Het belang van Identity & Access Management binnen de zorgsector in het licht van de AVG

Article

Het belang van Identity & Access Management binnen de zorgsector in het licht van de AVG

Privacy en Identity & Access Management in patiëntendossiermanagement

In juni 2019 legde de Autoriteit Persoonsgegevens (AP) een boete van EUR 460.000 op aan het HagaZiekenhuis wegens onvoldoende beveiliging van de toegang tot patiëntendossiers. In dit artikel leggen wij uit hoe zorgaanbieders in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) kunnen handelen en het risico op een datalek kunnen beperken.

Het Besluit

Op 18 juni 2019 legde de AP een bestuurlijke boete op aan het HagaZiekenhuis, samen met een last onder dwangsom oplopend tot EUR 300.000. De AP was hiermee binnen de EU niet de eerste handhavende instantie die de bescherming van patiëntgegevens door zorginstellingen onvoldoende vond: ook in Portugal en het Verenigd Koninkrijk werd door respectievelijk de CNPD en de ICO ingegrepen. 

De AP nam het boetebesluit omdat aan twee eisen ten aanzien van de beveiliging van persoonsgegevens niet voldaan was. Het ging om: 1) gedegen implementatie van 2FA om toegang te krijgen tot een zorginformatiesysteem (ZIS) en 2) proactieve controle van de logbestanden van zowel geslaagde als afgewezen toegangspogingen tot het ZIS. Met integraal Identity & Access Management kan aan beide privacy-bezwaren tegemoet worden gekomen. In dit artikel laten we hier enkele voorbeelden van zien. 

Twee-factor authenticatie moet consequent toegepast worden

Het afdwingen van 2FA voor toegang tot een ZIS is verplicht op grond van de AVG en de Wet aanvullende bepalingen verwerking persoonsgegevens (Wabvpz). Deze preventieve beveiligingsmaatregel zorgt ervoor dat de identiteit van de gebruiker met een hogere mate van zekerheid kan worden vastgesteld. Dit beperkt het risico op oneigenlijk gebruik door derden.

Volgens de AP was de 2FA voor toegang tot het ZIS niet goed geïmplementeerd. Zo was het in een aantal situaties mogelijk om met alleen de combinatie van een gebruikersnaam en wachtwoord toegang te krijgen tot patiëntendossiers; zonder bijvoorbeeld een token of een vingerafdrukscan. Deze authenticatiemethode maakt gebruik van één factor en voldeed volgens de AP niet aan een passend beveiligingsniveau.

"De zorgsector heeft behoefte aan scherp advies op het gebied van privacy en informatiebeveiliging, waarbij patiëntgegevens beschermd worden zonder dat dit ten koste gaat aan goede zorg."

Oplossingen voor betere informatiebeveiliging

De verbetering of invoering van de onderstaande aspecten kan bijdragen aan het vergroten van de veiligheid van de patientdata. In het PDF worden deze methodes uitgebreider toegelicht.

1. Continue authenticatie: Een score wordt toegepast op de authenticatie, op basis waarvan extra informatie wordt gevraagd.

2. Controle van logbestanden: Automatisering kan het regelmatig controleren van logbestanden gemakkelijker maken waardoor het vaker kan worden gedaan.

3. User and Entity Behavior analytics: Door de analyse van controles kan afwijkend gedrag worden gesignaleerd.

4 Gamification: gamificatie kan helpen bij het verhogen van de bewustwording bij de medewerker. De Security Escape Room is zo'n voorbeeld

Meer informatie?

Lees het gehele artikel via de button aan de rechterzijde. Bij vragen kunt u contact opnemen met onderstaande contactgegevens. 

Did you find this useful?