icon

Zorgaanbieders en de Wet meldplicht datalekken

De afgelopen weken hebben wij u op deze plek in een tiendelige serie wegwijs gemaakt in de Wet meldplicht datalekken. Die wet gaat morgen al in en brengt grote wijzigingen teweeg in de Wet bescherming persoonsgegevens (Wbp). In dit artikel gaan wij specifieker in op de veranderingen in de Wbp voor een sector die veel met gevoelige persoonsgegevens werkt: de zorg. Ook de zorg ontkomt immers niet aan de meldplicht en de boetebepalingen die de Wet meldplicht datalekken introduceert.

Allereerst noemen wij in het kort nog eens de wijzigingen die op stapel staan. Meest in het oog springend is natuurlijk de invoering van de verplichting om datalekken te melden aan de Autoriteit Persoonsgegevens (APG, per 1 januari 2016 de naam van het CBP) en, in enkele gevallen, aan de betrokkene. Nieuw is ook dat met bewerkers afspraken moeten worden gemaakt over het melden van datalekken. Verder krijgt de APG de bevoegdheid samen te werken en gegevens uit te wisselen met andere toezichthouders. Tot slot heeft de APG vanaf 1 januari 2016 uitgebreide mogelijkheden om bij overtreding van bepalingen van de Wbp bestuurlijke boetes uit te delen.

Wat betekent dit nu concreet voor zorgaanbieders?
Evenals voor andere organisaties die met persoonsgegevens werken wordt een adequate beveiliging van persoonsgegevens nog belangrijker. Gebrekkige beveiliging kan immers leiden tot hoge boetes van de APG, die kunnen oplopen tot maar liefst tien procent van de jaaromzet. Denk eraan dat boetes ook kunnen worden opgelegd als blijkt dat uw organisatie de beveiliging van persoonsgegevens niet op orde heeft, zelfs wanneer er (nog) geen sprake is van een concreet datalek. Vanwege enkele recente, grote datalekken bij ziekenhuizen verwachten wij dat de APG speciale aandacht zal hebben voor de beveiliging van persoonsgegevens in de zorg.

Wanneer is er nu eigenlijk sprake van een datalek? Evidente gevallen zijn natuurlijk inbraken door hackers, waardoor (medische) persoonsgegevens mogelijk op straat komen te liggen. In sommige gevallen is de vraag of er een datalek optreedt echter minder eenvoudig te beantwoorden. Wij schetsen een aantal situaties. Aan u de vraag, is hier sprake van een datalek? Het (volgens ons) juiste antwoord krijgt u door naast de beschreven situatie op “antwoord” te klikken.

1. Een verpleegkundige gebruikt de naam en het wachtwoord van de specialist van zijn afdeling om in te loggen in het EPD. Vervolgens neemt hij kennis van het medische dossier van een patiënt. (antwoord)

2. Een specialist die tevens voor een privékliniek werkt adviseert een van zijn patiënten om de vereiste behandeling in die privékliniek te laten verrichten. De patiënt stemt in. De arts stuurt vervolgens het complete medische dossier van de patiënt naar de kliniek. (antwoord)

3. Een arts-assistent maakt tijdens haar nachtdienst enkele foto's van een acute huidaandoening in het gezicht van een patiënt, met de bedoeling deze vervolgens ter beoordeling naar de dienstdoende specialist te e-mailen. In de haast stuurt zij de mail met de foto's per ongeluk naar haar vriend, die buiten het ziekenhuis werkzaam is. (antwoord)

Kómt het tot een inbreuk op de beveiliging, en zijn daarbij persoonsgegevens gestolen of verloren gegaan, dan zal een zorgaanbieder al snel met de meldplicht te maken krijgen. Het merendeel van de in de zorg verwerkte persoonsgegevens betreft immers patiëntgegevens. Een lek van zulke zogenaamde gevoelige persoonsgegevens valt altijd onder de meldplicht. Ook persoonsgegevens met betrekking tot werknemers kunnen als gevoelig worden beschouwd, bijvoorbeeld als er salarisgegevens gelekt worden. Datalekken kunnen via de website van de APG gemeld worden.

In veel gevallen zal een lek van patiëntgegevens ook aan de betrokken patiënt zelf moeten worden gemeld. Dit is alleen anders wanneer de gegevens passend beschermd waren, bijvoorbeeld door middel van versleuteling. In dat geval kan melding aan de patiënt achterwege blijven. Een melding moet indien mogelijk individueel plaatsvinden, bijvoorbeeld door middel van een mail aan de patiënt. Daarbij moet u in ieder geval uitleggen wat er is gebeurd en wat de betrokkene zelf kan doen om de gevolgen te beperken (hoewel die mogelijkheden doorgaans beperkt zullen zijn).

Veel zorgaanbieders maken gebruik van een of meerdere bewerkers, derde-partijen die namens de zorginstelling persoonsgegeven verwerken. Dat zou wellicht de leverancier van het EPD kunnen zijn, maar denk ook aan een salarisadministrateur, ICT-dienstverleners en onderzoeksinstellingen. De verplichting om de afspraken met deze bewerkers schriftelijk vast te leggen bestaat al, maar daaraan wordt nu ook de plicht toegevoegd om schriftelijke afspraken te maken over de melding van datalekken. Uw bewerkersovereenkomsten zullen dus vrijwel zeker aanpassing behoeven.

Wat betreft de bevoegdheid van de APG omsamen te werken en gegevens uit te wisselen met andere toezichthouders is voor de zorgnatuurlijk met name de samenwerking tussen de APG en de Inspectie voor de Gezondheidszorg en de Nederlandse Zorgautoriteit van belang. Met deze organisaties heeft de APG echter al sinds geruime tijd samenwerkingsprotocollen, dus in zoverre is de nieuwe bepaling slechts een codificatie van de praktijk.

Tot slot nog een kort woord over de nieuwe boetebevoegdheid van de APG. Zoals wij in een eerder blog al bespraken zullen slechts in uitzonderingsgevallen direct boetes worden opgelegd bij overtreding van een van de bepalingen van de Wbp. In de meeste gevallen zal de APG eerst een bindende aanwijzing geven, voordat zij overgaat tot het opleggen van een boete. Uit de categorie-indeling van de boetebeleidsregels, die de leidraad zullen vormen bij het opleggen van boetes, valt wel op dat de APG van plan is de hoogste boetes op te leggen voor het ongeautoriseerd verwerken van bijzondere persoonsgegevens. Gebrekkige beveiliging en datalekken zullen in de zorg, gelet op de aard van de verwerkte persoonsgegevens, dus tot hoge boetes kunnen leiden – voor rechtspersonen (waaronder ook stichtingen) tot 10 % van de jaaromzet. Of er in de praktijk streng gehandhaafd zal worden, is overigens voorlopig nog maar de vraag: het CBP heeft bij monde van zijn voorzitter deze week gemeld met ernstige onderbezetting te kampen.

Uiteraard zullen wij u op deze plek ook in het nieuwe jaar regelmatig bijpraten over de gevolgen van de Wet Meldplicht Datalekken voor de zorg!

Vragen?

This field is for validation purposes and should be left unchanged.
Zorgaanbieders en de Wet meldplicht datalekken