Beveiligingsrisico’s verminderen en verzekeren
Als huisarts beschik je over veel gevoelige en vertrouwelijke gegevens van je patiënten. Je hebt de verantwoordelijkheid om hier vertrouwelijk mee om te gaan en deze voldoende te beveiligen. We leggen uit welke preventieve beveiligingsmaatregelen je daarbij kunt treffen.
Met preventieve maatregelen verklein je de risico’s die digitaal werken met zich meebrengen. We zien dat er verschillende verzekeringsmaatschappijen cyber- en datariskverzekeringen aanbieden. Het is niet verplicht om zo’n verzekering af te sluiten. Overweeg je toch om zo’n verzekering af te sluiten? Dan geven we je graag een aantal punten ter overweging mee.
Beveiligingsmaatregelen
Allereerst is het van belang dat je binnen de praktijk goede interne beschermingsmaatregelen hebt genomen om risico’s op cyberincidenten tot een minimum te beperken. Voorkomen is immers beter dan genezen.
Denk hierbij aan bewustwording onder medewerkers in de praktijk.
Let er daarnaast op bij welke leveranciers/verwerkers je diensten afneemt en welke beveiligingsmaatregelen zij treffen. Het is jouw verantwoordelijkheid met leveranciers samen te werken die voldoende passende beveiligingsmaatregelen hebben genomen. Hier maak je afspraken over in een verwerkersovereenkomst. Mocht de verwerker zich niet aan die afspraken houden en er ontstaat een datalek, dan kun je hier niet in alle gevallen aansprakelijk voor worden gehouden. Met onze checklist verwerkersovereenkomst kun je nagaan of een verwerkersovereenkomst voldoet aan de privacywet AVG.
De LHV heeft samen met InEen en NHG een webdossier ontwikkeld vol met informatie en tips voor het verbeteren van de informatieveiligheid. Dit biedt allerlei aanknopingspunten om er snel mee aan de slag te gaan.
Cyber- en datariskverzekering
Overweeg je een cyber- en datariskverzekering af te sluiten? Kijk dan eerst goed naar de polisvoorwaarden en de situaties en omstandigheden waarvan de dekking is uitgesloten. En naar de hoogte van het eigen risico van de dekking. Bij schade zijn de kosten dan minstens de premie en het eigen risico. Verder is ook de hoogte van de retentietijd van belang. Dat is het aantal uren dat voor je eigen rekening komt na het melden van de bedrijfsschade.
De verzekering biedt vaak professionele bijstand bij een digitale calamiteit als een datalek of hack. Deze bijstand kun je, wanneer je geen verzekering hebt, uiteraard tegen betaling ook zelf inschakelen. Daarnaast biedt de verzekering in veel gevallen professionele bijstand bij cyber-afpersing.
In sommige gevallen vallen ook opgelegde boetes onder de verzekering, maar het is maar de vraag of een boeterisico wel te verzekeren is. Dit is een ethische kwestie, waarbij sommige juristen vinden dat dergelijke afspraken nietig zijn en in strijd met de goede zeden. Hun idee is dat als je een boete kunt verzekeren, er daarmee geen preventieve werking meer van uit gaat.
Tenslotte biedt de verzekering veelal ook dekking tegen schadevergoedingen bij datalekken (van patiënten). De omvang van dergelijke door de rechter toegekende schadevergoedingen bij het lekken van persoonlijke gegevens is over het algemeen – voor zover ons nu bekend –beperkt. Tegelijkertijd geldt natuurlijk dat wanneer er sprake is van een massaal lek, vele kleine schadevergoedingen kunnen optellen tot een aanzienlijk bedrag.
Maak dus een afweging van de mogelijke cyberrisico’s die je loopt, wat je zelf kunt doen en wat je leveranciers kunnen doen om deze risico’s te verminderen, en de kosten die een verzekering met zich meebrengen (inclusief het eigen risico) en de mate waarin een mogelijke schade vergoed zal worden.
Vragen?
Heb je nog vragen over dit onderwerp? Neem dan contact op met de LHV via jz@lhv.nl.