Mag je zelf bepalen wanneer je een datalek meldingswaardig vindt?

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen diverse tipgevers,  “Over het algemeen is degene die onbedoeld met informatie over een ander in aanraking komt een betrouwbare partij die het netjes terug bezorgd. Dat hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens of de betrokkene.” Met dus het welbekende CBR-motto er achteraan.

Volgens de AVG is iedere vorm van inbreuk op de beveiliging van persoonsgegevens een datalek (artikel 4 definitie 12), als die leidt tot al dan niet bedoelde verwerking in strijd met de AVG. Dus inderdaad is het verkeerd versturen van medische informatie een datalek, een usb-stick met onbeveiligde dossiers laten slingeren ook en het zonder bevoegdheid lezen van iemands medische statuschart eveneens.

Ieder datalek moet worden gemeld bij de AP (artikel 35 AVG), en wel zo snel mogelijk. Dus niet “binnen 72 uur”, dat is alleen de bovengrens voor “zo snel mogelijk”. Er geldt alleen een grote uitzondering:

tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen
De richtsnoeren van het Comité noemen als voorbeeld hiervan het feit dat het nieuwsbriefsysteem van een energiebedrijf er door een storing een week uitligt, zodat de klanten geen nieuwsbrief met nuttige weetjes over energiebesparing krijgen. Dat is geen risico voor die klanten, dus dit datalek (onbeschikbaarheid van persoonsgegevens) hoeft niet te worden gemeld.

Bij medische informatie zou je toch snel aannemen dat je wél een risico hebt. Maar de ziekenhuiswoordvoerder lijkt te doelen op de specifieke situatie dat de ontvanger betrouwbaar is en dus geen misbruik van de gegevens maakt. Bijvoorbeeld wanneer iemand bij de rookpaal een usb-stick vindt, die inlevert bij de receptie waar net twee minuten eerder een arts zich meldde met “heeft iemand een usb-stick gevonden”. Dan kun je zeggen, de kans is zeer klein dat er misbruik van de stick is gemaakt (natuurlijk, het kán dat de vinder snel een kopie heeft getrokken maar hoe waarschijnlijk is dat), en dan hoef je dat niet te melden.

Ik heb zelf wel eens een Excelsheet met persoonsgegevens per abuis naar mijn notaris gemaild in plaats van naar de beoogde ontvanger (zelfde voornaam, Outlook, jaja precies). Dat vond ik geen meldingsplichting datalek omdat de notaris geheimhouding heeft, en als die dan zegt het bestand meteen te vernietigen dan is dat genoeg. Maar dat gaat dus goed vanwege de speciale status van die notaris én de werkrelatie die ik met die persoon heb.

Ik ken ook het verhaal van iemand die klant A een lijst persoonsgegevens mailde die voor klant B bedoeld was. Daar hing hij binnen 30 seconden aan de lijn bij A, die vertelde in het gesprek “ik druk nú op delete en nú op prullenbak leeg” en daarna bevestigde hij dat schriftelijk, inclusief de toezegging “ik vertel niets hierover en mochten er backups zijn dan gooi ik het bestand daaruit ook weg; als ik lieg mag je me 100% aansprakelijk stellen”. Dat is denk ik ook wel genoeg, gezien de grote snelheid en de betrouwbaar overkomende reactie.

In het algemeen zeggen “het leek zo’n aardige man/vrouw” zou ik daarentegen wat mager vinden. Je neemt dan een risico, maar ik zie het ergens wel: waarschijnlijk heb je een langdurige patiëntrelatie met mevrouw A, dus als de behandelend arts die belt en zegt “ach wilt u die brief aan B in de kachel stoppen” en mevrouw reageert positief, dan kun je wel aannemen dat A dat ook echt doet. Ik zou die brief dan niet melden – als het om één (of een handvol) brieven gaat. Stuurde je er 500 naar verkeerde personen, dan is dat nabellen nauwelijks te doen én is er vast wel iemand die kwaad wil.

Arnou

21 reacties

  1. En hoe ga je om met verifieerbaarheid van de gebeurtenissen?

    Moet je daar nog dingen over vastleggen, zoals wie die aardige mevrouw precies was die die USB-stick naar de balie bracht, en op welk tijdstip dat gebeurde? Degene die de USB-stick in ontvangst neemt en de mevrouw uitzwaait, belt daarna pas de functionaris gegevensbescherming. En dan krijg je dus “ja die mevrouw is al weg, ik zag haar net in de bus stappen”.

      1. Dus een organisatie die correct handelt moet in zo’n geval de persoonsgegevens van de vinder documenteren? De vinder beletten te vertrekken totdat geverifieerd kan worden wat er precies met de stick gebeurt is? Praktisch gezien ga je dus mensen straffen voor een goede daad.

  2. Moet je bij die afweging ook niet in rekening brengen ‘hoe gemakkelijk kan de organisatie zelf iets doen’ Ik zou denken: verkeerd geaddresseerde post… vergissing, kan gebeuren.

    Maar rondslingerende USBs? Heeft de organisatie dan wel genoeg gedaan om 1) te zorgen dat het niet nodig is om gegevens op een USB te zetten, en 2) om het personeel duidelijk te maken hoe belangrijk het is om zorgvuldig met die USB om te gaan, bijvoorbeeld net zo zorgvuldig als met een donororgaan. Dan komen ze er wel erg gemakkelijk af met: de vinder was een eerlijk persoon.

    En ook onbevoegd geneus is toch gemakkelijk via interne richtlijnen tegen te gaan, en actief op te sporen? Daar kom je er ook niet met ‘het is een betrouwbare partij’. Als die zo betrouwbaar was, dan had hij niet onbevoegd geneusd!

    1. Nou ja, het gaat uiteindelijk om de impact bij de mensen. Dus of het nu een vergissing in een verder correct functionerende organisatie was of niet, als er tienduizend coronatestresultaten bij de verkeerde mensen zijn beland dan zou ik dat een meldplichtig datalek noemen, bijvoorbeeld.

      1. Als het een vergissing in een verder correct functionerende organisatie is, dan kan ik ermee leven dat ze het niet melden.

        Maar het probleem zit hem erin dat ze gemakkelijk op deze manier een niet correct functionerende organisatie kunnen maskeren/indekken/goedpraten, en dat zou niet mogen.

        Bij dat USB voorbeeld en dat rondneuzen wat je noemt, lijkt het me toch eerder waarschijnlijk dat de organisatie niet correct functioneert, niet dat het een individuele vergissing is. Dan zou je het datalek moeten aangrijpen om de organisatie te verbeteren, niet zeggen ‘het had geen ernstige gevolgen, zand erover!’

        1. Nou ja, het mag ook niet: als achteraf blijkt dat het wél meldingsplichtig was, dan heb je dus een fors probleem als je het bewust niet gemeld hebt.

          Artikel 33 lid 5 AVG eist dat je ieder datalek intern documenteert, dus ook de “zand erover, kon gebeuren” datalekken. En daar moet je de correctieve maatregelen bij noemen die je hebt genomen. Als alles goed ging en er was een absurd incident, dan hoef je niets te doen. Maar als er duizend brieven naar de verkeerde persoon gingen, dan zou ik wel iéts van een maatregel verwachten.

          1. De juridisch veilige route is dus gewoon alles melden, zelfs het meest onbenullige kattebelletje dat in de gewone afvalbak ging inplaats van de container voor beveiligde archiefvernietiging. Lijkt mij dat zoiets gaat leiden tot overbelasting van de AP. (En als het een keer heel erg goed fout gaat, dan meldt je dat dus ergens midden in een lange lijst van onbenulligheden.)

  3. Ik blijf het een wat gek concept vinden dat het aan de ‘lekker’ is om te weten of het meldingswaardig is: het lijkt me aan degene wiens gegevens gelekt zijn om te bepalen of het lek een probleem is of niet (weet de arts veel of mevrouw A en meneer B al een langlopende vete hebben?), en het zou dus veel logischer zijn als het áltijd gemeld moet worden aan de betrokken persoon. Toegegeven, een mailtje ‘we konden je een week geen nieuwsbrief sturen en we zijn verplicht dit te melden’ doet wat stompzinnig aan, maar ik heb liever een paar van dat soort mailtjes dan dat een relevant lek níet gemeld wordt.

    Je kunt ook een vergelijking trekken met veiligheid (Arbo / VCA / etc). Daar stellen de richtlijnen dat zelfs near-misses gemeld moeten worden, juist omdat je door vroeg in de keten in te grijpen (wat doet die arts met een unencrypted USB-stick?) je grotere problemen later kunt voorkomen.

  4. Organisaties die een FG hebben, betrekken die als het goed is bij de beoordeling. Hij/zij kan bij uitstek vanuit de expertkennis van de wet, jurisprudentie, richtlijnen van de toezichthouder, en met de wettelijke opdracht om onafhankelijk vanuit de privacybelangen te kijken, adviseren. Ook of datalekken wel of niet meldplichtig zijn. Uiteindelijk is de organisatieleiding verantwoordelijk, maar FG-advies lijkt me goud waard. Zeker als je dat ook nog opvolgt of opschrijft waarom niet, heb je ook tegenover de AP een flink steviger verhaal dan wanneer je zelf maar wat doet.

  5. Los van of het gemeld moet worden of niet, het blijft m.i. een inbreuk in verband met persoonsgegevens. En dat moet wel gedocumenteerd worden, toch?

    Ik ontving laatst per e-mail met een factuur die niet voor mij bestemd was (en nagenoeg simultaan ook de juiste factuur). De factuur bevatte volledige naw-gegevens. Mijn melding werd beantwoord:

    ‘Ja sorry, inderdaad de verkeerde factuur, menselijke fout dus geen datalek’.

    Eh, wat? Het is in dit geval zeer waarschijnlijk niet meldenswaardig (behalve naw-gegevens alleen ‘levering overige producten’ en een bedrag). En toch, de reactie geeft mij niet heel veel vertrouwen dat dit datalek door deze verzender daadwerkelijk intern de juiste weg volgt.

    Is er een manier om te controleren of mijn factuur ook bij de ander terechtgekomen is?

    1. Bij zo’n situatie 72 uur wachten en dan de vraag aan de toezichthouder stellen wat je er mee moet doen. Het is dan aan de toezichthouder om te beslissen dat het een datalek was die een melding noodzakelijk maakte.

        1. Zegt de AVG ook dat je datalekken moet melden van andere bedrijven waar je (al dan niet toevallig) weet van hebt?

          Ik neem aan dat die 72 uur is om het lekkende bedrijf de kans te geven gewoon netjes een melding te doen.

          1. Nee. De verantwoordelijke voor persoonsgegevens moet een datalek zo snel mogelijk bij de AP melden. Zo snel mogelijk, dus zo snel als je kant. En daarbij is 72 uur de max, je kunt niet én zsm én meer dan 72 uur bezig zijn.

            Het is dus niet zo dat je 71 uur mag niksen en dan in een uur alles uitzoeken en melden. Als je het binnen een uur uitgezocht kon hebben, dan had je dus een uur vanaf je ontdekking.

            1. Dit subdraadje begon met de situatie dat iemand verkeerde persoonsgegevens ontvangt. Het advies om dan 72 uur te wachten is dus aan diegene die de persoonsgegevens foutief heeft ontvangen en dus niet aan diegene die er voor verantwoordelijk is.

              Dus wat die ontvangende partij moet doen (volgens het advies van Alain, 4 reacties naar boven) is 72 uur wachten om de verantwoordelijke persoon de kans te geven het te melden, en pas daarna zef een melding te doen.

              1. Op die manier. Dat vind ik nog steeds raar: de verantwoordelijke krijgt het datalek pas in de gaten wanneer de ontvanger dit signaleert, dus die schiet niets op met jouw wachten. En melden bij de AP als ontvanger van een datalek kan formeel helemaal niet. Je kunt wel een signaal geven of een tip, daar gelden geen termijnen voor.

                Er is niets aan de hand als de tip eerder binnen is dan de formele melding. De enige eis is dat de melding door de verantwoordelijke zo snel mogelijk is gedaan. Was die eerlijk waar nog bezig toen jij al tipte, dan is dat dus geen probleem.

  6. Op de website van dew AP staat vermeld wie betrouwbaar is: ‘Betrouwbaar’ houdt in dat u er redelijk zeker van kunt zijn dat de onjuiste ontvanger geen kwaad in de zin heeft. Dus dat hij verder niets doet met de per ongeluk ontvangen gegevens. En dat hij zich houdt aan uw eventuele instructies. Bijvoorbeeld om de persoonsgegevens terug te sturen of te vernietigen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.