Nieuwsflits Beveiliging Medische Gegevens

 in IT-recht

Het College bescherming persoonsgegevens (CBP) heeft op 2 juni jl. een brief naar 53 beheerders van verzuimsystemen verstuurd waarin het CBP het belang benadrukt van het treffen van adequate beveiligingsmaatregelen door bewerkers/beheerders van verzuimsystemen.

Deze brief heeft het CBP opgesteld en verstuurd naar aanleiding van een onderzoek dat het CBP had uitgevoerd naar de beveiliging van het verzuimsysteem van het ICT-bedrijf VCD Humannet B.V. en waaruit bleek dat dit bedrijf daarin tekort was geschoten.

In het kader van re-integratietrajecten zijn werknemers verplicht hun medische gegevens te verstrekken aan de bedrijfsarts in kwestie. Werknemers hebben een (financieel) afhankelijke relatie tot hun werkgever en nemen daardoor een kwetsbare positie in. Onzorgvuldige verwerking van medische gegevens kan grote nadelige gevolgen hebben voor de betreffende werknemer.

Personen (in het onderhavige geval werknemers) dienen dan ook beschermd te worden tegen onzorgvuldige verwerking van hun medische gegevens. Medische gegevens betreffen gegevens die betrekking hebben op iemands gezondheid in de ruimste zin van het woord, zoals verzuimgegevens.

Aanbieders van verzuimsystemen zijn verantwoordelijk voor een zorgvuldige en behoorlijke beveiliging van de medische gegevens in hun systemen.  Als de beveiliging niet zorgvuldig en behoorlijk is, handelt een aanbieder in strijd met de Wet bescherming persoonsgegevens.

Een adequate beveiliging houdt in ieder geval concreet in dat (a) tenminste een tweefactor authenticatie wordt toegepast. Het laten inloggen met een gebruiksnaam en wachtwoord is dus onvoldoende; (b) beveiligingsrisico’s periodiek in kaart worden gebracht door bijvoorbeeld het uitvoeren van penetratietesten en/of security scans en vervolgens het treffen van benodigde (additionele) maatregelen als de risico’s dit met zich brengen.

Daarnaast is het zaak dat gebruikersautorisaties in het verzuimsysteem zo worden ingesteld dat het niet mogelijk is dat personen die de medische gegevens niet mogen verwerken ook niet kunnen inzien of anderszins verwerken. Tevens stipuleert het CBP dat voor het ontwikkelen en testen van systemen uitsluitend gebruik gemaakt mag worden van zogenaamde ‘dummy gegevens’ of zuiver geanonimiseerde gegevens. En een systeembeheerder van de werkgever mag – net als de werkgever zelf – niet bij de medische gegevens kunnen die alleen verwerkt mogen worden door de bedrijfsarts.

Contact
Wilt u weten wat deze wettelijke vereisten betekenen voor uw bedrijf of heeft u andere vragen naar aanleiding van dit bericht dan kunt u contact opnemen met mevrouw mr. I.M. Tempelman (email: i.m.tempelman@cslaw.nl; tel: 023 – 534 01 00).

Lees hier het persbericht van het CBP (bevat mede link naar de brief zoals is gestuurd naar aanbieders van verzuimsystemen).

Lees hier meer over de Richtsnoeren beveiliging persoonsgegevens van het CBP.

Recent Posts
  • 20 juni 2017

    Einde oefening voor werknemer na liegen over klantbezoek en het uiten van dreigementen

    Marion Hagenaars
    Een ontslag op staande voet is vaak wikken en wegen. Zijn de gedragingen ernstig genoeg? Kunnen de gedragingen worden bewezen? Zijn er (privé) omstandigheden die de gedragingen rechtvaardigen? Gaat het niet te ver om de werknemer loon en uitkering te ontnemen? Maar soms maakt een werknemer het zo bont dat een ontslag op staande onvermijdelijk
    Lees verder
  • 13 juni 2017

    Zelfstandig werken onder eigen voorman, toch StiPP

    Marion Hagenaars
    Voor uitleners blijft het spannend. Nederland kent dan wel geen algemene pensioenverplichting, maar via het verplicht gesteld bedrijfstakpensioenfonds voor personeelsdiensten kan deze verplichting toch bestaan. De gevolgen zijn verstrekkend. Ongevraagd met terugwerkende kracht aangesloten worden, over jaren premies afdragen met soms faillissement tot gevolg, dubbele pensioenvoorzieningen met alle fiscale gevolgen van dien. Het is dan
    Lees verder
  • 8 juni 2017

    Thuiswerkdag recht of gunst?

    Marion Hagenaars
    De meeste werkgevers hebben er wel begrip voor: thuiswerken om efficiënter te kunnen werken, reistijd te beperken of werk en zorg beter te kunnen combineren. Maar soms slaat de twijfel toe. Worden de overeengekomen arbeidsuren wel gemaakt? En werkt thuiswerken disfunctioneren niet in de hand? En kan bij deze twijfel de thuiswerkdag zomaar weer worden
    Lees verder

Plaats een reactie