ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Zorgsites, deel 2: aan welke privacy-eisen moet een medische website voldoen?

21 augustus 2017 Door

Meerderheid zorgsites onbeveiligd: privacy-autoriteit dreigt met boetes, zo luidt het artikel van de NOS. Onlangs bleek al uit een onderzoek van de Consumentenbond dat medische websites de wet overtreden. Wil je weten of jij een medische website hebt en aan welke eisen je dan moet voldoen? In deze blogserie vind je antwoord op deze vragen:

  • Blog 1: Ben ik een medische website?
  • Blog 2: Aan welke privacy-eisen moet een medische site voldoen?
  • Blog 3: Welke eisen stelt de consumentenwet?

Beveiliging in een medische site

Voor het online aan de slag gaan met bijzondere persoonsgegevens geldt dat er passende technische en organisatorische beveiligingsmaatregelen moeten worden getroffen. Je snapt dat er voor gezondheidsgegevens een hoger beveiligingsniveau passend is dan voor normale persoonsgegevens. Als de gegevens op straat komen te liggen heeft dit mogelijk een grotere impact dan wanneer (enkel) NAW-gegevens lekken.

Maar wat is dan wel passend? De Autoriteit Persoonsgegevens heeft een tijd terug in haar richtsnoeren aangegeven dat voor gezondheidsgegevens enkel een hoog niveau van beveiliging passend is. Lees deze blog nog over hoe beveiliging is ingevuld voor uitwisselingssystemen en zorginformatiesystemen. Er wordt daar voornamelijk verwezen naar NEN-normen, namelijk NEN 7510, NEN 7512 en NEN 7513.

SSL (nu TLS)

Wanneer gezondheidsgegevens worden verwerkt op de website, moeten deze gegevens op zijn minst versleuteld zijn. Zorg er dus voor dat je website middels SSL (nu TLS) versleuteld en beveiligd is. Een versleutelde webpagina kun je herkennen aan HTTPS in plaats van HTTP aan het begin van de URL. Bij voorkeur wordt de hele website achter SSL gezet.

Privacyverklaring

Op de website moet een privacyverklaring goed vindbaar worden geplaatst. In een privacyverklaring wordt beschreven welke (medische) persoonsgegevens worden verwerkt met welk doel. Ook wordt beschreven hoelang de gegevens worden opgeslagen en hoe de beveiliging op hoofdlijnen is geregeld. Ten slotte moet worden opgenomen hoe bezoekers van de website een verzoek tot inzage, correctie of verwijdering kunnen indienen.

Training ICT & Gezondheidsrecht

Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?

> Meer informatie en aanmelden ICT & Gezondheidsrecht

Itte Overing

Juridisch adviseur & Manager Cloud

Itte Overing is sinds augustus 2010 juridisch adviseur bij ICTRecht en manager van het cloudteam. Zij adviseert clouddienstverleners, hun toeleveranciers en afnemers over de juridische aspecten van cloud computing.

Zij heeft zich hierbij gespecialiseerd in de continuïteit van bedrijf én dienst, de specifieke juridische uitdagingen van zorginstellingen in de cloud en “notice and takedown”.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *