Nieuws / Whatsapp en privacy


Whatsapp en privacy


Afgelopen februari heeft de Autoriteit Persoonsgegevens (APg) een brief gestuurd naar Raden van Bestuur van zorginstellingen (ziekenhuizen, GGZ en huisartsenposten).

De brief gaat over het goed beveiligen van toegang tot (medische) gegevens. Deze mogen namelijk niet voor iedereen binnen de zorginstelling toegankelijk zijn. Het ging hierbij bijvoorbeeld om een student met een bijbaan op de administratie die een dossier van een medestudent zou hebben bekeken. Het gaat hier om zaken als het goed regelen van toegang van gegevens op een ‘need to know’ basis.

De APg komt, na gedegen onderzoek, tot de conclusie dat het voorkomen van dit soort incidenten en het daadwerkelijk goed regelen van gecontroleerde toegang tot patiëntgegevens een complexe, maar niet onmogelijke opgave is. Conclusie: elke zorginstelling moet dit gewoon goed regelen.

Bij nieuwe ICT voorzieningen kunnen zich nieuwe risico’s voordoen voor de vertrouwelijke behandeling van patiëntgegevens. Die risico’s moeten goed in beeld worden gebracht (via een Privacy Impact Assessment) en deze risico’s moeten worden geminimaliseerd.

De Raad van Bestuur is uiteraard verantwoordelijk dat dit gebeurt. Zij moeten alles doen om vertrouwelijke gegevens vertrouwelijk te houden. Derhalve moeten maatregelen als autorisatiebeheer, controle op toegangsrechten en periodieke evaluatie worden geïmplementeerd binnen de bedrijfsvoering.

Een veel voorkomende vraag is of Whatsapp binnen de zorginstelling gebruikt mag worden als communicatiemiddel tussen (para)medisch personeel. De APg is van oordeel dat dit geen goed middel is en verzoekt zorginstellingen te stoppen met het gebruik van Whatsapp.

Een zorgverlener heeft een beroepsgeheim. Als een whatsapp-bericht gelezen wordt door een onbevoegde, dan is dit een schending van dat beroepsgeheim en een onrechtmatige verwerking van persoonsgegevens. Er is geen controle op wie het leest, waar het bericht blijft en wat er eventueel met de gegevens in de cloud gebeurt. Sterker: het is tevens aan te merken als datalek binnen de organisatie, en deze moet gemeld worden bij de APg.