Mag je zelf bepalen wanneer je een datalek meldingswaardig vindt?

| AE 12252 | Privacy | 21 reacties

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen diverse tipgevers,  “Over het algemeen is degene die onbedoeld met informatie over een ander in aanraking komt een betrouwbare partij die het netjes terug bezorgd. Dat hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens of de betrokkene.” Met dus het welbekende CBR-motto er achteraan.

Volgens de AVG is iedere vorm van inbreuk op de beveiliging van persoonsgegevens een datalek (artikel 4 definitie 12), als die leidt tot al dan niet bedoelde verwerking in strijd met de AVG. Dus inderdaad is het verkeerd versturen van medische informatie een datalek, een usb-stick met onbeveiligde dossiers laten slingeren ook en het zonder bevoegdheid lezen van iemands medische statuschart eveneens.

Ieder datalek moet worden gemeld bij de AP (artikel 35 AVG), en wel zo snel mogelijk. Dus niet “binnen 72 uur”, dat is alleen de bovengrens voor “zo snel mogelijk”. Er geldt alleen een grote uitzondering:

tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen
De richtsnoeren van het Comité noemen als voorbeeld hiervan het feit dat het nieuwsbriefsysteem van een energiebedrijf er door een storing een week uitligt, zodat de klanten geen nieuwsbrief met nuttige weetjes over energiebesparing krijgen. Dat is geen risico voor die klanten, dus dit datalek (onbeschikbaarheid van persoonsgegevens) hoeft niet te worden gemeld.

Bij medische informatie zou je toch snel aannemen dat je wél een risico hebt. Maar de ziekenhuiswoordvoerder lijkt te doelen op de specifieke situatie dat de ontvanger betrouwbaar is en dus geen misbruik van de gegevens maakt. Bijvoorbeeld wanneer iemand bij de rookpaal een usb-stick vindt, die inlevert bij de receptie waar net twee minuten eerder een arts zich meldde met “heeft iemand een usb-stick gevonden”. Dan kun je zeggen, de kans is zeer klein dat er misbruik van de stick is gemaakt (natuurlijk, het kán dat de vinder snel een kopie heeft getrokken maar hoe waarschijnlijk is dat), en dan hoef je dat niet te melden.

Ik heb zelf wel eens een Excelsheet met persoonsgegevens per abuis naar mijn notaris gemaild in plaats van naar de beoogde ontvanger (zelfde voornaam, Outlook, jaja precies). Dat vond ik geen meldingsplichting datalek omdat de notaris geheimhouding heeft, en als die dan zegt het bestand meteen te vernietigen dan is dat genoeg. Maar dat gaat dus goed vanwege de speciale status van die notaris én de werkrelatie die ik met die persoon heb.

Ik ken ook het verhaal van iemand die klant A een lijst persoonsgegevens mailde die voor klant B bedoeld was. Daar hing hij binnen 30 seconden aan de lijn bij A, die vertelde in het gesprek “ik druk nú op delete en nú op prullenbak leeg” en daarna bevestigde hij dat schriftelijk, inclusief de toezegging “ik vertel niets hierover en mochten er backups zijn dan gooi ik het bestand daaruit ook weg; als ik lieg mag je me 100% aansprakelijk stellen”. Dat is denk ik ook wel genoeg, gezien de grote snelheid en de betrouwbaar overkomende reactie.

In het algemeen zeggen “het leek zo’n aardige man/vrouw” zou ik daarentegen wat mager vinden. Je neemt dan een risico, maar ik zie het ergens wel: waarschijnlijk heb je een langdurige patiëntrelatie met mevrouw A, dus als de behandelend arts die belt en zegt “ach wilt u die brief aan B in de kachel stoppen” en mevrouw reageert positief, dan kun je wel aannemen dat A dat ook echt doet. Ik zou die brief dan niet melden – als het om één (of een handvol) brieven gaat. Stuurde je er 500 naar verkeerde personen, dan is dat nabellen nauwelijks te doen én is er vast wel iemand die kwaad wil.

Arnou

Deel dit artikel

  1. En hoe ga je om met verifieerbaarheid van de gebeurtenissen?

    Moet je daar nog dingen over vastleggen, zoals wie die aardige mevrouw precies was die die USB-stick naar de balie bracht, en op welk tijdstip dat gebeurde? Degene die de USB-stick in ontvangst neemt en de mevrouw uitzwaait, belt daarna pas de functionaris gegevensbescherming. En dan krijg je dus “ja die mevrouw is al weg, ik zag haar net in de bus stappen”.

  2. Moet je bij die afweging ook niet in rekening brengen ‘hoe gemakkelijk kan de organisatie zelf iets doen’ Ik zou denken: verkeerd geaddresseerde post… vergissing, kan gebeuren.

    Maar rondslingerende USBs? Heeft de organisatie dan wel genoeg gedaan om 1) te zorgen dat het niet nodig is om gegevens op een USB te zetten, en 2) om het personeel duidelijk te maken hoe belangrijk het is om zorgvuldig met die USB om te gaan, bijvoorbeeld net zo zorgvuldig als met een donororgaan. Dan komen ze er wel erg gemakkelijk af met: de vinder was een eerlijk persoon.

    En ook onbevoegd geneus is toch gemakkelijk via interne richtlijnen tegen te gaan, en actief op te sporen? Daar kom je er ook niet met ‘het is een betrouwbare partij’. Als die zo betrouwbaar was, dan had hij niet onbevoegd geneusd!

      • Als het een vergissing in een verder correct functionerende organisatie is, dan kan ik ermee leven dat ze het niet melden.

        Maar het probleem zit hem erin dat ze gemakkelijk op deze manier een niet correct functionerende organisatie kunnen maskeren/indekken/goedpraten, en dat zou niet mogen.

        Bij dat USB voorbeeld en dat rondneuzen wat je noemt, lijkt het me toch eerder waarschijnlijk dat de organisatie niet correct functioneert, niet dat het een individuele vergissing is. Dan zou je het datalek moeten aangrijpen om de organisatie te verbeteren, niet zeggen ‘het had geen ernstige gevolgen, zand erover!’

        • Nou ja, het mag ook niet: als achteraf blijkt dat het wél meldingsplichtig was, dan heb je dus een fors probleem als je het bewust niet gemeld hebt.

          Artikel 33 lid 5 AVG eist dat je ieder datalek intern documenteert, dus ook de “zand erover, kon gebeuren” datalekken. En daar moet je de correctieve maatregelen bij noemen die je hebt genomen. Als alles goed ging en er was een absurd incident, dan hoef je niets te doen. Maar als er duizend brieven naar de verkeerde persoon gingen, dan zou ik wel iéts van een maatregel verwachten.

  3. Ik blijf het een wat gek concept vinden dat het aan de ‘lekker’ is om te weten of het meldingswaardig is: het lijkt me aan degene wiens gegevens gelekt zijn om te bepalen of het lek een probleem is of niet (weet de arts veel of mevrouw A en meneer B al een langlopende vete hebben?), en het zou dus veel logischer zijn als het áltijd gemeld moet worden aan de betrokken persoon. Toegegeven, een mailtje ‘we konden je een week geen nieuwsbrief sturen en we zijn verplicht dit te melden’ doet wat stompzinnig aan, maar ik heb liever een paar van dat soort mailtjes dan dat een relevant lek níet gemeld wordt.

    Je kunt ook een vergelijking trekken met veiligheid (Arbo / VCA / etc). Daar stellen de richtlijnen dat zelfs near-misses gemeld moeten worden, juist omdat je door vroeg in de keten in te grijpen (wat doet die arts met een unencrypted USB-stick?) je grotere problemen later kunt voorkomen.

  4. Organisaties die een FG hebben, betrekken die als het goed is bij de beoordeling. Hij/zij kan bij uitstek vanuit de expertkennis van de wet, jurisprudentie, richtlijnen van de toezichthouder, en met de wettelijke opdracht om onafhankelijk vanuit de privacybelangen te kijken, adviseren. Ook of datalekken wel of niet meldplichtig zijn. Uiteindelijk is de organisatieleiding verantwoordelijk, maar FG-advies lijkt me goud waard. Zeker als je dat ook nog opvolgt of opschrijft waarom niet, heb je ook tegenover de AP een flink steviger verhaal dan wanneer je zelf maar wat doet.

  5. Los van of het gemeld moet worden of niet, het blijft m.i. een inbreuk in verband met persoonsgegevens. En dat moet wel gedocumenteerd worden, toch?

    Ik ontving laatst per e-mail met een factuur die niet voor mij bestemd was (en nagenoeg simultaan ook de juiste factuur). De factuur bevatte volledige naw-gegevens. Mijn melding werd beantwoord:

    ‘Ja sorry, inderdaad de verkeerde factuur, menselijke fout dus geen datalek’.

    Eh, wat? Het is in dit geval zeer waarschijnlijk niet meldenswaardig (behalve naw-gegevens alleen ‘levering overige producten’ en een bedrag). En toch, de reactie geeft mij niet heel veel vertrouwen dat dit datalek door deze verzender daadwerkelijk intern de juiste weg volgt.

    Is er een manier om te controleren of mijn factuur ook bij de ander terechtgekomen is?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS