Volgens het laatste jaarverslag van de AP (Autoriteit Persoonsgegevens) is het aantal gemelde datalekken in 2019 met bijna dertig procent gestegen tot maar liefst 27.000. Het rapport laat zien dat de zorg het op één na hoogste aantal meldingen van datalekken had, vergelijkbaar met voorgaande jaren. De meeste datalekken ontstonden ​​doordat persoonsgegevens naar de verkeerde ontvanger zijn gestuurd. Dit soort datalekken brengen juist in de zorg de nodige risico’s met zich mee voor betrokkenen (de cliënten), aangezien het vaak om hun medische gegevens gaat. Hoe kan de zorg informatie beter beveiligen en datalekken voorkomen? 

Medische gegevens worden lokaal opgeslagen

Medewerkers van zorginstellingen slaan digitale medische gegevens van cliënten soms lokaal op, op draagbare apparaten zoals tablets, smartphones, laptops of usb-sticks. Net zoals papieren dossiers nemen medewerkers deze mobiele devices soms mee naar huis. Als zorginstelling wil je de cliënten ervan verzekeren dat er zo veilig mogelijk en transparant met hun data wordt omgegaan. ‘Databeveiliging en bescherming van de privacy’ dienen eigenlijk een van de belangrijkste pijlers te zijn van een IT-visie van een zorginstelling. Hoewel het essentieel is te voorkomen dat gegevens op straat komen te liggen, draait privacy ook om controle.

Extra beveiligingsmaatregelen

Als zorginstelling heb je een verantwoordingsplicht. Dit houdt in dat zorginstellingen moeten aantonen dat ze de juiste technische en organisatorische maatregelen nemen om de persoonsgegevens van cliënten te beveiligen. In de AVG (Algemene verordening gegevensbescherming) staan een aantal verplichte maatregelen genoemd waarmee je aan deze verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Dit houdt onder andere in dat NEN 7510 een belangrijke norm blijft voor informatiebeveiliging in de zorg.

Hoe veilig is mijn data in de cloud en wanneer ben ik AVG en NEN 7510 compliant?

Veel zorginstellingen maken de stap naar de cloud met Microsoft 365. Van een traditionele IT-omgeving naar een moderne digitale werkplek voor de zorgmedewerkers. ‘Wij werken met Microsoft 365 en we werken veilig in de cloud’, dit is wat we vaak horen. Maar als een zorginstelling met Microsoft 365 werkt, betekent dit niet dat ze ook daarmee automatisch AVG en NEN 7510 compliant zijn.

Microsoft Compliance Manager

Hoe kun je wel compliant zijn? Microsoft heeft daar een handige tool voor: Compliance Manager. De Compliance Manager is een werkstroomprogramma voor risicoanalyse in het Microsoft 365 compliance Center voor het beheren van regelgevings-activiteiten met betrekking tot Microsoft-cloudservices.  Het is een dashboard en eigenlijk ook een security managementsysteem waarmee je inzicht krijgt in de compliance status van jouw Microsoft 365 omgeving.

Schep vertrouwen door het monitoren van informatiebeveiliging

Met de compliance manager kun je kiezen tegen welke normeringen je jouw omgeving wilt toetsen, zoals de AVG en de NEN 7510. Zie het vooral als een middel om scherper te krijgen wat er bewust gedaan kan én moet worden op het gebied van security en compliance. Daarnaast kun je aantonen dat je als zorginstelling de informatiebeveiliging serieus neemt. Door Compliant Manager als security managementsysteem in te zetten, monitor je de voortgang en de status van je compliancy. Op deze manier kun je ook aan je stakeholders laten zien hoe goed je de informatiebeveiliging binnen de organisatie voor elkaar hebt. Dat schept vertrouwen.

SpaceHub

SpaceHub is de hub van PQR die organisaties naar de cloud begeleidt. Een intelligente hub die vendor- en cloudonafhankelijk is en een geïntegreerde en flexibele IT-omgeving creëert. Of het nu gaat om public of private cloud, legacy-infrastructuur en -oplossingen, SaaS, IaaS of PaaS, met SpaceHub neemt PQR de complexiteit uit de IT-omgeving weg en brengt er rust voor terug. Vanuit de SpaceHub-oplosssing biedt PQR een veilige zorgwerkplek die voldoet aan de AVG en NEN 7510 normering.

Geplaatst door

Nick Postma