
Zorg & Recht Lezing: De invloed van cybersecurity op governance in de zorg
Hoe groot is de invloed van cybersecurity in de zorg en is binnen uw organisatie voldoende focus op veiligheid?
Bedrijven en instellingen zijn steeds afhankelijker van digitale processen en ICT. En sinds coronatijd is het belang van het gedigitaliseerd (thuis)werken alleen nog maar toegenomen. De samenleving kan niet meer zonder digitale oplossingen, maar deze afhankelijkheid maakt organisaties ook kwetsbaarder. Het gevaar van datalekken groeit en cybercriminelen grijpen waar mogelijk hun kans. De gevolgen voor de getroffen organisaties zijn niet te onderschatten: reputatieschade, bedrijfsstilstand, aansprakelijkheid. Door bijtijds te onderzoeken welke cyberrisico’s uw organisatie loopt, passende beveiligingsmaatregelen te treffen en noodplannen te maken voor als het toch misgaat, vergroot u uw cyberweerbaarheid.
Cybersecurity zijn alle beveiligingsmaatregelen die een bedrijf of organisatie neemt om schade te voorkomen door storing, uitval of misbruik van een informatiesysteem of computer.
Bedrijfsuitval en/of datalekken door:
Ieder bedrijf dat persoonsgegevens verwerkt moet voldoen aan de eisen uit de Europese Algemene Verordening Gegevensbescherming (AVG). In die wet is onder andere opgenomen dat bedrijven voor de bescherming van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten treffen. Is er sprake van een datalek, dan moet het bedrijf dat in veel gevallen melden aan de Autoriteit Persoonsgegevens. Op overtreding van de AVG staan forse boetes.
Bedrijven en organisaties in de zogeheten vitale infrastructuur zijn bovendien gebonden aan de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze bedrijven en organisaties hebben een wettelijke zorgplicht om maatregelen te treffen om beveiligingsrisico’s voor de ICT-systemen zoveel mogelijk te verkleinen. Doet zich toch een cyberincident voor, dan moeten ze dat melden. Vitale aanbieders en aanbieders van essentiële diensten doen dat bij het Nationaal Cyber Security Centrum (NCSC). Aanbieders van essentiële diensten moeten daarnaast ook melden bij de sectorale toezichthouders en digitale dienstverleners bij het CSIRT (Computer Security Incident Response Team). Ook op overtreding van deze wet staan forse boetes.
Los van deze wetten rusten op ieder bedrijf dat van gebruikmaakt van ICT en computersystemen (ongeschreven) zorgplichten voor een goede cybersecurity. Bedrijven en organisaties maken vaak deel uit van een digitale keten met daarin andere bedrijven en soms ook consumenten. Ieder bedrijf is zelf verantwoordelijk voor de gebruikte ICT. Door de ketenafhankelijkheid zijn goede, duidelijke afspraken en risico-inschattingen heel belangrijk.
Regelgeving kan zeer branchespecifiek zijn. Een goede cybersecurity is sterk afhankelijk van de aard van het bedrijf of organisatie, de mate waarin (bijzondere) persoonsgegevens worden verwerkt en de mate van afhankelijkheid van technologie. Een ziekenhuis werkt met grote hoeveelheden gevoelige gegevens én is sterk afhankelijk van technologie. Dan maak je andere afwegingen in de cybersecuritystrategie dan voor bijvoorbeeld een productiebedrijf, waarbij de gevoeligheid van persoonsgegevens een minder prominente rol speelt. Overheden of kennisinstellingen moeten op hun beurt weer op een andere wijze omgaan met cybersecuritystrategie.
Cyber is een onderwerp dat op bestuursniveau aandacht dient te krijgen vanuit een multidisciplinaire benadering: bestuurders moeten om de tafel met het management, IT-ers en afgevaardigden van de juridische, commerciële en communicatieafdeling.
Alle organisaties met digitale processen in alle denkbare branches lopen cyberrisico’s. Het Cybersecurity Team is in al die branches actief:
Het is dus belangrijk om cyber vanuit alle verschillende perspectieven te bekijken. Daarom is ook het Cybersecurity Team multidisciplinair samengesteld met experts van diverse disciplines van Dirkzwager: IE/IT, Aansprakelijkheid, Schade en Verzekering en Gezondheidszorg. Door alle specialistische kennis op zowel juridisch gebied als van de specifieke branches samen te voegen, heeft het Cybersecurity Team het volledige overzicht.
Het Cybersecurity Team kan uw organisatie begeleiden bij het hele proces, van preventie tot juridische afwikkeling.
Het Cybersecurity Team combineert brede ervaring met digitale technologieën en IT-systemen met diepe kennis van de verschillende branches zoals gezondheidszorg en verzekeringen. Het team staat onder leiding van cybersecurityspecialist Nynke Brouwer, gespecialiseerd in cybersecurity, privacy en aansprakelijkheids- en verzekeringsrecht. Hierop zal zij in de loop van 2021 promoveren aan de Radboud Universiteit in Nijmegen. Met haar specialistische kennis begeleidt Nynke Brouwer verzekeraars bij de (door)ontwikkeling van cyberpolissen.
Verder bestaat het team uit: Ernst-Jan van de Pas, Mark Jansen, Marloes Roetert Steenbruggen-Hulshof, Jeroen Lubbers, Dafne de Boer en Sven Wakker.
Wilt u meer informatie over het cyberteam, cybersecurity, incident response of cyberverzekeringen of wilt u een afspraak maken? Dan kunt u contact opnemen met Nynke Brouwer, 026 353 83 12 of mail naar brouwer@dirkzwager.nl.
Hoe groot is de invloed van cybersecurity in de zorg en is binnen uw organisatie voldoende focus op veiligheid?
Organisaties zijn verplicht om de uitoefening van de rechten van betrokkenen onder de Algemene verordening gegevensbescherming (AVG), zoals het recht op inzage of gegevenswissing, te faciliteren. Bij dergelijke verzoeken geldt een identificatieplicht: verwerkingsverantwoordelijken moeten op grond van de AVG de identiteit van de verzoekende betrokkenen vaststellen. Maar de AVG geeft niet aan hoe een organisatie dat moet doen. Dat deze verplichting niet in alle gevallen ingevuld mag worden met het opvragen van een kopie identiteitsbewijs (paspoort, rijbewijs of ID-kaart) blijkt uit het recente boetebesluit van de Autoriteit Persoonsgegevens aan DPG Media. In dit blog nemen we het besluit onder de loep en beantwoorden wij de vraag hoe aan de identificatieplicht uit de AVG kan worden voldaan.
De laatste jaren zijn er op het gebied van internationale gegevensuitwisseling vele ontwikkelingen. Een van de laatste ontwikkelingen is dat de EU en de VS een principeakkoord hebben bereikt over een nieuwe regeling voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. Het principeakkoord is de derde poging die wordt gedaan om een grondslag te bieden voor de gegevensuitwisseling tussen de EU en VS. De Safe Harbor en het Privacy Shield gingen al voor. In deze blog geef ik een overzicht van de ontwikkelingen met als (tijdelijk) eindstation het principeakkoord.
Een OneDrive-account kan geblokkeerd worden vanwege ongepaste afbeeldingen, maar Microsoft moet deze keuze wel voldoende overtuigend onderbouwen. Zo oordeelde de rechtbank Rotterdam in een zaak van maart 2022. Deze uitspraak vormt een nieuwe bouwsteen in de leer omtrent het blokkeren van accounts bij clouddiensten.
Inmiddels twee jaar geleden schreven we in eerder blogartikel op onze website al over de uitspraak van de rechtbank Den Haag waarin geoordeeld werd dat de pakjes met voetballers (zgn. packs) in de populaire voetbalgame FIFA kwalificeerden als verboden kansspel. In hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State (‘de Afdeling’) is die uitspraak vernietigd.
In een recente uitspraak ging de rechtbank Amsterdam in op de verdeling van verantwoordelijkheden bij een IT-project. Eiseres meende dat een IT-ondernemer onrechtmatig handelde door geen goede afspraken te maken over een IT-project. Waar we regelmatig zien dat de zorgplicht met succes wordt tegengeworpen aan de opdrachtnemer, oordeelde de rechtbank hier in het voordeel van de IT-specialist. Beide partijen zijn volgens de rechtbank verantwoordelijk voor het maken van afspraken.
Uit een recente kwestie bij de Afdeling Bestuursrechtspraak van de Raad van State volgt andermaal dat voor schadevergoeding onder de AVG in beginsel (nog steeds) concrete nadelige gevolgen vereist zijn. Indien een betrokkene deze gevolgen niet aantoont, en deze ook niet zodanig voor de hand liggen dat immateriële schade kan worden aangenomen, bestaat geen recht op schadevergoeding.
Hoofstuk 5 Algemene Verordening Gegevensbescherming (“AVG”) heeft betrekking op de doorgifte van persoonsgegevens naar derde landen. Volgens dit hoofdstuk mogen persoonsgegevens niet “zomaar” worden doorgegeven. In de praktijk is niet altijd duidelijk of er sprake is van doorgifte.
IT-storingen zijn uitermate hinderlijk. In een recente zaak voor het hof Leeuwarden stond de vraag centraal of de afnemer er vanuit mocht gaan dat zij 100% gegarandeerde beschikbaarheid mocht verwachten van haar werkomgeving die extern werd gehost en beheerd, althans dat dit nagenoeg storingsvrij beschikbaar moest zijn. Het hof oordeelde dat dit niet het geval is omdat dat geen redelijke uitleg van de SLA was. Ook was er geen sprake van schending van de zorgplicht. Een interessante uitspraak waar de nodige lessen uit te trekken zijn voor het opstellen en managen van SLA’s.