Tandartspraktijk krijgt patiëntendatabase niet terug van leverancier, mag dat in Nederland?

Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd voor een mogelijk datalek omdat de softwareleverancier die de patiëntendatabase beheerde die niet wil teruggeven nu het contract is beëindigd, las ik bij Security.nl. Daarmee kan de tandarts de praktijk niet goed voortzetten, en dat is voor de patiënten natuurlijk heel vervelend. Het riep gelijk bij mij de vraag op, zou dat in Nederland / Europa net zo werken, met name gezien de AVG? Die Amerikaanse tandarts moet nu met de licentievoorwaarden betogen dat hij ergens recht op heeft, wat zonder de tekst te kennen geen sterk verhaal is. En oh ja, tentamenvraag, is dat een datalek, je database niet terugkrijgen?

Om maar met die tentamenvraag te beginnen, die is te makkelijk: ja, dat is een datalek – als je geen backup hebt. Onder een datalek of eigenlijk “inbreuk op de beveiliging” rekent de AVG ieder incident dat leidt tot ongeoorloofd gebruik maar ook verlies van persoonsgegevens. Het achterliggende idee is dat je als betrokkene – hier dus patiënt – je rechten jegens de verantwoordelijke niet goed kunt uitoefenen door zulk verlies. In dit geval, je kunt je patiëntgegevens niet inzien, je kunt niet (of veel moeilijker) bewijzen dat je hebt betaald of juist dat afgesproken is dat je niet hoefde te betalen voor iets. Als je er last van hebt, dan is het een datalek.

Stel nu even dat dit allebei Europese partijen waren geweest. Ook dan had dit de uitkomst van de zaak kunnen zijn, puur afgaande op de contractuele afspraken. Bij een business-to-business contract is het immers goed mogelijk om te zeggen, als de dienst eindigt dan gooit de dienstverlener de data weg. Dat dat onhandig is voor de klant, is iets dat die maar vooraf had moeten bedenken en een artikel over had moeten opnemen.

De AVG maakt dit niet anders. Die zegt alleen dat je inderdáád zo’n artikel had moeten opnemen in de verwerkersovereenkomst (art. 28 lid 3 punt g AVG). Maar heb je dat artikel niet, dan staat er in de AVG geen zelfstandige plicht waar je op terug kunt vallen als tandarts. Je hebt dan dus een héél serieus probleem, want je bent niet AVG compliant op meerdere punten (je data is niet gezekerd, je hebt een datalek, je verwerkersovereenkomst rammelt, je artikel 5-compliance is mislukt). Afspraken maken dus, en tot die tijd geen data bij die provider stallen.

Zelfs als je die afspraak wel hebt, is het erg nuttig om alsnog te borgen dat je daadwerkelijk een kopie van de data ergens hebt. Want alle mooie contractuele frases ten spijt, dingen kunnen kwijt raken of ontoegankelijk worden (denk faillissement, mega-grote brand, dikke vinger, ruzie over betalingen) en dan heb je precies hetzelfde probleem.

Toegang tot data regel je praktisch, niet alleen juridisch.

Arnoud

13 reacties

  1. De AVG is in Nederland niet de enige wetgeving die van toepassing is op patientgegevens. Met name de WGBO, die een bewaartermijn van minimaal 15 jaar verplicht voor de registratie van medische handelingen, is ook relevant. En als een dienstverlener de data weggooid wordt die wet overtreden. Wie dan de wet overtreed (tandarts of dienstverlener) is dan wel de vraag. Maar bij een failiesement van een medische organisatie (zeg een Amsterdams ziekenhuis) moeten de gegevens overgedragen worden. Dit is ook hrt standpunt van de AP en de KNMG.

  2. Dit is een beetje de “elephant in the room” als we het over de cloud hebben. Je zet je data op de server van iemand anders, en geeft daarmee de controle uit handen, hoe mooi de contracten ook zijn. De technologie is prachtig, maar je introduceerd hierdoor wel een aantal extra zwakheden in je systeem, waar je je goed bewust van moet zijn. Voor mij persoonlijk: een (encrypted) extra backup in de cloud is prima, maar de rest houd ik liever fysiek in huis, en waar toch nog dingen elders staan, zorg ik voor lokale backups.

    In Nederland geld (wat huisartsen betreft) dat het grootste deel van de gegevens op servers bij een van de leveranciers van de verschillende HIS systemen staat, omdat dat gewoon de makkelijkste manier is om aan al de beschikbaarheids eisen vanuit het LSP te voldoen — een paar die-hard oude-garde huisartsen houden vast aan een eigen database, maar die zijn waarschijnlijk op twee handen te tellen.

    1. Het is ook een kosten en risico analyse. Wat betreft data veiligheid gaat er niets boven een papieren archiefkast, maar als het dan toch digitaal moet, dan liever bij een gespecialiseerd bedrijf. Kan moeilijk verwachten dat mijn huisarts naast grote medische kennis, ook over de kennis beschikt om BitLocker aan te zetten op zijn laptop.

      1. Data veiligheid bevat ook zaken zoals backups, logging en dergelijke. Hoe overleefd dat papieren archief een brand? Hoe voorkom je dat een dief het meeneemt? Hoe weet je wie wanneer welke data heeft opgevraagd of gemuteerd?

      2. En wat nu als een tandarts onrechtmatig dingen uit de archiefkast gaat delen met de buitenwereld? Of als er wordt ingebroken en de archiefkast ook wordt opengebroken? Nee, zoveel veiliger is het nu ook weer niet.

  3. Hoe zit het als een leverancier de enige kopie database bewaart bijvoorbeeld om alsnog betaling af te dwingen. Levert dat een conflict met de AVG omdat de gegevens niet met die doelbinding door de verwerker verwerkt mogen worden.

        1. Als de gegevens ge-encrypt op de server staan op een dusdanige manier dat de leverancier ze niet kan de-crypten, gelden dan gegevens dan nog wel als persoonsgegevens vanuit het perspectief van de leverancier? Mag hij ze dan opeens wel verwijderen zonder dat dit een AVG probleem word?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.