De Autoriteit Persoonsgegevens heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) in een brief aandacht gevraagd voor de verbetering van de authenticatie bij toegang van patiëntenportalen van ziekenhuizen. Deze vereisen het hoogste betrouwbaarheidsniveau, maar in ieder geval een tweefactorenauthenticatie.

Onlangs deed Nictiz onderzoek naar het gebruik van patiëntenportalen door ziekenhuizen. Uit dat onderzoek volgt onder meer dat ongeveer een kwart van de ziekenhuizen in Nederland een patiëntenportaal heeft. Via een dergelijk portaal kunnen patiënten bijvoorbeeld eenvoudig (online) een afspraak maken en hun medische gegevens inzien. Omdat een patiëntenportaal toegang biedt tot zeer gevoelige gegevens die onder het medisch (beroeps)geheim vallen, moeten ziekenhuizen de toegang tot de patiëntenportaal op een betrouwbare en veilige manier inrichten.

Ziekenhuizen moeten er voor zorgen dat uitsluitend de patiënt toegang krijgt tot zijn/haar gegevens via de patiëntenportaal. Ziekenhuizen moeten daarom maatregelen nemen om zeker te stellen dat de persoon die toegang wenst tot de patiëntenportaal daadwerkelijk de patiënt is. Volgens de Autoriteit Persoonsgegevens is daarbij patiëntauthenticatie van het hoogste betrouwbaarheidsniveau vereist en dienen ziekenhuizen op zijn minst gebruik te maken van zogenoemde tweefactorenauthenticatie. Dat betekent het er naast het gebruik van een gebruikersnaam en een wachtwoord een aanvullend verificatiemiddel is vereist, zoals bijvoorbeeld een code die via een persoonlijke token of sms wordt verstrekt. Hiermee geeft de Autoriteit Persoonsgegevens nadere invulling aan de verplichting tot het treffen van “passende” technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen onbevoegde toegang en onrechtmatige verwerking (artikel 13 Wet bescherming persoonsgegevens).

De Autoriteit Persoonsgegevens wijst de Nederlandse Vereniging van Ziekenhuizen (NVZ) er in een brief op dat dat ziekenhuizen in dit kader nog (te) vaak tekort schieten. De Autoriteit Persoonsgegevens vraagt de NVZ dan ook om bij de ziekenhuizen aan te dringen op verbetering van de authenticatie bij toegang tot patiëntenportalen.

De Autoriteit Persoonsgegevens kan handhavend optreden (bijvoorbeeld door middel van het opleggen van (hoge) boetes) indien en voor zover de ziekenhuizen niet op korte termijn de authenticatie van de toegang tot de patiëntenportalen verbeteren overeenkomstig de aanwijzingen van de Autoriteit Persoonsgegevens.

Het Zorgteam van Loyens & Loeff organiseert op 26 januari een seminar over Privacy in de Zorg, voor meer informatie verwijzen wij u graag naar onze website, u bent van harte welkom om op dit seminar aanwezig te zijn.