“Grote kans dat tandarts slachtoffer wordt van ransomware-aanval”

Search Dental Tribune

“Grote kans dat tandarts slachtoffer wordt van ransomware-aanval”

E-Newsletter

The latest news in dentistry free of charge.

  • This field is for validation purposes and should be left unchanged.
Pieter Schram: "Het kan iedereen overkomen."
Tessa Vogelaar

By Tessa Vogelaar

wo. 7 maart 2018

save

Ransomware-aanvallen en datalekken zijn aan de orde van de dag. Ook voor tandartsen. Honderden tandartsenpraktijken kregen er het afgelopen jaar mee te maken, weet Vertimart-directeur Pieter Schram. Bovendien wordt wet- en regelgeving op het gebied van dossiervorming en privacy de komende tijd aangescherpt. Moeten praktijken zich zorgen maken over hun patiëntgegevens? “Zorg dat iedere praktijkmedewerker zich realiseert dat hij met privacygevoelige informatie werkt.”

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Vanaf die datum geldt in de hele Europese Unie dezelfde privacywetgeving. “De Wet Bescherming Persoonsgegevens komt met de komst van de nieuwe regels te vervallen, maar de inhoud van de AVG is eigenlijk niet heel anders,” licht Schram toe. “Door alle belangstelling eromheen, zullen de regels meer aandacht krijgen, maar eigenlijk hadden praktijken al deze processen rond patiëntendata al op orde moeten hebben.” Alleen de praktijken die er een rommeltje van hebben gemaakt moeten zich zorgen maken, denkt de Vertimart-directeur. “Praktijken waar ze zaken laten slingeren, of waar het e-mailverkeer via Gmail-accounts verloopt. Iedereen hoort zo langzamerhand te weten dat je beveiligde e-mailkanalen moet gebruiken.”

De werkwijze in de praktijk compleet omgooien vanwege de nieuwe regels is dus niet nodig. Schram: “Zorg in ieder geval dat het personeel in de praktijk zich realiseert dat hij of zij met privacygevoelige informatie werkt. Veel mensen hebben dat besef niet. Patiëntgegevens zijn privacygevoelige gegevens.” Je kunt in overeenkomsten met medewerkers wijzen op hun verantwoordelijkheden en daar afspraken over maken, luidt het advies. “Hoe gaan wij in de praktijk met data om? En hoe bespreken wij bijvoorbeeld met patiënten zaken rondom hun behandeling? Die processen moet je vastleggen.”

Gegevens van de werknemers in de praktijk vallen eveneens onder privacygevoelige informatie. “Laat geen arbeidscontract slingeren zodat anderen dat kunnen inzien. De praktijkeigenaar dient er zorg voor te dragen dat deze netjes zijn opgeslagen.” Dan is er nog de communicatie met de softwareleverancier. Iedere softwareleverancier heeft de mogelijkheid even mee te kijken op het scherm in de praktijk als er een storing of een vraag is. Hoe is dat geregeld? Krijgt de medewerker van dat bedrijf toegang tot de patiëntinformatie? “Ja, dat krijgt hij,” weet Schram. “Maar belangrijk is wederom welke afspraken daarover worden gemaakt.”

Hoe voorzichtig je als praktijk ook omgaat met je patiëntgegevens, slachtoffer worden van een ransomware-aanval of datalek heb je niet in de hand. “Het kan iedereen overkomen. Maar hoe slechter je aanpak, hoe groter de risico’s.” Bij een ransomware-aanval, waar cybercriminelen gegevens versleutelen en vragen om losgeld, weet je niet of je gegevens ook daadwerkelijk onder ogen zijn gekomen van derden. Voor de zekerheid moet je het behandelen als datalek. Daarvoor werd in 2016 al de Wet Meldplicht Datalekken in het leven geroepen. “Bij een datalek dien je een aantal stappen te doorlopen, zoals het bekijken of de meldplicht van toepassing is, eventueel het melden bij de Autoriteit Persoonsgegevens (AP) en het informeren van patiënten. Ook in de AVG gaat het hierover.”

Als het goed is, merkt de patiënt weinig van de nieuwe regels. “Je moet de patiënt informeren dat je zijn gegevens digitaal vastlegt en wat de reden daarvan is. Ook moet de patiënt daar toestemming voor geven,” legt Schram uit. Wat dat praktisch betekent? “Daarover verschillen de meningen. Ik ga ervan uit dat als een patiënt al jaren bij jou komt, deze op de hoogte is dat zijn gegevens in het computersysteem zitten. Je hoeft daar dan niet expliciet toestemming voor te vragen.” Voor een nieuwe patiënt ligt het volgens hem iets anders. “Laat een nieuwe patiënt op het moment van inschrijving weten wat de huisregels zijn. Neem daarin op hoe binnen de praktijk met patiënten, en met zijn of haar gegevens, wordt omgegaan. Laat de patiënt de huisregels ondertekenen en vertel erbij dat de wetgever dit vereist. Ik zou zelf ook tijdens het ‘praatje pot’ voor of na de behandeling even de nieuwe regels aanstippen.”

De boetes die de Europese toezichthouders kunnen opleggen aan wie zich onvoldoende houdt aan de regels zijn stevig: ze kunnen oplopen tot 20 miljoen euro. Ook dat loopt volgens Schram echter wel los. “Volgens mij wordt een boete alleen toegekend als dit terecht is. Als een praktijk de boel netjes voor elkaar heeft en toch eens een probleem tegenkomt, acht ik de kans heel klein dat 20 miljoen euro boete wordt gegeven. Ik verwacht dat de AP eerder een boete uitschrijft als duidelijk is dat de praktijk er een potje van heeft gemaakt en amper stappen heeft ondernomen om veilig met gegevens om te gaan.”

Pieter Schram is een van de sprekers in de seminarruimte van Dental Expo 2018. Hij geeft tips en handvatten in zijn lezing ‘Wegwijs in het oerwoud van privacyregels’.

Leave a Reply

Your email address will not be published. Required fields are marked *

advertisement
advertisement