Menu
JPR Advocaten

Patiëntengegevens op straat: wie is verantwoordelijk?

Patiëntengegevens op straat: wie is verantwoordelijk?

Onlangs werd bekend dat zich een ernstig beveiligingsincident bij twee ziekenhuizen in Nederland heeft voorgedaan. Daarbij zijn de persoonsgegevens van zo’n 200.000 patiënten ruim een maand lang toegankelijk geweest zijn voor onbevoegden. JPR Advocaten geeft in deze juridische analyse antwoord op de vraag of er in dit geval sprake is van een datalek, of de ziekenhuizen de betrokkenen moeten informeren en welke beschermingsmaatregelen de ziekenhuizen hadden kunnen nemen om het incident te voorkomen.

Wet meldplicht datalekken en Wet bescherming persoonsgegevens

Ziekenhuizen verwerken persoonsgegevens van patiënten en moeten derhalve voldoen aan de Wet Bescherming Persoonsgegevens (Wbp). Indien de ziekenhuizen de persoonsgegevens van de patiënten niet op juiste wijze verwerken, kan er een inbreuk ontstaan op de persoonlijke levenssfeer van de patiënten. Indien er daarbij sprake is van overtreding van de Wbp kan de Autoriteit Persoonsgegevens een boete opleggen tot een maximumbedrag van € 820.000,-. Voor het verwerken van medische gegevens gelden er extra strenge regels gezien de gevoelige aard daarvan. Daarom is het raadzaam dat ziekenhuizen investeren in voldoende organistische, technische en juridische beschermingsmaatregelen om deze gegevens van patiënten adequaat te beschermen.

Is er sprake van een datalek?

Er is alleen sprake van een datalek als zich een beveiligingsincident heeft voortgedaan. Doordat de patiëntgegevens van de ziekenhuizen via een onbeschermde internetkoppeling (url) inzichtelijk zijn geweest voor onbevoegden, is er in dit geval sprake van een beveiligingsincident. Alleen is er niet bij ieder beveiligingsincident sprake van een datalek. Er kan volgens de Autoriteit Persoonsgegevens pas worden gesproken over een datalek, als er bij een incident persoonsgegevens verloren zijn gegaan of onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kan worden uitgesloten. Volgens iGuana, de partij die de ziekenhuizen hadden ingeschakeld voor verwerking van de patiëntgegevens, zijn de gelekte patiëntgegevens twee keer gedownload. Doordat de gegevens onrechtmatig zijn gedownload door onbevoegden, waaronder Omroep Max, is er in dit geval naast een beveiligingsincident ook sprake van een datalek.

Moet het ziekenhuis de betrokkenen informeren?

Niet elk vermoedelijk datalek hoeft te worden gemeld aan betrokkenen. Kennisgeving is volgens de Autoriteit Persoonsgegevens afhankelijk van de waarschijnlijkheid van ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen. Daarbij is het aan de organisaties zelf om een afweging te maken over het al dan niet informeren van betrokkenen. De gemelde datalekken bij de Autoriteit worden dan ook niet standaard gepubliceerd. De Autoriteit Persoonsgegevens heeft verder gesteld dat, indien gegevens van gevoelige aard worden gelekt, zoals medische of strafrechtelijke gegevens, dit wel altijd aan betrokkenen dient te worden gemeld. Verlies van gevoelige gegevens kan namelijk al snel leiden tot schade aan de gezondheid, financiële schade of identiteitsfraude. In dit geval moeten de ziekenhuizen de personen wier medische gegevens voor onbevoegden inzichtelijk zijn geweest in ieder geval informeren over het datalek.

Wie is verantwoordelijk?

Het datalek is ontstaan doordat iGuana de patiëntgegevens op een onbeveiligde server had geplaatst. Over het incident zijn inmiddels Kamervragen gesteld, waaronder de vraag wie verantwoordelijk is voor het lekken van de patiëntgegevens. Volgens artikel 1 sub d Wbp is de partij die het doel en de middelen van verwerking van de persoonsgegevens vaststelt in beginsel verantwoordelijk voor de beveiliging daarvan. In dit geval zijn de ziekenhuizen verantwoordelijk voor de verwerking van patiëntgegevens en ook voor het datalek. IGuana is volgens de Wbp slechts aan te merken als bewerker, omdat zij alleen ten behoeve van de ziekenhuizen de gegevens heeft verwerkt. Ondanks dat het datalek is ontstaan door een fout van iGuana, blijven de ziekenhuizen aldus verantwoordelijk voor het datalek.

Beschermingsmaatregelen

Organisaties kunnen diverse beschermingsmaatregelen nemen om datalekken zoveel mogelijk te voorkomen of de schade daarvan te beperken. Naast het overeenkomen van een geheimhoudingsverplichting met bijbehorende boeteclausule kunnen organisaties waaronder ziekenhuizen het best investeren in een zo concreet en zorgvuldig mogelijk opgestelde bewerkersovereenkomst. Zo konden de ziekenhuizen door een bewerkersovereenkomst overeen te komen met iGuana een deel van hun verantwoordelijkheid met betrekking tot bescherming van persoonsgegevens overdragen aan iGuana als bewerker. Daarbij konden de ziekenhuizen aanvullende eisen stellen op het gebied van beveiliging en certificering. Bij het hanteren van een goede bewerkersovereenkomst lopen organisaties zoals ziekenhuizen minder risico bij uitbesteding van bepaalde taken bij technische partijen.

Mocht u vragen hebben naar aanleiding van vorenstaande of mocht u interesse hebben in een bewerkersovereenkomst, dan ondersteunen wij u daar graag bij.


Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: