Gedragslijn Toegangsbeveiliging digitale patiëntendossiers: verplicht eerste rapportagemoment op 11 januari 2021

11 december 2020 - Uit cijfers van de Autoriteit Persoonsgegevens (AP) blijkt dat er jaarlijks meer datalekken bijkomen. De verwachting is dat dit aantal de komende jaren alleen maar zal toenemen. Bijna een derde van de datalekmeldingen is afkomstig uit de zorgsector.

Persoonsgegevens

Ziekenhuizen zijn verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens van medewerkers en patiënten te beveiligen. Deze maatregelen zijn gebundeld in de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers, welke recentelijk is opgesteld en goedgekeurd door de Nederlandse Vereniging voor Ziekenhuizen (NVZ) en de Nederlandse Federatie van Universitair Medische Centra (NFU).

Informatiebeveiligingsbeleid

De gedragslijn is een reactie op recente problemen inzake privacy en informatiebeveiligingsbeleid welke door de AP zijn onderzocht, onder meer bij het HagaZiekenhuis De gedragslijn stelt eisen aan de technische en organisatorische maatregelen die de veiligheid van systemen, welke persoonlijke gezondheidsinformatie bevatten en benaderbaar zijn voor meerdere specialismen, waarborgen.

De gedragslijn stelt specifiek eisen aan de volgende onderwerpen: 

  • Autorisaties en authenticatie.
  • Logging en controle op logging.
  • Bewustwording medewerkers.

Ziekenhuizen en revalidatie- en dialysecentra dienen te voldoen aan deze maatregelen. Op 11 januari 2021 volgt een verplicht eerste rapportagemoment. Op deze datum dient de eigen 0-meting afgerond en ingediend te zijn.

Mazars kan u helpen

De specialisten van Mazars hebben ruime ervaring met IT-audit, informatiebeveiliging, cybersecurity, privacy en het begeleiden van de inrichting van technische en organisatorische maatregelen. Ook hebben wij diepgaande kennis van en ervaring met de zorgsector en onderwerpen die spelen in deze sector.

Met onze pragmatische werkwijze kunnen wij u ondersteunen bij het tot stand brengen van de 0-meting. Als instelling dient u uiterlijk 31 mei 2021 een 1-meting uit te voeren. Een 1-meting behelst een audit door een IT-auditor op uw bewering inzake het voldoen aan de eisen uit de gedragslijn. De IT-auditor voorziet uw bewering van een ISAE 3000A assuranceverklaring. Daarnaast zal er nog 

een tweede fase volgen in de routekaart van de gedragslijn, waarbij de eisen aan uw zorginstelling verbreed en verdiept zullen worden. Ook bij deze toekomstige vervolgstappen in de routekaart
van de gedragslijn kunnen wij u ondersteunen en u van onze IT-auditdienstverlening voorzien.

Meer weten?

Wilt u graag meer informatie over de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers? Neem dan contact op met Niels Verhagen per e-mail of per telefoon: +31 (0)88 277 12 13 of met Gert-Jan Gerrits per e-mail of per telefoon: +31 (0)88 277 19 54. Zij helpen u graag verder.