A_Trede3:Beveiliging:Informatiebeveiliging:DatalekProcedure?

SpinDok Advies

Procedure datalek

Doel | wat

Er is een procedure datalek voorhanden.

Rationale | waarom

Stappenplan | hoe

Benodigdheden | wie & waarmee

Achtergrondinformatie

Sinds 2016 is het een wettelijke verplichting om verlies van vertrouwelijke gegevens te melden bij de Autoriteit Persoonsgegevens. De praktijk heeft als eindverantwoordelijke voor de patiëntengegevens de verantwoordelijkheid om de melding te doen. De wet geeft 72 uur om een (voorlopige) melding te doen na het ontdekken van het datalek. Er zit dus best wel tijdsdruk achter en daarom is een protocol geen slecht idee.

Een datalek is in de wet nogal breed gedefinieerd. Een hack op de praktijksystemen of een verloren laptop met patiëntinformatie zijn duidelijke gevallen. Maar patiëntgegevens in onbeveiligde email of verloren passwords zijn minder duidelijk. Ook daarom is het handig een protocol te hebben liggen.
Indien noodzakelijk is het verplicht de betrokken patiënten op de hoogte te brengen van het datalek van hun gegevens.