Meldplicht datalekken: voorkomen is beter dan melden Dhr. Zieren heeft twee postdoctorale Grotius specialisatieopleidingen afgerond: Informaticarecht en Europees en Nederlands aanbestedingsrecht. Sinds 2014 maakt hij deel uit van het dagelijks bestuur van Ploum. Dhr. Gardien heeft in augustus 2014 zijn master Recht van de Gezondheidszorg aan de Erasmus Universiteit Rotterdam met goed gevolg afgerond. Na een student-stage te hebben gelopen in 2014 bij Ploum Lodder Princen, is Matthijs in november 2014 gestart als juridisch medewerker. Sinds november 2015 is Matthijs werkzaam als advocaat. Beide auteurs zijn zij (onder andere) werkzaam op het gebied van zorg, IT en privacy. Tevens zijn ze beiden lid van het zorgteam van Ploum Lodder Princen.
“Een journalist van Omroep Max heeft tijdelijk toegang gehad tot patiëntgegevens van ziekenhuizen via een softwareleverancier. Hierbij zat ook een rapport met screenshots van gegevens van 52 patiënten van CWZ. Het gaat daarbij om data als de naam, geboortedatum, patiëntnummer en het bezochte specialisme.” Zo luidde de persverklaring van het Nijmeegse CWZ ziekenhuis eind januari 2016. Door het gebruik van een onbeschermde internetlink waren deze vertrouwelijke gegevens gedurende enkele weken toegankelijk voor onbevoegden. Dit is niet het enige voorbeeld van rondslingerende patiëntgegevens. Denk aan het UMC Groningen, dat begin 2015 in het nieuws kwam omdat de dossiers die zij door een werkvoorzieningsbedrijf liet vernietigen op straat kwamen te liggen. Of het Groene Hart Ziekenhuis waarvan in 2012 door middel van een hack het patiëntenbestand met de informatie van ruim 493 duizend personen is gestolen. Maar niet alleen deze grootschalige incidenten zijn voer voor de pers. Ook de kwijtgeraakte USB-sticks en de gestolen laptops met patiëntendossiers doen veel stof opwaaien.
48
RGD Magazine nr 2
Gezien de bijzondere aard van deze gegevens, de toenemende digitalisering van de zorg en de vertrouwensrelatie tussen hulpverlener en patiënt is het niet vreemd dat er zo veel aandacht is voor dit onderwerp. Meldplicht datalekken Ook de wetgever heeft dit onderwerp hoog op de agenda staan. Zo is op 1 januari 2016 met de Wet meldplicht datalekken een brede meldplicht van datalekken in werking getreden. Hierdoor zijn ook zorgaanbieders verplicht inbreuken op de beveiliging van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens (tot 1 januari 2016: College Bescherming Persoonsgegevens). In sommige gevallen is melding aan de Autoriteit Persoonsgegevens niet voldoende en moet de zorgaanbieder tevens de betrokkene inlichten. Met betrokkene wordt hier bedoeld degene op wie de gelekte persoonsgegevens betrekking heeft. Maar wat is een datalek, wanneer moet een zorgaanbieder een datalek melden, wat houdt deze melding in, kan een datalek eigenlijk voorkomen worden en wat zijn de sancties? Wat is een datalek?