'Verzend patiëntengegevens niet via e-mail'

Een aspect van gegevensbeveiliging zijn de principes van gegevensbescherming in de zorg en de verhouding met privacy en beroepsgeheim. Artsen mogen persoonsgegevens van hun patiënten bewaren en gebruiken, maar vragen zich vaak af hoe ze dat moeten doen op een manier die de persoonsgegevens afdoende beschermt, zegt Nils Broeckx. "Huisartsen kiezen daarvoor een van de bestaande softwarepakketten voor medische dossiers. Ze beseffen vaak niet dat zij het eerste aanspreekpunt zijn als er een gegevenslek wordt vastgesteld. Een arts kan dan wel verhaal zoeken bij de softwareprovider, maar in theorie zou elke zelfstandige huisarts een risicoanalyse moeten uitvoeren, net zoals ziekenhuizen doen voor zij een softwarepakket aankopen. Ik merk dat huisartsen daar nog vaak alleen in staan." Artsen zijn zelf verantwoordelijk voor de beveiliging van gegevens die ze bewaren, zegt Broeckx. "Er was onlangs een uitspraak in Frankrijk waar een ziekenhuisarts die dossiers op zijn persoonlijke laptop bewaarde, veroordeeld werd tot een boete van 6.000 euro. De laptop was gehackt en de Franse Gegevensbeschermingsautoriteit oordeelde dat de arts niet het nodige had gedaan om de gegevens te beveiligen met bijvoorbeeld encryptie (digitale versleuteling). In verhouding met de boetes die bedrijven opgelegd krijgen is dat een peulschil, maar voor een zelfstandig arts is het toch even slikken." Anderzijds kan men van artsen moeilijk verwachten dat ze experts in databeveiliging zijn, vindt Broeckx. "Er zouden duidelijker richtlijnen moeten zijn. Artsen zouden uiteraard de standaard adviezen voor elke computergebruiker moeten volgen, zoals een sterk wachtwoord gebruiken en niet zomaar op links in een mail klikken, maar het zou goed zijn dat de Gegevensbeschermingsautoriteit bijvoorbeeld zou vastleggen welk encryptieniveau verwacht wordt." Broeckx raadt af om resultaten van medische onderzoeken via e-mail te delen met patiënten. "Mail is ok voor afspraken en administratieve zaken, maar is niet veilig genoeg voor gevoelige gegevens. Zelfs als de patiënt zelf zijn Gmail-account niet voldoende beveiligd heeft, riskeert de arts daarop aangesproken te worden. Ook onder collega's gebruik je best de bestaande softwarepakketten om gegevens te delen." Broeckx raadt ook aan om voorzichtig te zijn met clouddiensten zoals Dropbox en WeTransfer. "Zolang gegevens binnen Europa blijven, zijn ze beschermd door de Europese GDPR-wetgeving en zit je in principe veilig. Maar heel wat van die cloud-oplossingen draaien op servers in de VS, en daar heb je echt bijkomende waarborgen nodig. Als je een dossier voor een 'second opinion' naar een specialist in de VS stuurt, moet je zeker zijn dat alleen hij die gegevens kan inzien." Ook het 'secundair gebruik' van gezondheidsgegevens, zoals voor wetenschappelijk onderzoek, verdient aandacht. "In tegenstelling tot klinische proeven, waar je de patiënt expliciet toestemming moet vragen, is zo'n consent niet nodig voor puur retrospectieve medische studies", vertelt Broeckx. "Je moet patiënten er wel op wijzen dat hun gegevens voor onderzoek gebruikt kunnen worden, bijvoorbeeld via een folder in de wachtzaal. Het is eigenlijk hetzelfde opt-outprincipe als voor orgaandonatie." Over dit onderwerp is ook nieuwe Europese wetgeving in de maak, de European Health Data Space Regulation, die onder meer zal verduidelijken hoe gegevens voor onderzoek vrijgegeven mogen worden. Tot slot hebben ook nieuwe technologieën, zoals wearables die gezondheidsgegevens verzamelen, implicaties. "Een arts moet controleren of die toestellen wel een CE-markering hebben, en vooral goed communiceren over wat de patiënt mag verwachten. Sommige van die toestellen sturen slechts één keer per dag of om de zoveel uur gezondheidsdata door. Als je zo'n toestel voorschrijft, wil je niet de indruk wekken dat die patiënt constant wordt gemonitord en dat bij een spoedgeval automatisch de hulpdiensten worden verwittigd."