Zorg verlenen in de cloud: security en privacy

In de blog Ehealth in 2025: ga goed voorbereid de cloud in! gaf ik aan dat er over de hieronder beschreven (1-4) onderwerpen afspraken gemaakt moeten worden. In deze blog ga ik in op de afspraken over het eerste onderwerp.

1. security en privacy aspecten bij ontwikkeling van, verbinding met en gebruik van applicaties;
2. continuïteit van de applicatie bij faillissement van dienstverlener;
3. exit strategie t.b.v. data als partijen uit elkaar gaan;
4. verdeling van verantwoordelijkheden en daaraan gekoppelde (beperking van) aansprakelijkheid van de zorgverlener en/of ontwikkelaar van de applicatie.

Al voordat de applicatie ontwikkeld wordt, moeten er afspraken gemaakt worden over security- en privacy-aspecten. Uitgangspunt daarbij is om kwetsbaarheden in de software zo veel mogelijk te voorkomen. De belangrijkste kwetsbaarheden vind je in de top 10 van het OWASP (the Open Web Application Security Project).
Op nummer 1 staat “injection”: je injecteert als het ware een stukje code waardoor het computer programma anders gaat werken of een bepaalde (ongeoorloofde) instructie uitvoert. Het gevolg kan zijn dat er meer informatie uit een database gehaald wordt dan toegestaan. Stel je voor dat er patiëntgegevens in de database zitten, dan begrijp je de wat de gevolgen kunnen zijn.

Ten aanzien van de verbinding kan ik kort zijn. Als er gegevens over een openbare internetverbinding worden verstuurd, dan moet afgesproken worden dat gegevens versleuteld worden verzonden. Voor een website geldt dat er versleuteld kan worden met gebruik van een SSL-certificaat. Online is een SSL-verbinding ook zichtbaar, in de browser adresbalk staat dan https in plaats van http.

Wat betreft de beveiliging van de applicatie voor veilig gebruik kun je denken aan het implementeren van normen. De wet stelt dat het verwerken van medische persoonsgegevens met passende technische en organisatorische maatregelen moet worden beveiligd. Hoe je deze open regel moet interpreteren wordt uitgelegd door het CBP in haar richtsnoeren. Hierin staat onder andere dat je bestaande normen moet hanteren (denk aan NEN 7510, ISO 27001, ISO 27002) of uitleggen waarom je dat niet hoeft te doen.

Tenslotte is het natuurlijk ook bij Ehealth verplicht om de gebruikers in te lichten over hoe u (bijzondere) persoonsgegevens verwerkt en welke beveiligingsmaatregelen u hierbij heeft getroffen. U kunt dit kenbaar maken door een privacy verklaring op te nemen in uw Ehealth (of mhealth) applicatie. Daarin beschrijft u welke gegevens u verzamelt, voor welk doel en voor welke duur. Ook moet opgenomen worden waar gebruikers terecht kunnen als zij gegevens willen laten verwijderen of wijzigen en of de verwerking van persoonsgegevens is gemeld bij het College Bescherming Persoonsgegevens. Hier leest u meer over het melden.

Volgende week zal ik ingaan op de afspraken over het tweede en derde onderwerp.


Itte Overing is juridisch adviseur bij ICTRecht en gespecialiseerd in continuïteit, notice & takedown en gezondheidsrecht 2.0

Dit artikel verscheen op 20 november 2013 op cloudrecht.nl en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Itte Overing

Laatste artikelen