Datalekken persoonsgegevens in de zorg verplicht melden

Vanaf 1 januari 2016 is de meldplicht datalekken van kracht. Is uw zorgorganisatie daar goed op voorbereid? Deze meldplicht houdt in dat zorgorganisaties een datalek van persoonsgegevens verplicht moeten melden aan de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) en in sommige gevallen ook aan de betrokken personen. In dit blog leggen we uit wat de meldplicht datalekken in de zorg betekent en geven we tips om u optimaal voor te bereiden.

De Autoriteit Persoonsgegevens registreert de meldingen en kan boetes opleggen. De boetes kunnen oplopen tot 10% van de jaaromzet tot maximaal ruim 8 ton! Een boete kan gegeven worden als een organisatie verwijtbaar heeft gehandeld of wanneer er meerdere keren sprake is van data lekken. Ook kan de Autoriteit Persoonsgegevens boetes opleggen wanneer een organisatie niet heeft gemeld. De registraties van meldingen blijven geheim. Wel wordt door de Autoriteit Persoonsgegevens bekend gemaakt welke organisaties een boete hebben gekregen. Dit kan dus imagoschade tot gevolg hebben.

Wanneer is er sprake van een datalek in de zorg?

Wat is een datalek? Bij een datalek vallen gegevens (data) in handen van derden die daar geen toegang toe zouden mogen hebben. Een datalek is het gevolg van een probleem in de beveiliging. Meestal gaat het om digitale gegevens maar het kan natuurlijk ook gaan om een medisch dossier dat uit de kast wordt gestolen of een printje met daarop patiëntengegevens dat iemand verliest. Een datalek kan ontstaan als er een USB-stick op straat komt te liggen, het systeem gehackt wordt en ook als er per ongeluk persoonsgegevens gewist worden zonder dat daar een back-up van beschikbaar is.

Melden aan de Autoriteit Persoonsgegevens

Wanneer er sprake is van een datalek moet je vervolgens een afweging maken of je daarvan een melding moet maken bij de Autoriteit Persoonsgegevens. Allereerst kijk je of er sprake is van een datalek van persoonsgevens. Wanneer het alleen om gegevens van de organisatie gaat hoeft er namelijk niet gemeld te worden. Bij persoonsgegevens moet er sprake zijn van een kans op nadelige gevolgen voor de bescherming van deze persoonsgegevens. Als dat het geval is kijk je nog om wat voor soort gegevens het gaat. Er moet een melding gemaakt worden als er sprake is van veel gegevens en/of er sprake is van gevoelige informatie. Bijvoorbeeld data over iemands geloof, financiële gegevens, medische gegevens, psychologische gegevens, wachtwoorden en gegevens die gebruikt kunnen worden voor identiteitsfraude (zoals biometrische gegevens, BSN-nummer). Melden bij de Autoriteit Persoonsgegevens moet binnen 72 uur!

Melden aan de betrokken personen

Je maakt een aparte afweging voor het melden aan de betrokken personen. Wanneer je melding doet aan de betrokken personen moet je ook altijd een melding doen aan de Autoriteit Persoonsgegevens. Een melding aan de betrokken personen is nodig als er misbruik gemaakt kan worden van de gegevens. Bijvoorbeeld wanneer medische gegevens van een beroemd persoon gelekt zijn en deze mogelijk gepubliceerd zullen worden. De persoon kan zich hier dan goed op voorbereiden en eventueel maatregelen nemen. Doe dit dan ook zo snel mogelijk!

10 tips om datalekken in de zorg te voorkomen

Een goede voorbereiding bestaat uit maatregelen ter voorkoming van een datalek en heldere afspraken voor het geval zich een datalek voordoet. Met deze tien tips ben je als zorgorganisatie goed voorbereid op de nieuwe meldplicht datalekken.

Voorkomen van datalekken in de zorg

  1. Zorg voor een goede beveiliging van gevoelige gegevens door versleuteling (encryptie). Daarmee voorkom je dat gegevens na een lek te herleiden zijn tot een persoon.
  2. Voorkom dat medewerkers persoonsgegevens verspreiden via de e-mail en/of Clouddiensten waar geen contract mee is afgesloten zoals Dropbox.
  3. Informeer medewerkers die met persoonsgegevens omgaan over de meldplicht persoonsgegevens.
  4. Sluit een overeenkomst met partijen die gegevens verwerken (bijvoorbeeld de Clouddienst en het ziekenhuis informatiesysteem). Dit is overigens verplicht! In de overeenkomst moet staan wie verantwoordelijk is bij een datalek.
  5. Maak afspraken over voorkomen datalek met andere organisaties waarmee wordt samengewerkt en persoonsgegevens worden uitgewisseld.

Scenario datalek

  1. Maak een draaiboek voor het moment dat zich een datalek voordoet.
  2. Bepaal wie verantwoordelijk is voor het besluit over het melden en de melding zelf van een mogelijk datalek.
  3. Maak afspraken over het al dan niet naar buiten toe communiceren van het datalek bijvoorbeeld via social media en een persbericht.
  4. Bedenk op welke wijze de organisatie betrokken personen gaat informeren over een datalek van diens persoonsgegevens.
  5. Sluit een cyberrisk verzekering af.

Floating Byte en de meldplicht datalekken in de zorg

Floating Byte houdt zich als leverancier van Clouddiensten altijd al bezig met beveiligingsaspecten. “Door de nieuwe meldplicht datalekken zijn we nu de spreekwoordelijke puntjes op de i aan het zetten” legt Sjoerd Slabbers uit. Zo zijn we met alle klanten dataverwerkings overeenkomsten aan het sluiten. Dat deden we eerder al optioneel maar nu is dat verplicht geworden. Sjoerd heeft een tip voor organisaties die nu aan de slag gaan met de nieuwe meldplicht. “Zorg dat je alle beveiligingsincidenten die zich voordoen registreert. Ook die incidenten die je niet hoeft te melden bij de Autoriteit Persoonsgegevens. Wanneer er weinig incidenten zijn geweest kun je dat daarmee altijd inzichtelijk maken. Als je niks registreert ben je minder geloofwaardig.“