Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd
voor een mogelijk datalek omdat de softwareleverancier die de
patiëntendatabase beheerde die niet wil teruggeven nu het contract is
beëindigd, las ik bij Security.nl. Daarmee kan de tandarts de praktijk
niet goed voortzetten, en dat is voor de patiënten natuurlijk heel
vervelend. Het riep bij mij de vraag op, zou dat in Nederland / Europa
net zo werken, met name gezien de AVG? Die Amerikaanse tandarts moet nu
met de licentievoorwaarden betogen dat hij ergens recht op heeft, wat
zonder de tekst te kennen geen sterk verhaal is.

Antwoord: Dit is een datalek – als je geen backup hebt. Onder een
datalek of eigenlijk “inbreuk op de beveiliging” rekent de AVG ieder
incident dat leidt tot ongeoorloofd gebruik maar ook verlies van
persoonsgegevens. Het achterliggende idee is dat je als betrokkene –
hier dus patiënt – je rechten jegens de verantwoordelijke niet goed kunt
uitoefenen door zulk verlies. In dit geval, je kunt je patiëntgegevens
niet inzien, je kunt niet (of veel moeilijker) bewijzen dat je hebt
betaald of juist dat afgesproken is dat je niet hoefde te betalen voor
iets. Als je er last van hebt, dan is het een datalek.

Stel nu even dat dit allebei Europese partijen waren geweest. Ook dan
had dit de uitkomst van de zaak kunnen zijn, puur afgaande op de
contractuele afspraken. Bij een business-to-business contract is het
immers goed mogelijk om te zeggen, als de dienst eindigt dan gooit de
dienstverlener de data weg. Dat dat onhandig is voor de klant, is iets
dat die maar vooraf had moeten bedenken en een artikel over had moeten
opnemen.

De AVG maakt dit niet anders. Die zegt alleen dat je inderdáád zo’n
artikel had moeten opnemen in de verwerkersovereenkomst (art. 28 lid 3
punt g AVG). Maar heb je dat artikel niet, dan staat er in de AVG geen
zelfstandige plicht waar je op terug kunt vallen als tandarts. Je hebt
dan dus een héél serieus probleem, want je bent niet AVG compliant op
meerdere punten (je data is niet gezekerd, je hebt een datalek, je
verwerkersovereenkomst rammelt, je artikel 5-compliance is mislukt).
Afspraken maken dus, en tot die tijd geen data bij die provider stallen.

Zelfs als je die afspraak wel hebt, is het erg nuttig om alsnog te
borgen dat je daadwerkelijk een kopie van de data ergens hebt. Want alle
mooie contractuele frases ten spijt, dingen kunnen kwijt raken of
ontoegankelijk worden (denk faillissement, mega-grote brand, dikke
vinger, ruzie over betalingen) en dan heb je precies hetzelfde probleem.

Toegang tot data regel je praktisch, niet alleen juridisch.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.