“Meerderheid zorgsites onbeveiligd: privacy-autoriteit dreigt met boetes”, zo luidt het artikel van de NOS. Onlangs bleek al uit een onderzoek van de Consumentenbond dat medische websites de wet overtreden. Wil je weten of jij een medische website hebt en aan welke eisen je dan moet voldoen? In deze blogserie vind je antwoord op deze vragen:
- Blog 1: Ben ik een medische website?
- Blog 2: Aan welke privacy-eisen moet een medische site voldoen?
- Blog 3: Welke eisen stelt de consumentenwet?
Beveiliging in een medische site
Voor het online aan de slag gaan met bijzondere persoonsgegevens geldt dat er passende technische en organisatorische beveiligingsmaatregelen moeten worden getroffen. Je snapt dat er voor gezondheidsgegevens een hoger beveiligingsniveau passend is dan voor normale persoonsgegevens. Als de gegevens op straat komen te liggen heeft dit mogelijk een grotere impact dan wanneer (enkel) NAW-gegevens lekken.
Maar wat is dan wel passend? De Autoriteit Persoonsgegevens heeft een tijd terug in haar richtsnoeren aangegeven dat voor gezondheidsgegevens enkel een hoog niveau van beveiliging passend is. Lees deze blog nog over hoe beveiliging is ingevuld voor uitwisselingssystemen en zorginformatiesystemen. Er wordt daar voornamelijk verwezen naar NEN-normen, namelijk NEN 7510, NEN 7512 en NEN 7513.
SSL (nu TLS)
Wanneer gezondheidsgegevens worden verwerkt op de website, moeten deze gegevens op zijn minst versleuteld zijn. Zorg er dus voor dat je website middels SSL (nu TLS) versleuteld en beveiligd is. Een versleutelde webpagina kun je herkennen aan HTTPS in plaats van HTTP aan het begin van de URL. Bij voorkeur wordt de hele website achter SSL gezet.
Privacyverklaring
Op de website moet een privacyverklaring goed vindbaar worden geplaatst. In een privacyverklaring wordt beschreven welke (medische) persoonsgegevens worden verwerkt met welk doel. Ook wordt beschreven hoelang de gegevens worden opgeslagen en hoe de beveiliging op hoofdlijnen is geregeld. Ten slotte moet worden opgenomen hoe bezoekers van de website een verzoek tot inzage, correctie of verwijdering kunnen indienen.
Training ICT & Gezondheidsrecht
Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?
