Deze week was er een groot datalek bij een Coronatestcentrum. Je bleek als geteste persoon kinderlijk eenvoudig in de complete databank met gegevens van andere recent geteste personen. Bizar! En ook bizar dat dit niet eerder is vastgesteld. Daarmee lijkt het alsof dataveiligheid vooral een probleem is van databases en goede beveiliging. En dat is inderdaad belangrijk. Maar weet je wat het vaakst een datalek is? En hoe kun je daar in de zorgverlening rekening mee houden?
Privacywetgeving, zorg en datalekken
In 2019 werden 27.000 datalekken gemeld; 30% daarvan is afkomstig uit de zorg. Dat is waarschijnlijk een topje van de ijsberg, maar het geeft aan dat zorg en welzijn de belangrijkste veroorzaker zijn van datalekken. En weet je wat de meeste datalekken veroorzaakte? Inbraken op computers door hackers? Gestolen laptops of mobiele telefoons die in verkeerde handen vielen? Nee veel simpeler: de persoonsgegevens werden verstuurd of gedeeld met de verkeerde persoon. Dit geldt voor maar liefst 67% van de datalekken.
Meneer de Bont zijn wond
Wat in de dagelijkse praktijk regelmatig voorkomt, is dat je een collega vraagt om mee te kijken of mee te denken. De wond van meneer de Bont ziet er niet goed uit. Mevrouw de Jager is wel erg kortademig en mevrouw van Maaskant is zichzelf niet, maar wat het is? Je wilt een collega om advies vragen. Mag je dan je vraag over de persoon mailen aan de ander? Whatsappen?
Bewustwording
Het is in elk geval goed dat organisatie en medewerkers nadenken over hoe veilig de technologie is die je gebruikt. Mailservers van organisaties zijn (in het algemeen) veilig ingesteld zodat anderen niet zomaar kunnen meelezen en dat geldt ook voor het ECD. Via Gmail of Hotmail is al een stuk minder veilig, niet doen dus. WhatsApp is sinds een paar jaar encrypted, wat betekent dat alleen de afzender en ontvanger de berichten kunnen lezen.
Maar: als je de mail of app aan de verkeerde stuurt… Juist, dan heb je toch een datalek.
Niet-herleidbare informatie
Allereerst kun je veilig communiceren via het elektronisch zorgdossier. Maar soms dat is geen oplossing omdat de betreffende collega niet in het zorgplan van die zorgverlener kan. Dat kun je oplossen door in het bericht dat je verstuurt, geen herleidbare gegevens mee te sturen. Dus wel een foto van de wond. Maar zijn naam vermeld je niet in dat bericht, maar geef je bijvoorbeeld telefonisch door.
Gewelddadig en crimineel
Meneer Pols is nieuw op PG-afdeling Den olde eik. Onder persoonlijke geschiedenis is voor iedereen te lezen dat meneer vroeger gewelddadig was, crimineel en dat hij in de gevangenis heeft gezeten. En dat hij daardoor weinig contact heeft met zijn kinderen, familie en ex-vrouw. Meneers geheugen is door overmatig drank- en drugsgebruik aangetast. Meneer is sinds lang compleet gestopt met alcohol en drugs. En is nu een rustige man die houdt van bingo, knuffelen met dieren en af en toe een wandeling. Mag dit?
In belang van goede zorg
In de wet staat dat je persoonsgegevens en informatie mag delen om goede zorg te kunnen bieden. Dat betekent dat je persoonsgegevens en informatie mag delen met collega’s die ook bij een zorgvrager komen. Maar: heeft een collega uit dezelfde organisatie geen aandeel in de zorg voor een zorgvrager? Dan mag je geen gegevens delen.
In het geval van de casus van meneer Pols is het deel over criminaliteit en geweld niet relevant. Hier had beter kunnen staan dat meneer in het verleden veel problemen heeft veroorzaakt waardoor het contact met de kinderen en familie minimaal is. Het alcohol- en drugsgebruik zijn mogelijk wel relevant als meneers problematiek te maken heeft met Korsakov. In geval van levensgevaar mag je gegevens delen met zorgprofessionals uit andere organisaties.
Buiten die voorwaarden moet je toestemming hebben van de zorgvrager om informatie te delen met anderen. Dus die verre neef, de huisarts, de buurvrouw? Zorg dat je toestemming hebt.
4 basisregels om datalekken te voorkomen:
- Deel alleen persoonsgegevens en informatie over een zorgvrager met collega’s die betrokken zijn bij de zorg. En deel alleen wat noodzakelijk is.
- Deel alleen met toestemming van de zorgvrager gegevens met zorgprofessionals die niet in dezelfde organisatie werken en anderen zoals familie, buren en bekenden van de zorgvrager als je daar toestemming voor hebt.
- Zorg dat informatie niet te herleiden is naar de zorgvrager als je deze via internet deelt. Dus bel de collega om de naam door te geven. En mail een foto van bijvoorbeeld de wond waarover je een vraag hebt.
- Stel op al je elektronische apparaten zoals smartphone, tablet en computer een sterk wachtwoord in. En stel op smartphone en tablet in dat je bij meldingen niet de inhoud van een bericht ziet.
Privacytips voor opleidingsfunctionarissen en leidinggevenden
De privacywet gaat niet alleen delen van persoonsgegevens van zorgvragers. Het gaat ook over de privacy van medewerkers. Een van de onderdelen van de wet is dat je alleen gegevens deelt die noodzakelijk zijn. Ga je medewerkers opgegeven voor bijvoorbeeld een cursus, bekijk dan goed welke gegevens nodig zijn. Een naam en mailadres zijn meestal voldoende.
Zeker bij grote groepen zien wij nog wel eens dat we een volledige export krijgen uit het personeelsinformatiesysteem. Inclusief de tijd dat iemand in dienst is, iemand al dan niet gehuwd is, woonplaats, telefoonnummer. Dat is onnodige informatiedeling en dat mag niet. En formeel dus een datalek. Oeps!
E–learning Dataveiligheid / AVG
In onze compleet herziene e–learning Dataveiligheid wordt de wet kort toegelicht en ga je als cursist aan de slag met voorbeelden zodat je weet hoe je dataveilig handelt.
