Laptop met medische gegevens kwijt…

Je laptop wordt gestolen uit je huis. Hoe erg is dat? Je bent ook nog coassistent in een ziekenhuis en er staan patiëntgegevens van ruim 500 patiënten op je laptop. Hoe erg is het dan? Erg genoeg om er melding van te maken bij de Autoriteit Persoonsgegevens in ieder geval. Sinds begin dit jaar is het verplicht om dergelijke datalekken te melden en zelfs strafbaar om het niet te doen. Bovenstaand voorbeeld overkwam een coassistent van het Isala-ziekenhuis in Zwolle afgelopen jaar. Het lek werd tijdig gemeld en het onderzoek loopt nog. Interessant is dat het ziekenhuis in de berichtgeving meldt: “Isala betreurt dit incident ten zeerste, omdat het volgens het privacy- en informatiebeleid van Isala niet is toegestaan deze informatie op een privé-apparaat te plaatsen.” Tóch weer dat menselijk gedrag!

“Die boetes zitten eraan te komen.”

Per 1 januari 2016 heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid erbij gekregen om instellingen boetes op te leggen op basis van de Wet bescherming persoonsgegevens (Wbp), gelijktijdig ging de meldplicht van datalekken in. Er staan boetes op verschillende overtredingen en de hoogte van de boete wordt bepaald door de aard en omvang, de duur en de impact van de overtreding. Tot nu toe heeft de AP de nieuwe boetebevoegdheid nog niet gebruikt. Volgens voorzitter Aleid Wolfsen komt daar echter snel verandering in. Sinds het begin van het jaar zijn er bijna vierduizend meldingen van datalekken binnengekomen. “We hebben inmiddels ook al tientallen onderzoeken lopen naar aanleiding van die meldingen”, aldus Wolfsen. “Die boetes zitten eraan te komen.”   In totaal kunnen opgetelde boetes voor één instelling een maximum bereiken van 10% van de jaaromzet van de betreffende instelling. Op 1 juli 2016 werd de Telecommunicatiewet gewijzigd, naar aanleiding waarvan de AP haar boetebeleidsregels heeft aangepast. Het boetemaximum werd verhoogd van 450.000 euro naar 900.000 euro voor telecombedrijven die een datalek niet melden. Het hebben van een datalek is dus één ding, maar het niet melden van een datalek maakt het nóg schadelijker voor de instelling.  

Preventieve werking

De AP vindt vooral de preventieve werking van de boetebevoegdheid van belang. De verwachting is dat de boetebevoegdheid bedrijven en overheden zal stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf.   Sinds de invoering van de meldplicht datalekken hebben 172 van de 390 Nederlandse gemeenten (44 procent) een melding gemaakt van een datalek bij de AP. Sinds de invoering van de meldplicht zijn er in totaal rond de 3.600 meldingen binnengekomen. Sommige gemeenten maakten melding van meerdere lekken, waardoor het totale aantal gemeentelijke datalekken boven de driehonderd ligt. Over de aard van de datalekken, of om welke gemeenten het gaat, kan de AP niets zeggen. Het zou dus kunnen gaan om een verloren usb-stick of telefoon, maar ook een gekraakte database.   Een datalek zit in een klein hoekje en kan bij iedere medewerker in iedere zorginstelling gebeuren. Belangrijk is dat er in ieder geval melding van gemaakt wordt, zodat de financiële schade zoveel mogelijk beperkt kan worden.   De meeste datalekken beginnen bij een medewerker. De techniek kan niet alles oplossen. Bewuste medewerkers zijn daarom een noodzaak.   Vragen over wat de (aangepaste) Wet bescherming persoonsgegevens voor jouw zorginstelling betekent? Neem dan gerust contact met mij op. Ik ben ook benieuwd of een van jullie al ervaring heeft met datalekken. Deel het in het commentaarveld hieronder! Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren.

[learn_press_profile]