Privacy van gegevens bij decentralisatie van langdurige zorg
-
Upload
valori -
Category
Health & Medicine
-
view
33 -
download
2
Transcript of Privacy van gegevens bij decentralisatie van langdurige zorg
Privacy van gegevens bij decentralisatie van langdurige zorg
En weer is er nieuws over privacy!
Vanochtend op de radio bij BNR: “Privacy
1 miljoen patiënten niet gewaarborgd”. In
een interview ventileert Illya Soffer,
directeur van Ieder(in), haar zorgen over
de veiligheid van de gegevens van
honderdduizenden mensen die de
gemeenten vanaf 1 januari beheren.
Op de website van BNR staat hierover het volgende:
De privacy van 1 miljoen patiënten is niet gewaarborgd als gemeenten per 1 januari volgend
jaar verantwoordelijk worden voor veel zorg. Daarvoor waarschuwt Ieder(in), de koepel van
ongeveer 250 patiëntenverenigingen. Het gaat in eerste instantie over de 700.000 duizend
mensen met een AWBZ-indicatie die bijzondere hulp krijgen.
Volgens directeur Illya Soffer hebben gemeenten geen of te weinig gedragsregels over hoe
om te gaan met patiëntgegevens. "Daarin baart ons echt zorgen dat je als cliënt, als
zorgvrager, niet kan inzien wie jouw gegevens kan zien. Professionals en gemeenten weten
dat ook niet. Dus je weet niet wat je wel of niet mag zien en dat is natuurlijk een kwalijke
zaak." Dat de gegevens overgaan naar de gemeente, is niet waar Soffer zich druk over
maakt. "Maar dat eigenlijk op heel veel plekken niemand weet wat er met die gegevens
gebeurt, dat het onduidelijk is, onbekend is en sterk wisselt per gemeente; dat vinden we
een onjuiste gang van zaken."
Soffer wil dat patiënten 'eigen regie' over de gegevens krijgen.
D66 Kamerlid Vera Bergkamp deelt die zorg. "We hebben nog maar een paar maanden en
dan is het 1 januari 2015." "Het is niet zo dat er niets gebeurd is, maar de tijd begint wel te
dringen."
Complexe operatie
De zorgen die Illya Soffer en Vera Bergkamp hebben, deel ik. Voor de gemeenten is de
decentralisatie van langdurige zorg een enorme en complexe operatie. Denk bijvoorbeeld
aan het bedenken en inrichten van nieuwe processen, het creëren van nieuwe functies en
het aannemen van functionarissen. Ook moeten administratieve ICT systemen worden
aangepast, of gemeenten zullen nieuwe systemen moeten kopen of bouwen. En de deadline
is keihard: 1 januari 2015 worden de gemeenten verantwoordelijk en voeren zij de
coördinatie over de intensieve zorg voor honderdduizenden mensen. De gegevens van deze
mensen zijn per definitie zeer privacygevoelig, het gaat immers om medische gegevens.
Voorbereidingen
Om de ICT systemen voor te bereiden op de nieuwe taken, zijn de gemeenten op dit
moment bezig met grote implementatie- of systeemontwikkelingsprojecten. En daarmee
ontstaat meteen een extra zorg over de veiligheid van de gegevens.
Want welke gegevens gebruiken de gemeenten om de nieuwe of aangepaste systemen te
testen? Zonder zeker te zijn, denk ik het antwoord te weten: onder druk van de harde
deadlines worden snel en eenvoudig kopieën gemaakt van de productiegegevens en in de
testomgeving geplaatst. En aangezien bij veel organisaties Testdata Management nog niet
is ingericht, worden deze gegevens niet geanonimiseerd. Nog meer verspreiding van
gegevens dus, ook naar vaak minder veilige omgevingen zoals de O(ntwikkel)-, de T(est)-
en A(ccepatie)omgevingen.
Gevaar
Illya Soffer vergeleek in het interview op BNR de gegevens waarvoor de gemeenten
verantwoordelijk zijn met extra koffers die ineens op Schiphol aankomen, zonder plan waar
ze naartoe moeten. Als je de gegevens ook nog eens kopieert naar de O-, de T- en de A-
omgeving, creëer je nog eens een veelvoud van die - om in beeldspraak te blijven - koffers,
die je vervolgens buiten de beveiligde douanezone gaat bewaren. Met alle gevolgen van
dien!
Maatregelen
Om de zorgen over de veiligheid van de gegevens van vele patiënten weg te nemen, pleit ik
voor een aantal maatregelen die de gemeenten op zijn minst moeten nemen:
Denk na over een goed autorisatiemodel voor de productieomgeving. Welke
(nieuwe) functionarissen mogen de te beheren gegevens inzien, muteren en/of
verwijderen?
Richt, naast een veilige productieomgeving, ook veilige O-, T- en A- omgevingen in;
Anonimiseer de gegevens in de O-, de T- en de A- omgeving, zodat natuurlijke
personen niet meer herleidbaar zijn. Dit is overigens wettelijk verplicht volgens de
Wet Bescherming Persoonsgegevens;
En ook heel belangrijk: gooi de gegevens uit de O-, de T- en de A- omgeving weg
zodra de gegevens niet meer nodig zijn voor ontwikkeling of acceptatie.
De bovenstaande maatregelen helpen om de veiligheid te waarborgen. Ik zeg niet dat er met
deze maatregelen niets fout zal gaan, maar de kans wordt aanzienlijk kleiner.
Beluister hier de opname van het radio-interview.
Interessant voor jou? Handige SmarTEST tools
Valori onderkent vijf - door een rode draad verbonden - handvatten die je nodig hebt voor de
regie op het totale test- en acceptatieproces. Deze zijn gebaseerd op erkende ‘best
practices’ en hebben hun waarde in de praktijk van complexe ICT implementaties bewezen.
Klik op de button hieronder voor de tools:
Auteur: Boris de Hingh