De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft recent onderzoek gedaan naar de informatiebeveiliging bij huisartsenposten. De uitkomst is zorgwekkend: 43 van de 49 huisartsenposten voldoen niet aan de wettelijke norm NEN 7510. Deze norm is specifiek ontwikkeld voor de zorgsector en beschrijft hoe organisaties hun informatiebeveiliging technisch en organisatorisch moeten inrichten. Zorginstellingen die hun beleid en processen hierop afstemmen, zijn beter voorbereid op toezicht, incidenten, toekomstige wetgeving en dragen bij aan een veilige en betrouwbare zorgomgeving.
Informatiebeveiliging als onderdeel van privacy-compliance
Het onderzoek roept vragen op over de bredere naleving van privacywetgeving binnen zorginstellingen. NEN 7510 vormt immers de feitelijke invulling van artikel 32 AVG: passende beveiligingsmaatregelen. Informatiebeveiliging is een essentieel onderdeel van de bescherming van persoonsgegevens. In de praktijk zien we dan ook dat het ontbreken van NEN 7510-compliance vaak samengaat met bredere tekortkomingen op het gebied van privacy. Denk aan verouderde of ontbrekende verwerkingsregisters, onduidelijkheid over het privacybeleid richting patiënten en medewerkers, onvoldoende afspraken met leveranciers en gebrekkige procedures voor het melden van datalekken of het afhandelen van verzoeken van betrokkenen.
Datalek bevolkingsonderzoek
Het recente datalek bij het bevolkingsonderzoek naar baarmoederhalskanker illustreert hoe kwetsbaar persoonsgegevens in de zorg zijn. Bij het datalek zijn gegevens van honderdduizenden vrouwen buitgemaakt. De IGJ is ook hier een onderzoek gestart en betrekt daarbij ook de Autoriteit Persoonsgegevens (AP). Dit incident onderstreept wederom het belang van privacy-compliance en informatiebeveiliging.
Vooruitkijken: 2026
De IGJ heeft aangekondigd dat alle huisartsendienstenstructuren in 2026 aantoonbaar moeten voldoen aan NEN 7510. Voor zorginstellingen is dit hét moment om stil te staan bij hun privacy- en informatiebeveiligingsbeleid. Niet alleen om te voldoen aan wettelijke verplichtingen, maar ook om risico’s te beheersen en het vertrouwen van patiënten en medewerkers te behouden. De combinatie van toenemende digitale (AI-)zorgtoepassingen, toezicht en maatschappelijke aandacht voor dataveiligheid maakt privacybescherming tot een relevant thema. Dat vraagt om een integrale aanpak: van beleid tot uitvoering, van bewustwording tot toezicht.
Vervolgstappen
Een goede eerste stap is het uitvoeren van een juridische en organisatorische toets op de huidige situatie. Zijn de processen rondom datalekken, verwerkersovereenkomsten en AVG-verzoeken goed ingericht? Worden DPIA’s tijdig en correct uitgevoerd? Hoe wordt informatiebeveiliging geborgd in de dagelijkse praktijk? En is er voldoende toezicht en bewustwording binnen de organisatie?
Functionaris Gegevensbescherming
In het kader van privacytoezicht is ook de rol van de Functionaris Gegevensbescherming (FG) van belang. Voor huisartsenposten geldt dat zij verplicht zijn een FG aan te stellen. Deze verplichting vloeit voort uit artikel 37 van de AVG. Zorginstellingen kunnen ervoor kiezen om deze rol extern te beleggen. Via BDO is het mogelijk om een FG op afstand aan te stellen. Deze externe FG vervult de wettelijke taken en biedt structurele ondersteuning bij het inrichten, toetsen en verbeteren van privacyprocessen - afgestemd op de specifieke context van de zorginstelling. Op deze manier kunnen efficiënt structurele verbeteringen worden gerealiseerd.
