Zorg onvoldoende op hoogte van nieuwe regelgeving

30 juni 2015 Consultancy.nl

Zorginstellingen in Nederland zijn grootverwerkers van data en privacygevoelige gegevens, maar de meerderheid geeft aan niet bekend te zijn met relevante (nieuwe) wet- en regelgeving. Dit blijkt uit een onderzoek van BDO onder meer dan 50 zorginstellingen.

Vanwege toenemende impact van IT heeft de Europese Commissie besloten dat de huidige richtlijn van de privacyverordening moet worden aangepast. De verwachting is dat de nieuwe verordening in de loop van 2016 wordt goedgekeurd door het parlement. Daarmee wordt de verordening ook rechtstreeks van kracht in Nederland. Het voorstel bevat nieuwe en strengere privacyregels, die op veel vlakken verder gaat dan de huidige Wet bescherming persoonsgegevens. Zo kunnen er boetes worden opgelegd die oplopen tot €100 miljoen of 5% van de wereldwijde jaarlijkse omzet van een onderneming als organisaties niet voldoen. In het ergste geval kan een zorginstelling haar licentie verliezen.

Tegen de achtergrond van de nieuwe wet- en regelgeving besloot BDO recent om de bereidheid van Nederlandse zorginstellingen onder de loep te nemen. Het accountants- en adviesbureau enquêteerde 55 zorgorganisaties, binnen alle segmenten van de markt, zowel kleine als grote instellingen.

Bekend met Europese Privacyverordening

Van de respondenten geeft “slechts” 40% aan inhoudelijke kennis te hebben over deze aanstaande verordening. Bij de helft van de respondenten is dus geen kennis aanwezig, een verontrustend getal, aldus de onderzoekers. Van de 40% organisaties die wel kennis hebben geven alle zorginstellingen één of meer maatregelen genomen om zich hierop voor te bereiden. De bedrijven kiezen vooral voor maatregelen richting de interne IT-kant en IT-leveranciers. “Een signaal dat informatiebeveiliging primair als een IT-aangelegenheid wordt gezien. Maatregelen ten aanzien van de soft controls (awareness van medewerkers en een interne rol voor informatiebeveiliging) zijn aanzienlijk minder getroffen”, aldus Robert van Vianen, partner bij BDO.

Getroffen Maatregelen voor de Europese Privacyverordening

Meldplicht datalekken
Wanneer er sprake is van een datalek en persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dan moet dat volgens de meldplicht datalekken direct gemeld worden aan het College bescherming persoonsgegevens (CBP). Het kabinet heeft deze meldplicht recent verder aangescherpt, met name door het CBP de bevoegdheid te geven aanzienlijk hogere boetes te kunnen opleggen*. Volgens het onderzoek van BDO is slechts 38% van de zorginstellingen bekend met de werking van deze meldplicht.

Bekend met meldplicht datalekken

Van deze 38% heeft nog geen eenderde (28%) maatregelen getroffen om aan deze wet te voldoen. Bij 62% is dit niet het geval en 10% weet niet of aanvullende maatregelen zijn getroffen. “Een verontrustende uitkomst”, stelt Frank van der Lee, partner bij BDO, "want het niet naleven van de meldplicht gaat voor nog grotere financiële risico’s zorgen.”

Maatregelen naar aanleiding van Meldplicht datalekken

* De wet gaat per 1 januari 2016 verder onder de nieuwe naam Autoriteit Persoonsgegevens. De boetes kunnen oplopen tot €810.000 of, als dat niet passend is, 10% van de jaaromzet.