- en securityadvies. Voor meer informatie en vragen hierover neem je contact op met de Servicedesk van GERRIT: 085-7604076 of per mail: servicedesk@wijzijngerrit.nl.