Over datalekken in de zorg en de nieuwe regelgeving daarover.
Datalek bij drie ziekenhuizen; lek bij de Belastingdienst! Dit nieuws stond recentelijk in de krant. Als gevolg van een fout zijn patiëntengegevens op straat komen te liggen. Zo’n datalek is een nachtmerrie voor bedrijven en zorginstellingen. De specialisten van REIN leggen uit wat de gevolgen kunnen zijn en wat je er aan kunt doen.
Per 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. Een belangrijke wijziging in de Wbp betreft de invoering van een meldplicht bij datalekken. Indien er sprake is van datalekken, dan is de instelling verplicht dit te melden bij de Autoriteit persoonsgegevens. Indien er sprake is van een ernstig datalek, dan kan de Autoriteit een bestuurlijke boete opleggen aan organisaties, waaronder dus ook zorginstellingen. Indien de gelekte data ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer van de persoon, bijvoorbeeld de patiënt, dan moet de persoon/patiënt door de organisatie (bijvoorbeeld de zorginstelling) worden ingelicht dat er data is gelekt. Voor zorginstellingen speelt daarbij een bijzonder probleem, namelijk het feit dat de zorginstellingen en de daaraan verbonden hulpverleners een beroepsgeheim hebben.
Het beroepsgeheim is verankerd in de wet. De hoofdregel is dat het beroepsgeheim altijd dient te worden gerespecteerd. Daarop zijn echter uitzonderingen, bijvoorbeeld het melden van bepaalde infectieziekten. Wanneer er persoonlijke gegevens van patiënten op straat komen te liggen door een datalek, is er vaak sprake van een schending van het beroepsgeheim. Een datalek valt namelijk niet onder één van uitzonderingen op het beroepsgeheim.
In veel gevallen moet de zorginstelling op grond van de wet alle patiënten in kennis stellen van het datalek, maar dit kan vervelende gevolgen hebben. De patiënt kan bijvoorbeeld de zorginstelling aansprakelijk stellen voor de schade die de patiënt heeft geleden door het datalek. Ook kan de patiënt tegen een individuele hulpverlener (bijvoorbeeld de arts) een tuchtrechtelijke klacht indienen. Verder bestaat de mogelijkheid dat de officier van justitie besluit om een strafrechtelijke vervolging in te stellen.
Van belang is nog te vermelden dat voor zorginstellingen de zogenaamde NEN 7510 van toepassing is. Kort samengevat verplicht deze NEN -norm de zorginstellingen om de patiëntengegevens op een adequate wijze te beveiligen . Deze NEN -norm is gebaseerd op de ISO 27001.
Kortom, het is dus van groot belang voor niet alleen zorginstellingen, maar ook MKB-bedrijven en andere organisaties om zoveel mogelijk maatregelen te treffen die de kans op datalekken aanzienlijk verkleinen. Dit voorkomt heel veel leed. De specialisten van REIN adviseren diverse zorginstellingen en bedrijven over het nemen van maatregelen om datalekken zoveel mogelijk te voorkomen.
Heb je nog vragen over datalekken of andere vragen over privacy, neem dan vrijblijvend contact op met Esmée.
Esmée Piening
Advocaat