161201 Handreiking meldplicht datalekken eerstelijn Deel 2 … · 2016-12-05 · De meldplicht...
19
1 Handreiking meldplicht datalekken in de eerstelijns zorg Deel 2: Toelichting LHV – NHG – INEEN – KNMP December 2016
Transcript of 161201 Handreiking meldplicht datalekken eerstelijn Deel 2 … · 2016-12-05 · De meldplicht...
1
Handreikingmeldplichtdatalekkenindeeerstelijnszorg
Deel2:Toelichting
LHV–NHG–INEEN–KNMP
December2016
2
Inhoud
Woordvooraf........................................................................................................................................3
EersteHulpbijDatalekken.....................................................................................................................4
BijlageI.Toelichtingenachtergrondinformatie....................................................................................5
I.1Watiseendatalek?......................................................................................................................5
I.2Vragenenantwoorden.................................................................................................................7
I.3MeldenaandeAutoriteitPersoonsgegevens?.............................................................................9
I.4Vragenenantwoorden...............................................................................................................10
I.5Meldenaandepatiënt?..............................................................................................................12
I.6Vragenenantwoorden...............................................................................................................13
I.7Watmeldtuaanpatiënten?.......................................................................................................15
BijlageII.Voorbereidenopeendatalek..............................................................................................16
BijlageIII.WatdoetdeAutoriteitPersoonsgegevens?.......................................................................17
BijlageIV.Bibliografie..........................................................................................................................19
3
Woordvooraf
Vooruligteenhandreikingoverdatalekkenindeeerstelijnszorg.HiermeewillendeLHV,NHG,InEenenKNMPpraktischehandvattenbiedenaaneerstelijnszorgaanbieders.
Dehandreikingbestaatinfeiteuitdrieonderdelen:
1. EenschemaEersteHulpBijDatalekken.2. Eentoelichtingopditschema.3. Eenoverzichtvanvoorbeeldenvandatalekken.
Ad1.HetschemaEersteHulpBijDatalekkenbevateenoverzichtvandebelangrijkstedrievragenoverdatalekkenmetdeantwoordendaarop:
1. Issprakevaneendatalek?2. MoethetdatalekwordengemeldbijdeAutoriteitPersoonsgegevens?3. Moetendepatiëntenwordengeïnformeerd?
Ad2.IndezeToelichtingwordtnaderuitgewerkthoemenkanvaststellenofersprakeisvaneendatalek,inhoeverrehetdatalekmoetwordengemeldbijdeAutoriteitPersoonsgegevensenofpatiëntenookmoetenwordengeïnformeerd.DeToelichtingbevatnaasteenaantalstroomschema’sookeengrootaantalvragenenantwoorden.
Ad3.Hetoverzichtmet23voorbeeldenvandatalekkenbestaatuiteenkortebeschrijvingvaneen(mogelijke)gebeurtenis,hetantwoordopdevraagofdezegebeurteniseendatalekis,ofditdatalekgemeldmoetwordenaandeAPofaandepatiëntenzoja,wiedatzoumoetendoen,entotslotmetwelkemaatregelenenverbeteractieseendergelijkdatalekindetoekomstvoorkomenkanworden.
Indezehandreikingomschrijvenwijeen‘datalek’als“hetlekkenvanpersoonsgegevensvanpatiënten”.Dezeomschrijvingomvatzowelgeautomatiseerdverwerktepersoonsgegevens,alspersoonsgegevensdieoppapierstaan.
Hoewelweindezehandreikingvooralaandachtbestedenaandatalekkenrondpatiëntengegevens,kaneendatalekvanzelfsprekendookpersoonsgegevensvanwerknemersofanderemedewerkersvaneeneerstelijnszorgaanbiederbetreffen.
Metdezehandreikinghopenwijditingewikkeldeonderwerpwatbetertoegankelijktemakenvoorzorgprofessionalsindeeerstelijnszorg.WijhebbenonshierbijvooralgebaseerdopdeBeleidsregelshierovervandeAutoriteitPersoonsgegevens.1OnzehandreikingkanechternietalsvolledigevervangingvandieBeleidsregelswordenbeschouwd.
TenslottezijvermelddatdezehandreikingtotstandisgekomenmetmedewerkingvandeKNMG.
1AutoriteitPersoonsgegevens,DemeldplichtdatalekkenindeWetbeschermingpersoonsgegevens(Wbp).Beleidsregelsvoortoepassingvanartikel34avandeWbp.DenHaag:8december2015.
4
EersteHulpbijDatalekkenWattedoenbijeendatalekindeeerstelijnszorg?
Eendatalekwilzeggendatervanuitofbinnenuwpraktijkpersoonsgegevensvanpatiënten(data)opstraatzijngekomen,dooronbevoegdenzijningezienofverlorenzijngegaan.Sinds1januari2016isereenwetvankrachtdieinzulkegevallenomadequaathandelenvraagt.Deeerstereactiebijeenvermoedenvaneendatalekbestaatuit3stappen.
1 Beoordeeloferechtsprakeisvaneendatalek
Erissprakevaneendatalekalsdooreeninbreukopdebeveiliging,vertrouwelijkegegevensverlorenkunnenzijngegaan.Ofalsnietuitgeslotenisdatdezedooronbevoegdenzijnverwerkt,binnenofbuitendebeschermdeomgevingvandepraktijkofvandeserviceprovider.
Voorbeelden:2eenUSB-stickofpcopstraat,3UZI-pasmetpincodekwijt,4inbreukdooreenhacker,5diefstalvandossiers,6foutvaneenmedewerker.7Ookkaneenandere(zorg)partijofgegevensbewerkermeldendatuwgegevenszijngelekt.8
2 BeoordeelofuhetlekmoetmeldenbijdeAutoriteitPersoonsgegevens(AP)
Alserpatiëntgegevenszijngelekt,moetudatbinnen72uurnahetbekendwordenervanmeldenbijdeAP.Bijtwijfelmeldtuook;ukunteenmeldinglateraltijdweerintrekken.Tenonrechtenietmeldenkanleidentothogeboete.
UmeldteendatalekviahetMeldloketDatalekkenvandeAP:https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0
3 Beoordeelofuuwpatiëntenmoetinformerenoverhetlek
Alserpatiëntgegevenszijngelektmoetuuwpatiëntenookonverwijldinformeren.Zijmoetenzonodigmaatregelenkunnennemenomzichtebeschermentegendegevolgenvanhetdatalek.
Uinformeertuwpatiënten(individueelofincombinatiemetalgemenevoorlichting)overdeaardvandeinbreuk,deinstantieswaardebetrokkenemeerinformatieoverdeinbreukkankrijgen,endemaatregelendieudebetrokkeneaanbeveeltomtenemenomdenegatievegevolgenvandeinbreuktebeperken,zoalshetveranderenvangebruikersnamenenwachtwoorden.Deaardvandeinbreukmagualgemeenomschrijven.Uvermeldtuwcontactgegevenszodatdebetrokkeneukanbereikenalshijofzijvragenheeftoverhetdatalek.
2Indevolgendevoetnotenverwijzenwenaardecasuïstiekinhetdocument‘Overzichtcasesdatalekken’.3Vgl.casusnr.12,13.4Vgl.casusnr.23.5Vgl.casusnr.11,216Vgl.casusnr.13.7Vgl.casusnr.1t/m7,23.8Vgl.casusnr.10,21.
5
BijlageI.Toelichtingenachtergrondinformatie
I.1Watiseendatalek?Meteen‘datalek’doelenweindezetoelichtingophetlekkenvanpersoonsgegevensvanpatiënten.Ditkunnenzowelgeautomatiseerdverwerktepersoonsgegevenszijn,maarookpersoonsgegevensdieoppapierstaan.
Artikel34aWetbeschermingpersoonsgegevens(Wbp)omschrijfteendatalekals“eeninbreukopdebeveiliging,bedoeldinartikel13,dieleidttotdeaanzienlijkekansopernstigenadeligegevolgendanwelernstigenadeligegevolgenheeftvoordebeschermingvanpersoonsgegevens”.
Demeldplichtdatalekkenisingevoerdnaaraanleidingvaneenaantalincidentenwaarbijdooreeninbreukopdebeveiligingvaninformatiesystemen,zoalswebsites,persoonsgegevenszijnvrijgekomenmetnadeligegevolgenvoordepersoonlijkelevenssfeervandebetrokkenen.
Vaneeninbreukopdebeveiligingissprakealsdetechnischeenorganisatorischebeveiligingsmaatregelennietgoedhebbengefunctioneerd.Maardebeveiligingkanookopvoldoendeniveauzijn,terwijldebeveiligingsmaatregelenwordentenietgedaanofomzeild.Bijvoorbeeldwanneereeninformatiesysteemdatpersoonsgegevensbevatisgehacktofnadiefstalvaneenlaptopofmobieletelefoon.Daarnaastkanooksprakezijnvanmenselijkefoutenalsiemandslordigisomgegaanmeteenwachtwoorddattoeganggeefttotinformatiebestanden,wanneerpersoonsgegevensperongelukwordenverstuurdineenverkeerdgeadresseerdeenvelopofe-mail,alsgevoeligeschriftelijkestukkenalsoudpapierwordtaangebodenofwanneereengeheugenstickiszoekgeraakt.Indergelijkegevallenissprakevaneeninbreukopdebeveiligingsmaatregelenmeteenaanmerkelijkekansopverliesvanpersoonsgegevensenrisico’svanongeoorloofdetoegangofonrechtmatigeverstrekkingtotgevolg.
DeAlgemeneVerordeningGegevensbescherming(AVG)vandeEU,dieop25mei2018vantoepassingwordt,bevatindeartikelen32t/m34vergelijkbarebepalingenoverdatalekken.
6
(Bron:AutoriteitPersoonsgegevens,Beleidsregelsmeldplichtdatalekken,pag.4-5).
Erisalleensprakevaneendatalekalszichdaadwerkelijkeenbeveiligingsincidentheeftvoorgedaan.BijeenbeveiligingsincidentmoetubijvoorbeelddenkenaanhetkwijtrakenvaneenUSB-stick,dediefstalvaneenlaptopofaaneeninbraakdooreenhacker.
Maarnietiederbeveiligingsincidentisookeendatalek.Erissprakevaneendatalekalserbijhetbeveiligingsincidenteenaanmerkelijkekansbestaatdatpersoonsgegevensverlorenzijngegaan,ofalsuonrechtmatigeverwerking(kennisneming)vandepersoonsgegevensnietredelijkerwijskuntuitsluiten.Wekunnenookzeggendatinzulkegevallendecontroleoverdepersoonsgegevensisverloren.
Alsalleensprakeisvaneenzwakkeplekindebeveiliging,sprekenwevaneenbeveiligingslekennietvaneendatalek.UhoeftdangeenmeldingtedoenaandeAutoriteitPersoonsgegevens.
7
I.2Vragenenantwoorden
• Zijngeconstateerdetekortkomingenindebeveiligingeendatalek?Nee.Bijeendatalekgaathetomonbedoeldetoegangtotofvernietiging,wijzigingofvrijkomenvanpersoonsgegevensbijeenorganisatie.Alsalleensprakeisvaneenzwakkeplekindebeveiliging,sprekenwevaneenbeveiligingslekennietvaneendatalek.UhoeftdangeenmeldingtedoenaandeAutoriteitPersoonsgegevens.Hetisnatuurlijkwelbelangrijkdatuzorgtdatdezwakkeplekindebeveiligingzosnelmogelijkwordtaangepakt.
• Gaathetalleenomlekkenbijgeautomatiseerdeverwerking?Nee.DeWbp–endientengevolgeookdemeldplichtdatalekken–isnietalleenvantoepassingopdegeautomatiseerdeverwerkingvanpersoonsgegevens,maarookopgedeeltelijkofnietgeautomatiseerdeverwerkingenvanpersoonsgegevensdieineenbestandzijnopgenomen.Meteen‘bestand’wordtbedoeldeendatdegegevensdeeluitmakenvaneengestructureerdgeheeldatvolgensbepaaldecriteriatoegankelijkisenbetrekkingheeftopverschillendepersonen.DeWbp–endusdemeldplichtdatalekken–isnietvantoepassing:1.alsgeensprakeisvangeheelofgedeeltelijkgeautomatiseerdeverwerkingvanpersoonsgegevens;2.alsgeensprakeisvanpersoonsgegevensdieineenbestandzijnopgenomenofbestemdzijnomineenbestandtewordenopgenomen;3.alspersoonsgegevensalleenwordenverwerkttenbehoevevanactiviteitenmet
8
uitsluitendpersoonlijkeofhuishoudelijkedoeleinden;4.alsvooreenverwerkingspecifiekewetgevinggeldtwaarindebeschermingvanpersoonsgegevensvolledigwordtgeregeld(bijv.wetpolitiegegevens,Wetopdeinlichtingen-enveiligheidsdiensten,Wetbasisregistratiepersonen,Wetjustitiëleenstrafvorderlijkegegevens,Kieswet);5.alshetgaatomverwerkingvanpersoonsgegevensdoordekrijgsmachtinhetkadervanvredesoperaties.[Bron:Beleidsregels,pag.14]
• Alseenberichtmetversleuteldegegevensisgelekt,moetikdatookmelden?Persoonsgegevensdieadequaatzijnversleuteldkunnennaeenbeveiligingsleknogsteedsverlorenzijngegaan.Ookishetnogsteedsmogelijkdatdegegevenswordenaangetastofonbevoegdwordengewijzigd(bijvoorbeelddoorzogenoemde'cryptoware',diedereedsversleuteldegegevensnogmaalsversleuteltmeteensleuteldiedeverantwoordelijkeuitsluitendtegenbetalinginzijnbezitkankrijgen).Ookalsgegevensversleuteldzijn,kanerdussprakezijnvaneendatalek.Zo’ndatalekkanongunstigegevolgenhebbenvoordepersoonlijkelevenssfeervandebetrokkeneenmoetdaaromookaanhemofhaarwordengemeld.
• Geldtdemeldplichtalleenvoorgrotelekkenofvooriederlek?Deomvangvaneenlekisnietvanbelang.Alsdegelektegegevensgevoeligvanaardzijn(bijvoorbeeldpatiëntgegevens)danmaakthetnietuitomhoeveelpersonenofgegevenshetgaat.9
• WhatsAppversleuteltookalleberichten.KanikWhatsAppgebruikenvoorveiligecommunicatie?Hetsoorttoepassingisnietrelevantvoordemeldplichtdatalekken.HetgebruikvanWhatsAppwordtoverigensnietals100%veiligbeschouwd.Aanbevolenwordtomeenmessengerapptegebruikendieveiligeris,zoalsSignal,ofeenmessengerapptegebruikendiespeciaalisontwikkeldvoorgebruikindegezondheidszorg,zoalsopmomentvanschrijvenSiilo,KantaMessengerofMDLinking.
• Watkanikdoenomeendatalektevoorkomen?Zorgdatdeinformatiebeveiliginginordeis.Vermijdhetrisicoopeendatalekdoorzoveelmogelijkprocesstappenzondertotpatiëntenherleidbarepersoonsgegevensuittevoeren.Beperknadeligeeffectendooruwprocesstappenmeteenminimumaanpersoonsgegevensuittevoeren.Voorkomeendatalekdoorsterkeauthenticatieengoedeautorisatietoetepassenwaardoorpersoonsgegevensniettoegankelijkzijnvooronbevoegdepersonen.Verhinderhetontstaanvaneendatalekdooreensamenhangendstelselvanmaatregelenoptestellen.
9Onder‘gevoeligegegevens’wordenverstaan:1)‘bijzonderegegevens’alsbedoeldinartikel16vandeWbp:persoonsgegevensoveriemandsgodsdienstoflevensovertuiging,ras,politiekegezindheid,gezondheid,seksueleleven,lidmaatschapvaneenvakverenigingenomstrafrechtelijkepersoonsgegevensenpersoonsgegevensoveronrechtmatigofhinderlijkgedraginverbandmeteenopgelegdverbodnaaraanleidingvandatgedrag.2)Gegevensoverdefinanciëleofeconomischesituatievandebetrokkene.Hierondervallenbijvoorbeeldgegevensover(problematische)schulden,salaris-enbetalingsgegevens.3)(Andere)gegevensdiekunnenleidentotstigmatiseringofuitsluitingvandebetrokkene.Hierondervallenbijvoorbeeldgegevensovergokverslaving,prestatiesopschoolofwerkofrelatieproblemen.4)Gebruikersnamen,wachtwoordenenandereinloggegevens.Demogelijkegevolgenvoorbetrokkenenhangenafvandeverwerkingenenvandepersoonsgegevenswaardeinloggegevenstoegangtoegeven.Bijdeafwegingmoetwordenbetrokkendatveelmensenwachtwoordenhergebruikenvoorverschillendeverwerkingen.5)Gegevensdiekunnenwordenmisbruiktvoor(identiteits)fraude.Hetgaathierbijondermeerombiometrischegegevens,kopieënvanidentiteitsbewijzenenomhetBurgerservicenummer(bsn).
9
I.3MeldenaandeAutoriteitPersoonsgegevens?
HetonderstaandeschemageeftdevragenweerdieumoetbeantwoordenomvasttestellenofueenspecifiekdatalekmoetmeldenaandeAutoriteitPersoonsgegevens.Uitgangspuntisdatereengebeurtenisheeftplaatsgevondenwaarvanualheeftvastgestelddathetgaatomeendatalek.
Bovenstaandefiguurroeptdevervolgvraagopwanneermoetwordenaangenomendatsprakeisvan(eenaanzienlijkekansop)ernstigenadeligegevolgenvoordebeschermingvanpersoonsgegevens.DeAutoriteitPersoonsgegevensgeeftinhaartoelichtinghieropaandatditiniedergevalgeldtals:
1.persoonsgegevensvangevoeligeaardzijngelekt.Ditbetekentdatalspersoonsgegevensoveriemandsgezondheid,zoalsgegevensuiteenmedischdossier,zijngelekt,ditaltijdgemeldmoetwordenaandeAutoriteitPersoonsgegevens.Ditgeldtbijvoorbeeldookvoorgebruikersnamen,wachtwoordenenandereinloggegevensenvoorgegevensdieiemandkunnenidentificeren,zoalskopieënvanidentiteitsbewijzenenhetburgerservicenummer(BSN).
2.deaardenomvangvanhetdatalekleidentot(eenaanzienlijkekansop)ernstigenadeligegevolgenvoordebeschermingvandegegevensoverdepatiënt.Hiervanissprakealspersoonsgegevensvangevoeligeaardzijngelekt(ziehierbovenonderpunt1),alsperpersoonveelpersoonsgegevenszijngelekt,alseringrijpendebeslissingengenomenwordenopbasisvandegegevens(metfinanciëlegevolgenvoordepatiënt),ofalsdepersoonsgegevensbinneneenketen
10
wordengedeeld.Ditgeldtookvoorgegevensvanpersonenuitzogeheten‘kwetsbaregroepen’(bewonersvanblijf-van-mijn-lijf-huis,kinderenenmensenmeteenverstandelijkehandicap.
I.4Vragenenantwoorden
• WiemoetermeldenaandeAutoriteitPersoonsgegevens?DeVerantwoordelijkevoordeverwerkingvandepersoonsgegevensisverantwoordelijkvoorhetmeldenvaneendatalek.Ditkaneenindividueleapothekerofhuisartszijn,maarookeenbestuurvaneenzorgpraktijk.Wanneerhetdatalekbetrekkingheeftopzorgdiewordtverleendingeorganiseerdverband(bijvoorbeelddooreenHuisartsenpost,eenZorggroepofeenGezondheidscentrum)danis(hetbestuurvan)dieorganisatiedeaangewezenpartijomdittemeldenbijdeAutoriteitPersoonsgegevens.
• WaarommoetikmeldenaandeAutoriteitPersoonsgegevens?MetdemeldplichtaandeAutoriteitPersoonsgegevenswordbeoogdhettoezichtoppotentieelernstigedatalekkenteondersteunen.HetinformerenvandeAutoriteitPersoonsgegevensisnodigopdatdezekanbeoordelenofeenonderzoekofhetgevenvanaanwijzingennodigis.
• WanneermoetikeendatalekmeldenaandeAutoriteitPersoonsgegevens?UbentverplichteendatalektemeldenaandeAutoriteitPersoonsgegevensals1)patiëntgegevensofandere‘gevoeligegegevens’zijngelekt,verlorenzijngegaanofalsonrechtmatigeverwerkingzoalskennisnemingvandegegevensnietvaltuittesluitenof2)alshetanderepersoonsgegevensbetreftendeaardenomvangvandeinbreukleidentot(eenaanzienlijkekansop)ernstigenadeligegevolgen(bijvoorbeeld:dooreentechnischestoringzijnmedischegegevensingeziendooronbevoegden).Umoetbinnen72uurnahetbekendwordenvanhetlek,ditmeldenbijdeAutoriteitPersoonsgegevens.Bijtwijfelmeldtuook;ukunteenmeldinglateraltijdweerintrekken.Tenonrechtenietmeldenkanleidentothogeboetes.
• HoemoetikeendatalekmeldenaandeAutoriteitPersoonsgegevens?Meldenismogelijkviaeenwebformulierofviaeenpapierenformulier.MeldendoetuviahetMeldloketDatalekkenvandeAutoriteitPersoonsgegevens.Zie:https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0ZieookdewebsitevandeAutoriteitPersoonsgegevensvoormeerinformatie:https://www.autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
• WatmoetikmeldenaandeAutoriteitPersoonsgegevens?Bijeenmeldingwordtugevraagdinformatieteverstrekkenover:
- deaardvandemelding(eerstemeldingofvervolgopeeneerderemelding),- hetwettelijkkadervoordezemelding(Wetbeschermingpersoonsgegevens),- algemeneinformatieencontactgegevens,- gegevensoverhetdatalek,- naaraanleidingvanhetdatalekgetroffenvervolgacties,
11
- informatieoverhetinlichtenvanpatiënten,- getroffentechnischemaatregelen,- internationaleaspecten- ofernogeenvervolgmeldingzalvolgen.
• WelkeinformatiemoetikmeldenaandeAutoriteitPersoonsgegevens?MeldendoetuviahetMeldloketDatalekkenvandeAutoriteitPersoonsgegevens.Zie:https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0ZieookdeBijlagebijdeBeleidsregelsofhttp://www.privacyindezorg.nl/datalekken.html.
• WatdoetdeAutoriteitPersoonsgegevensmetmijnmelding?NademeldingontvangtueenontvangstbevestigingvandeAutoriteitPersoonsgegevens.AlsdaaraanleidingvoorisneemtdeAutoriteitPersoonsgegevenscontactmetuopomteverifiërendatdegedanemeldingdaadwerkelijkvanuafkomstigisenomeventueelinhoudelijkevragenoverdemeldingtestellen.DeAutoriteitPersoonsgegevenszieteroptoedatdebetrokkenpersonen(patiënten,cliënten)zonodigwordengeïnformeerd.AlsudattenonrechtenietheeftgedaankandeAutoriteitPersoonsgegevensvanuverlangendatudatalsnogdoet.BlijftudannogingebrekedankandeAutoriteitPersoonsgegevensubestraffenmeteenbestuurlijkeboete.OokkandemeldingaanleidingzijnvoordeAutoriteitPersoonsgegevensomeenonderzoekintestellennaardeinformatiebeveiliging.Alledatalekmeldingenwordenineenregistervastgelegd.Ditregisterisnietopenbaar.
12
I.5Meldenaandepatiënt?
Hetonderstaandeschemageeftdevragenweerdieumoetbeantwoordenomvasttestellenofueenspecifiekdatalekmoetmeldenaanuwpatiënten.DeparagraafnummersverwijzennaardeparagrafenindeBeleidsregelsvandeAutoriteitPersoonsgegevens.
DeAutoriteitPersoonsgegevenssteltindebeleidsregelsoverdemeldplichtdatalekkendatuervanuitmoetgaandatueendatalekvanpersoonsgegevensvangevoeligeaard,zoalspatiëntgegevens,nietalleenmoetmeldenaandeAutoriteitPersoonsgegevens,maarookaandebetrokkenpatiënten(Beleidsregels,par.7.4).
Hetinformerenvanpatiëntenmagachterwegewordengelatenalsdaarzwaarwegenderedenenvoorzijn.Datgeldtbijvoorbeeldalsgegevenszijngelektovermedischeen/ofpsychosocialehulpvragendiekinderenbuitenmedewetenvanhunoudershebbengesteld.Doorinformatieovereendatalekteverstrekkenaandeouderszoudendielangsdezewegopdehoogtekunnenrakenvandehulpvraagvanhunkind.Omdattevoorkomenmagdeinformatieaandebetrokkene(deoudersinditgeval)achterwegeblijven.HetdatalekmoetdanoverigenswelgemeldwordenaandeAutoriteitPersoonsgegevens.
Indienupassendetechnischebeschermingsmaatregelenheeftgenomen,zoalsversleutelingvandegegevens(cryptografie),waardoordepersoonsgegevensdiehetbetreftonbegrijpelijkof
13
ontoegankelijkzijnvooranderendiegeenrechthebbenopkennisnamevandegegevens,danmagudemeldingaandebetrokkeneachterwegelaten(artikel34a,zesdelid,Wbp).
Ineersteinstantiemoetuzelfbeoordelenofdeversleutelingsterkgenoegisenjuistwordtuitgevoerd.Ditmoetuperiodiekdoen,omdatdezetechniekzichvoortdurendontwikkeld.VolgensdeEuropeseverordening611/2013isdeversleutelingadequaatalsdegegevens:
• opveiligewijzezijnversleuteldmeteenstandaardalgoritme,desleutelvoordecryptiedoorgeenenkeleinbreukgevaarheeftgelopenendesleutelvoordecryptiezodanigwerdgegenereerddatpersonenzondergeautoriseerdetoegangdesleutelmetdebeschikbaretechnologischemiddelennietkunnenvinden;of
• zijnvervangendooreenmeteencryptografischversleuteldehashfunctieberekendehashwaarde,desleuteldiehiervoorwerdgebruiktdoorgeenenkeleinbreukgevaarheeftgelopenendezevoordatahashinggebruiktesleutelzodanigisgegenereerddatpersonenzondergeautoriseerdetoegangdesleutelnietkunnenvindenmetdebeschikbaretechnologischemiddelen.
Met‘anderetechnischebeschermingsmaatregelen’wordtgedoeldop‘remotewiping’,oftewelhetopafstandwissenvandegegevensdieopeenapparaatstaan.Ook‘pseudonimisering’iszo’nanderemaatregel.Daarmeekanwordenvoorkomendatpersoonsgegevensaaneenidentiteitvaneenpersoonkunnenwordengekoppeld.Inbeidegevallenmoetwelwordenvastgestelddatdegegevensvoordeonrechtmatigeontvanger‘onbegrijpelijkofontoegankelijk’zijn.
I.6Vragenenantwoorden
• Moetikeendatalekmeldenaandepatiënt(en)?Alsnietallegelektegegevens(goed)versleuteldwaren,ofhetdatalekomandereredenenwaarschijnlijkongunstigegevolgenheeftvoordepersoonlijkelevenssfeervandebetrokkene.Daarbijmoetubijvoorbeelddenkenaanonrechtmatigepublicatie,aantastingineerengoedenaam,(identiteits)fraudeofdiscriminatie.Alserpersoonsgegevensvangevoeligeaardzijngelekt,dankuntuerinprincipevanuitgaandatuhetdataleknietalleenmoetmeldenaandeAutoriteitPersoonsgegevens,maarookaandebetrokkene.
• Waarommoetikeendatalekmeldenaandepatiënt(en)?Umoeteendatalekmeldenaandepatiënt(en)omhenopdehoogtetestellenvandefeitelijkesituatiemetbetrekkingtothunpersoonsgegevensendegevolgendiedatvoorhunbelangenheeft.Alduskunnendepatiëntennadereinformatieopvragenofbeslissenofzijgebruikwillenmakenvanhunrechtopinzage,correctieofafscherming.Doordekennisgevingaandepatiënt(en)kunnenzijalertzijnopdemogelijkegevolgenvanhetdatalek.Bovendienkunnenzijdanmaatregelennemen,zoalshetveranderenvanhunwachtwoord.
• Wanneermoetikeendatalekmeldenaandepatiënt(en)?IndeWetbeschermingpersoonsgegevensstaatdatuhetdatalek“onverwijld”moetmeldenaan“debetrokkenen”,zoalsuwpatiënten.Nahetontdekkenvanhetdatalekmaguenige
14
tijdnemenvoornaderonderzoekzodatudepatiëntenopeenbehoorlijkeenzorgvuldigemanierkuntinformeren.Welmoetuerrekeningmeehoudendatdepatiëntennaaraanleidingvanuwmeldingmogelijkmaatregelenmoetennemenomzichtebeschermentegendegevolgenvanhetdatalek.Hoeeerderudebetrokkenendaaroverinformeert,hoeeerderzijinactiekunnenkomen.Ookalsunietverplichtbentomeendatalektemeldenaanpatiënten,kuntuervoorkiezenomdattochtedoen.Ditkanhetvertrouweninuworganisatievergroten.
• Hoemoetikeendatalekmeldenaandepatiënt(en)?Ditdoetuopindividueelniveau.Ookkuntukiezenvooreencombinatiemetalgemenevoorlichting(bijvoorbeeldviauwwebsite).Metuwmeldingmoetuzoveelmogelijkbetrokkenenbereikenmetinformatiediehenhelptomdegevolgenvanhetdatalekvoorhunpersoonlijkelevenssfeerzoveelmogelijktebeperken.
• Welkeinformatieovereendatalekmoetikmeldenaandepatiënt?Indekennisgevingaandebetrokkenevermeldtuiniedergeval:1)wateraandehandis(deaardvanhetdatalek),meestaliseenalgemeneomschrijvingvandesituatievoldoende,2)waarzeterechtkunnenmetvragen,zoweluweigencontactgegevens(telefoonnummer,e-mailadres,chats)alsdievandebetrokkeninstanties;3)watdebetrokkenenzelfkunnendoenomdenegatievegevolgenvandeinbreuktebeperken(bijvoorbeeldgebruikersnaamenwachtwoordwijzigenwanneerdatsamenhangtmethetdatalek).Hetstaatuvrijommeerinformatietoetevoegenaandekennisgeving,maarditisnietverplicht.
15
I.7Watmeldtuaanpatiënten?
Eenmeldingaanpatiëntendienttenminstedevolgendeonderdelentebevatten.101.Watiseraandehand?Leginduidelijkeeneenvoudigetaaluitwateraandehandisenwatdemogelijkgevolgenvoorhenkunnenzijn(eventueelgefaseerd,voorzoverdeinformatienognietvoorhandenis):-omwatvoorsoortdatalekgaathet:zijnergegevensinhandenvanonbevoegdengekomen,verlorengegaan,ofietsanders?-watiserpreciesgebeurd?-staathetvastdatergegevenszijngelekt:ishetzekerdat“mijn”gegevenszijngelekt?-zonee,hoewaarschijnlijkofonwaarschijnlijkisdatdantochhetgeval?-watvoorsoortgegevenszijnergelekt:“gewone”(NAW)gegevensof“gevoelige”gegevens(patiëntgegevens,BSN)?-vanhoeveelpersonenzijngegevensgelekt(bijbenadering)?-uitwelkebestandenzijngegevensgelekt?-watvoormisbruikzouiemandvandegelektegegevenskunnenmaken?-hoegrootishetrisicodatditookechtgebeurt?-welkemaatregelenzijngetroffenomdeeventuelenadeligegevolgentebeperken?-welkemaatregelenzijnergetroffenofwordenvoorgenomenomhetdatalekteverhelpen?2.Waarkanikterechtmetvragen?Alsereenreëelrisicoopmisbruikvandegelektegegevensbestaat,zullensommigepatiëntenvragenhebbenofzichzorgenmaken.Informeerdepatiëntendaaromwaarzemethunzorgenenvragenterechtkunnen.Kanaliseerallevragenviaeenreguliercontactpunt(loket)maarvoorverschillendemethoden(e-mail,telefoon,chat).Laatuhetoveraandedokters-ofapothekersassistente,zorgerdanvoordatdezevoldoendeisgeïnstrueerd,ookoverwaarmenterechtkanmetmoeilijkevragen.3.Watkanikzelfdoen?Lichteersttoewelkemaatregelenuworganisatiereedsheeftgenomenomdegevolgenvanhetdatalektebeperken.Informeerdepatiëntenvervolgenswatzijinaanvullingdaaropzelfkunnendoen,zoalshetwijzigenvaneenwachtwoord(eventueelookinanderesystemen).
10Bron:J.Huttere.a.,Gripopdatalekken.Handreikingvoorhetbeheersenvandatalekrisico’s.WoltersKluwer,2015,pag.82e.v.Vgl.ookart.33en34Verordening(EU)2016/679(algemeneverordeninggegevensbescherming).
16
BijlageII.Voorbereidenopeendatalek
Zorgorganisaties,ookindeeerstelijnszorg,kunnenenmoetenhunprocessenaanpassennaaraanleidingvandemeldplichtdatalekken.Daardoorkunnenveelproblemenwordenvoorkomen.Datalekkenkunnenoptredenalsgevolgvantekortkomingenophetgebiedvanmenselijkgedrag,organisatieenICT.Organisatieskunnenverschillendemaatregelentreffenomzichvoortebereidenopeendatalek.Devolgendemaatregelenhelpendeorganisatieomsnelenadequaattekunnenreageren:
– Zorgvooreengoedebeveiligingvandepersoonsgegevensdiejeverwerkt.DitgeldtzowelindeICT-omgevingalsinproceduresvooromgangmetpersoonsgegevensbinnendeorganisatie.DenkhierbijaanhetimplementerenvandenormNEN-7510,maarookbijvoorbeeldaanhetopstellenvanheldereproceduresvoorhetverzenden,archiverenofvernietigenvandocumentendieprivacygevoeligeinformatiebevatten.
– SteleenpersoonaanbinnendeorganisatiediebeveiligingsincidentenenpotentiëledatalekkenbeoordeeltendiezonodigmeldtbijdeAutoriteitPersoonsgegevens.Zorgervoordatdebetreffendemedewerkervoldoendeistoegerustvoordezetaakenbiedtzonodigscholingaan.
– ZorgvooradequaatincidentenbeheerwaarbijzowelincidentendiezijngemeldbijdeAPalsincidentendienietzijngemeldzorgvuldigwordengedocumenteerd,inclusiefdeafwegingdietotdebetreffendekeuzeheeftgeleid.
– Richteenprocedureinvoorhetinformerenvanbetrokkenenbijeendatalek.Demeldplichtdatalekkenschrijftvoordatbetrokkenpersonenofpatiëntenmoetenwordengeïnformeerdalshetaannemelijkisdateendatalekschadevoorhenoplevert.Uitgangspuntisdatalserpatiëntgegevenszijngelekt,depatiëntenaltijddaarovermoetenwordengeïnformeerd.
– Denknaoverhoeomtegaanmetsignalenovermogelijkedatalekkenvanbuitenafofuitdemediaenlegditeventueelvastineencommunicatieplan.
– Controleerbestaandeovereenkomstenmetbewerkers.DeNVZ-modelbewerkersovereenkomstkanhierbijalsvoorbeelddienen.Maakaanvullendeafsprakenmetdatabewerkersoverwiewatdoetwanneerereendatalekwordtgeconstateerd.
Voorbeelddocumenten(vaneenziekenhuisorganisatie)zijntevindenop:
http://www.privacyindezorg.nl/datalekken.html
17
BijlageIII.WatdoetdeAutoriteitPersoonsgegevens?
Nademelding
NaeenmeldingaandeAutoriteitPersoonsgegevensslaatdezeuwmeldingopineenregistermetalleontvangenmeldingenoverdatalekken.Ditregisterisnietopenbaar.DeAutoriteitPersoonsgegevenskancontactmetuopnemenalserinhoudelijkevragenzijnoveruwmelding.Heeftudebetrokkenennietgeïnformeerdoverhetdatalek?Maarisdatvolgensdewetwelnoodzakelijk?DankandeAutoriteitPersoonsgegevensuvragenomdatalsnogtedoen.Uwdatalekmeldingkan,eventueelincombinatiemetanderemeldingen,ookaanleidingzijnvoordeAutoriteitPersoonsgegevensomeenonderzoektestartennaardenalevingvandeprivacywetgeving.
Boete
DeAutoriteitPersoonsgegevenskanbijovertredingvandemeldplichtdatalekkenuitdeWetbeschermingpersoonsgegevenseenboeteopleggenvanmaximaal820.000euro.VoorovertredingvandemeldplichtdatalekkenuitdeTelecommunicatiewetkandeAutoriteitPersoonsgegevenseenboeteopleggenvanmaximaal900.000euro.IndeBoetebeleidsregelsAutoriteitPersoonsgegevens2016staathoedeAutoriteitPersoonsgegevensdehoogtevanboetesbepaalt.Isdeovertredingnietopzettelijkgepleegd?Enisergeensprakevanernstigverwijtbarenalatigheid?DanlegtdeAutoriteitPersoonsgegevenseersteenbindendeaanwijzingop.DaarnalegtdeAutoriteitPersoonsgegevenseventueeleenboeteop.BijhetopleggenvaneenboetehoudtdeAutoriteitPersoonsgegevensrekeningmetalleomstandighedenvanhetgeval.Zo’nomstandigheidisbijvoorbeelddatdegelektegegevensnietdoorderdenzijningezien.Sinds1januari2016heeftdeAutoriteitPersoonsgegevenseenboetebevoegdheid.
Bindendeaanwijzing
DeboetebandbreedtevoorhettenonrechtenietmeldenvaneendatalekaandeAutoriteitPersoonsgegevens(art.34a,eerstelid,Wbp)ligttussende€120.000en€500.000.Ishetdataleknietopzettelijknietgemeldofisgeensprakevanernstigverwijtbarenalatigheid,dangaateersteenbindendeaanwijzingvoorafaanhetopleggenvaneenboetedoordeAutoriteitPersoonsgegevens.IndebindendeaanwijzingzaldeAutoriteitPersoonsgegevensterconcretiseringvandewettelijkenormmoetenaangevenwelkegedragingopgrondvandeWbpvandeovertrederwordtverwachtenhemzomogelijkmoetenopdragenomdeovertredinggeheelofgedeeltelijkteherstellen.DeAutoriteitPersoonsgegevenskandaarbijdeovertredereentermijnstellenwaarbinnendeaanwijzingmoetwordenopgevolgd.Indiendeaanwijzingnietwordtopgevolgd,isdeAutoriteitPersoonsgegevensreedsomdieredenbevoegdeenboeteopteleggen.
Relevantefactoren
BijhetbepalenvandehoogtevandeboetehoudtdeAutoriteitPersoonsgegevensrekeningmetdeernstvandeovertreding.DeAutoriteitPersoonsgegevenslaatdeernstvandeovertredingmedeafhangenvaneenaantalfactoren:
- deaardenomvangvandeovertreding;
18
- deduurvandeovertreding;- deimpactvandeovertredingop(debeschermingvanpersoonsgegevensenvande
persoonlijkelevenssfeervoor)debetrokkenenen/ofdemaatschappij.
DeAutoriteitPersoonsgegevenshoudtookrekeningmetdematewaarindeovertredingaandeovertrederkanwordenverweten.DeAutoriteitPersoonsgegevenshoudtzonodigookrekeningmetdeomstandighedenwaaronderdeovertredingisgepleegdende(financiële)omstandighedenwaarindeovertrederverkeert.
19
BijlageIV.Bibliografie
AutoriteitPersoonsgegevens,DemeldplichtdatalekkenindeWetbeschermingpersoonsgegevens(Wbp).Beleidsregelsvoortoepassingvanartikel34avandeWbp.DenHaag,8december2015.
J.Hutter,S.Katus,J.Terstegge,K.Versmissen,Gripopdatalekken.Handreikingvoorhetbeheersenvandatalekrisico’s.WoltersKluwer,2015.
RPCG,Privacyindezorg–datalekken:http://www.privacyindezorg.nl/datalekken.html
Ir.H.Candel,mr.dr.S.Nouwt,‘Help,eendatalek!’.Privacy&Informatie2016/3.
Mr.C.M.M.Zwinkels,‘Demeldplichtdatalekken:debewerkers-overeenkomst.’Privacy&Informatie2016/49.
