Federatienieuws
2 minuten leestijd
Federatienieuws

Meldplicht bij datalekken

Plaats een reactie

Vanaf 1 januari 2016 treedt een meldplicht bij datalekken in werking. Omdat ook patiëntgegevens voorwerp kunnen zijn van een datalek, is dit voor elke arts en zorginstelling van belang. Een constatering of vermoeden van een datalek moet verplicht worden gemeld bij de Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegevens. En soms ook aan patiënten.

De meldplicht bij datalekken is onderdeel van de Wet bescherming persoonsgegevens (Wbp). Zodra men een datalek constateert of deze vermoedt, moet deze in principe direct, maar niet later dan 72 uur na de ontdekking, worden gemeld bij de Autoriteit Persoonsgegevens. In het verlengde hiervan kan de Autoriteit Persoonsgegevens een boete opleggen tot 820.000 euro, of 10 procent van de jaaromzet van een rechtspersoon, als persoonsgegevens onvoldoende beveiligd blijken.

Wanneer is sprake van een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens waarbij deze gegevens daadwerkelijk verloren zijn gegaan of onrechtmatig zijn verwerkt. Voorbeelden zijn een kwijtgeraakte USB-stick, verlies van een laptop met onversleutelde medische cliëntgegevens of een verzonden e-mail waarbij onbedoeld e-mailadressen zichtbaar zijn van alle geadresseerden. Andere voorbeelden zijn een technische storing in een ziekenhuis waardoor onbevoegden inzage hebben (gehad) in patiëntgegevens en een computerinbraak waarbij patiëntgegevens en wachtwoorden zijn ontvreemd.

Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als er (een aanzienlijke kans op) ernstige nadelige gevolgen zijn voor de bescherming van persoonsgegevens. Dat is het geval als persoonsgegevens van gevoelige aard zijn gelekt, zoals gegevens over gezondheid, ras, inkomen, inloggegevens, BSN, maar ook als de aard en omvang van de inbreuk tot ernstige nadelige gevolgen kan leiden.

Verantwoordelijkheid bij melden

Artsen dienen (het vermoeden van een) datalek in hun organisatie te melden. De plicht tot melden bij de Autoriteit Persoonsgegevens ligt bijvoorbeeld bij de directie of raad van bestuur van een zorginstelling. Deze verantwoordelijkheid ligt dus niet bij de individuele arts, tenzij deze zelfstandig werkt. Het kan zijn dat een zorginstelling een eigen procedure voor de meldplicht datalekken heeft opgesteld. In dat geval moet van artsen worden verwacht dat zij die procedure volgen en bijvoorbeeld mogelijke datalekken signaleren bij de aangewezen functionaris in de instelling.

Melden aan patiënten

Een datalek moet naast de melding bij de Autoriteit Persoonsgegevens ook aan de patiënten worden gemeld, als de inbreuk op de informatiebeveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de patiënt. Bijvoorbeeld bij diefstal van computers met gezondheidsgegevens over cliënten of (tijdelijke) kwetsbaarheid in een webapplicatie waarbij gezondheidsgegevens enige tijd waren in te zien door onbevoegden. Door te melden aan patiënten kunnen deze zelf maatregelen nemen om schade te voorkomen, bijvoorbeeld door een wachtwoord te wijzigen. Heeft een datalek betrekking op medewerkers van een zorginstelling, dan moeten uiteraard de medewerkers worden geïnformeerd.


Federatienieuws KNMG beroepsgeheim meldplicht
Op dit artikel reageren inloggen
Reacties
  • Er zijn nog geen reacties
 

Cookies op Medisch Contact

Medisch Contact vraagt u om cookies te accepteren voor optimale werking van de site, kwaliteitsverbetering door geanonimiseerde analyse van het gebruik van de site en het tonen van relevante advertenties, video’s en andere multimediale inhoud. Meer informatie vindt u in onze privacy- en cookieverklaring.