Vergroot contrast

Apothekers treffen privacybeschermende maatregelen na onderzoeken CBP

Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoeken naar de verwerking van medische gegevens door apothekers overtredingen van de wet geconstateerd. Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroepsgeheim. Zij hebben de plicht om hun patiëntgegevens vertrouwelijk te behandelen, adequaat te beschermen en te beveiligen. Dat geldt zowel intern als extern richting derden. Het CBP heeft geconstateerd dat alle, steekproefsgewijs onderzochte apothekers op verschillende punten tekortschoten.

Zo bleken vier onderzochte apothekers in strijd met hun medisch beroepsgeheim patiëntgegevens te hebben verstrekt aan een fabrikant van incontinentiemateriaal. Vier andere apothekers bleken tijdens een onderzoek naar de beveiliging van de toegang van patiëntgegevens niet alle benodigde maatregelen te hebben genomen die gelden voor een adequate beveiliging van patiëntgegevens.

Inmiddels zijn de meeste overtredingen beëindigd. Ten aanzien van de geconstateerde overtredingen die nog openstaan in het kader van de toegangsbeveiliging, hebben de betrokken apothekers aangegeven dat deze binnen afzienbare tijd zullen zijn beëindigd. De bescherming van medische gegevens is een van de speerpunten van het CBP. De toezichthouder zal de komende tijd controleren of alle geconstateerde overtredingen in de apothekersbranche zijn beëindigd.

​Profielen van incontinentiepatiënten

Het CBP heeft bij vier apotheken onderzoek gedaan naar de verwerking van medische persoonsgegevens ten behoeve van het bepalen van patiëntprofielen met betrekking tot incontinentiemateriaal. Het bepalen van deze patiëntprofielen werd uitbesteed aan een eveneens door het CBP onderzochte derde partij, te weten een fabrikant van incontinentiemateriaal.

Het CBP constateerde dat de apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen. Zo ontbrak een zogeheten bewerkersovereenkomst tussen de apotheken en de fabrikant waarin afspraken opgenomen moeten zijn over onder meer de beveiliging van de gegevens en het doel waarvoor de bewerker de verschillende gegevens verwerkt.

Inmiddels heeft de fabrikant met de onderzochte apothekers met wie nog wordt samengewerkt een bewerkersovereenkomst gesloten waardoor de overtredingen op dit punt zijn beëindigd. Uit het onderzoek bleek ook dat niet alle apothekers aan alle patiënten toestemming hebben gevraagd om hun patiëntgegevens door te geven aan de fabrikant. Dat was in strijd met de wet. Deze overtredingen zijn inmiddels beëindigd omdat deze patiënten alsnog toestemming hebben gegeven en de gegevens van patiënten die geen toestemming hebben gegeven, zijn vernietigd.

Uitwisseling gegevens

Uit het onderzoek naar de beveiliging van de toegang tot patiëntgegevens bleek dat vier (andere) apothekers niet alle vereiste maatregelen hebben genomen om te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. Dat geldt bijvoorbeeld voor de eis van de zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem. De apothekers bleken enkel gebruik te maken van wachtwoorden om in te loggen en dat is onvoldoende.

Twee apothekers hebben aangegeven maatregelen te hebben genomen waardoor de overtredingen binnen afzienbare tijd zullen zijn beëindigd. Een apotheker heeft na de vaststelling van het onderzoeksrapport laten weten dat de overtreding inmiddels is beëindigd. Het CBP zal binnenkort controleren in hoeverre de geconstateerde overtredingen nog voortduren.

Aanvulling oktober 2014

Het CBP heeft inmiddels vastgesteld dat er bij de vier apothekers die niet alle vereiste maatregelen hadden getroffen om te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens, nu enkel kan worden ingelogd door middel van twee-factor authenticatie. Het CBP concludeert dat deze apotheken op dit punt niet langer de Wet bescherming persoonsgegevens overtreden.