Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd voor een mogelijk datalek omdat de softwareleverancier die de patiëntendatabase beheerde die niet wil teruggeven nu het contract is beëindigd, las ik bij Security.nl. Daarmee kan de tandarts de praktijk niet goed voortzetten, en dat is voor de patiënten natuurlijk heel vervelend. Het riep gelijk bij mij de vraag op, zou dat in Nederland / Europa net zo werken, met name gezien de AVG? Die Amerikaanse tandarts moet nu met de licentievoorwaarden betogen dat hij ergens recht op heeft, wat zonder de tekst te kennen geen sterk verhaal is. En oh ja, tentamenvraag, is dat een datalek, je database niet terugkrijgen?
Om maar met die tentamenvraag te beginnen, die is te makkelijk: ja, dat is een datalek – als je geen backup hebt. Onder een datalek of eigenlijk “inbreuk op de beveiliging” rekent de AVG ieder incident dat leidt tot ongeoorloofd gebruik maar ook verlies van persoonsgegevens. Het achterliggende idee is dat je als betrokkene – hier dus patiënt – je rechten jegens de verantwoordelijke niet goed kunt uitoefenen door zulk verlies. In dit geval, je kunt je patiëntgegevens niet inzien, je kunt niet (of veel moeilijker) bewijzen dat je hebt betaald of juist dat afgesproken is dat je niet hoefde te betalen voor iets. Als je er last van hebt, dan is het een datalek.
Stel nu even dat dit allebei Europese partijen waren geweest. Ook dan had dit de uitkomst van de zaak kunnen zijn, puur afgaande op de contractuele afspraken. Bij een business-to-business contract is het immers goed mogelijk om te zeggen, als de dienst eindigt dan gooit de dienstverlener de data weg. Dat dat onhandig is voor de klant, is iets dat die maar vooraf had moeten bedenken en een artikel over had moeten opnemen.
De AVG maakt dit niet anders. Die zegt alleen dat je inderdáád zo’n artikel had moeten opnemen in de verwerkersovereenkomst (art. 28 lid 3 punt g AVG). Maar heb je dat artikel niet, dan staat er in de AVG geen zelfstandige plicht waar je op terug kunt vallen als tandarts. Je hebt dan dus een héél serieus probleem, want je bent niet AVG compliant op meerdere punten (je data is niet gezekerd, je hebt een datalek, je verwerkersovereenkomst rammelt, je artikel 5-compliance is mislukt). Afspraken maken dus, en tot die tijd geen data bij die provider stallen.
Zelfs als je die afspraak wel hebt, is het erg nuttig om alsnog te borgen dat je daadwerkelijk een kopie van de data ergens hebt. Want alle mooie contractuele frases ten spijt, dingen kunnen kwijt raken of ontoegankelijk worden (denk faillissement, mega-grote brand, dikke vinger, ruzie over betalingen) en dan heb je precies hetzelfde probleem.
Toegang tot data regel je praktisch, niet alleen juridisch.
Arnoud