Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen diverse tipgevers,  “Over het algemeen is degene die onbedoeld met informatie over een ander in aanraking komt een betrouwbare partij die het netjes terug bezorgd. Dat hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens of de betrokkene.” Met dus het welbekende CBR-motto er achteraan.

Volgens de AVG is iedere vorm van inbreuk op de beveiliging van persoonsgegevens een datalek (artikel 4 definitie 12), als die leidt tot al dan niet bedoelde verwerking in strijd met de AVG. Dus inderdaad is het verkeerd versturen van medische informatie een datalek, een usb-stick met onbeveiligde dossiers laten slingeren ook en het zonder bevoegdheid lezen van iemands medische statuschart eveneens.

Ieder datalek moet worden gemeld bij de AP (artikel 35 AVG), en wel zo snel mogelijk. Dus niet “binnen 72 uur”, dat is alleen de bovengrens voor “zo snel mogelijk”. Er geldt alleen een grote uitzondering:

tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen

De richtsnoeren van het Comité noemen als voorbeeld hiervan het feit dat het nieuwsbriefsysteem van een energiebedrijf er door een storing een week uitligt, zodat de klanten geen nieuwsbrief met nuttige weetjes over energiebesparing krijgen. Dat is geen risico voor die klanten, dus dit datalek (onbeschikbaarheid van persoonsgegevens) hoeft niet te worden gemeld.

Bij medische informatie zou je toch snel aannemen dat je wél een risico hebt. Maar de ziekenhuiswoordvoerder lijkt te doelen op de specifieke situatie dat de ontvanger betrouwbaar is en dus geen misbruik van de gegevens maakt. Bijvoorbeeld wanneer iemand bij de rookpaal een usb-stick vindt, die inlevert bij de receptie waar net twee minuten eerder een arts zich meldde met “heeft iemand een usb-stick gevonden”. Dan kun je zeggen, de kans is zeer klein dat er misbruik van de stick is gemaakt (natuurlijk, het kán dat de vinder snel een kopie heeft getrokken maar hoe waarschijnlijk is dat), en dan hoef je dat niet te melden.

Ik heb zelf wel eens een Excelsheet met persoonsgegevens per abuis naar mijn notaris gemaild in plaats van naar de beoogde ontvanger (zelfde voornaam, Outlook, jaja precies). Dat vond ik geen meldingsplichting datalek omdat de notaris geheimhouding heeft, en als die dan zegt het bestand meteen te vernietigen dan is dat genoeg. Maar dat gaat dus goed vanwege de speciale status van die notaris én de werkrelatie die ik met die persoon heb.

Ik ken ook het verhaal van iemand die klant A een lijst persoonsgegevens mailde die voor klant B bedoeld was. Daar hing hij binnen 30 seconden aan de lijn bij A, die vertelde in het gesprek “ik druk nú op delete en nú op prullenbak leeg” en daarna bevestigde hij dat schriftelijk, inclusief de toezegging “ik vertel niets hierover en mochten er backups zijn dan gooi ik het bestand daaruit ook weg; als ik lieg mag je me 100% aansprakelijk stellen”. Dat is denk ik ook wel genoeg, gezien de grote snelheid en de betrouwbaar overkomende reactie.

In het algemeen zeggen “het leek zo’n aardige man/vrouw” zou ik daarentegen wat mager vinden. Je neemt dan een risico, maar ik zie het ergens wel: waarschijnlijk heb je een langdurige patiëntrelatie met mevrouw A, dus als de behandelend arts die belt en zegt “ach wilt u die brief aan B in de kachel stoppen” en mevrouw reageert positief, dan kun je wel aannemen dat A dat ook echt doet. Ik zou die brief dan niet melden – als het om één (of een handvol) brieven gaat. Stuurde je er 500 naar verkeerde personen, dan is dat nabellen nauwelijks te doen én is er vast wel iemand die kwaad wil.

Arnou

Source