Een beleidsmedewerker van een zorgorganisatie gaat lunchen en vergeet zijn laptop uit te schakelen. Hij is op dat moment ingelogd in een cliëntendossier. Een medewerker van een extern schoonmaakbedrijf maakt tijdens de lunchpauze de kamer schoon. Is er wel of geen sprake van een datalek?
Het antwoord is ja en dat betekent dat de zorgorganisatie dit moet melden aan de Autoriteit Persoonsgegevens. De schoonmaker kan namelijk, al dan niet door nieuwsgierigheid gedreven, de cliëntgegevens op het laptopscherm hebben ingezien. De zorgorganisatie moet ook de betreffende cliënt op de hoogte brengen.
Beter was het geweest als de zorgorganisatie dit risico tijdig had voorzien en de informatiebeveiliging op orde had gebracht. In dit geval door de computers zo in te stellen dat ze automatisch worden vergrendeld als het toetsenbord twee of drie minuten niet wordt aangeraakt. En door de medewerkers te instrueren wat ze moeten doen als ze hun werkruimte verlaten. Om het helemaal af te maken was een geheimhoudingsclausule in het contract met het schoonmaakbedrijf een goed idee geweest.
AVG op 25 mei 2018 van kracht
Het lijkt theorie, maar dit is precies wat zorgorganisaties te wachten staat als gevolg van de invoering van de Algemene Verordening Gegevensbescherming (AVG). Deze wet van de Europese Unie is begin 2016 van kracht geworden. Na een overgangsperiode van twee jaar vervangt de AVG per 25 mei 2018 de (Nederlandse) Wet bescherming persoonsgegevens. Kern van de nieuwe wet is dat iedereen recht heeft op bescherming van zijn persoonsgegevens. Dat betekent dat organisaties die persoonsgegevens verzamelen en/of verwerken dit zorgvuldig en discreet moeten regelen. In het geval van zorgorganisaties gaat het om de bescherming van persoonsgegevens van cliënten, medewerkers en vrijwilligers. De nieuwe wet uit Brussel heeft technische, organisatorische en contractueel/juridische consequenties. Als dingen niet goed zijn geregeld kan de Autoriteit Persoonsgegevens fikse boetes opleggen, die in de tonnen kunnen lopen. Alle reden dus om dit serieus te nemen.
Gewone en bijzondere persoonsgegevens
Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Deze gegevens vallen niet onder de wetgeving voor het beschermen van persoonsgegevens. Anders is dat met gegevens over iemands godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid, seksuele voorkeur, lidmaatschap van een vakbond en strafrechtelijk verleden. Dit zijn bijzondere persoonsgegevens, evenals het burgerservicenummer, omdat het een uniek en tot de persoon herleidbaar nummer is. Deze gegevens zijn door de wetgever extra beschermd. Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering geldt.
Reglement met afspraken over privacy
Elke organisatie die persoonsgegevens verwerkt moet de afspraken over haar eigen privacybeleid toepassen op haar eigen situatie en vastleggen. Want met gedragsregels en goede bedoelingen alleen bent u er niet. Er moet dus een reglement komen. Als u dat al hebt, dient u het met het oog op de nieuwe Europese regelgeving te actualiseren. In het reglement legt u precies vast welke data u wilt verzamelen en gebruiken, op welke manier, hoe lang en voor welk doel. Benoem ook wie waarvoor verantwoordelijk is. Deze en andere zaken worden vastgelegd in een reglement.
Bewerkersovereenkomst
Hou er rekening mee dat de persoon van wie u gegevens verwerkt in bepaalde gevallen op de hoogte moet worden gebracht over het gebruik, mutaties, enz., en het recht heeft vastgelegde gegevens te laten verbeteren of verwijderen. In specifieke gevallen moet zelfs een melding worden gedaan bij de Autoriteit Persoonsgegevens. Extra aandacht is nodig in het geval u gegevens uitwisselt met een contractpartner of door een andere partij laat verwerken, bijvoorbeeld een administratiekantoor. Daar is een bewerkersovereenkomst voor nodig, waarin zaken over beveiliging en geheimhouding worden vastgelegd. Het opstellen van zo’n overeenkomst luistert nauw.
Tot slot nog twee dingen
- Meldplicht datalekken.
Sinds 1 januari 2016 geldt een wettelijke meldplicht voor datalekken. De meldplicht houdt in dat een organisatie bij een ernstig datalek binnen 72 uur een melding doet bij de Autoriteit Persoonsgegevens. Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonlijke data. Denk aan de welbekende usb-stick, de laptop die uit de auto wordt gestolen, een inbraak in een databestand, een verloren mobiele telefoon. En ook de situatie uit het begin van dit verhaal waarbij een schoonmaker per ongeluk op een scherm cliëntgegevens kan inzien. Onder een datalek valt dus niet alleen het per ongeluk lekken van gegevens, maar ook de onrechtmatige verwerking van gegevens. Lees meer over datalekken op de website van de Autoriteit Persoonsgegevens. - Functionaris gegevensbescherming.
Op grond van de AVG geldt voor sommige overheidsinstanties en publieke organisaties (ook zorg- en onderwijsinstellingen) de verplichting om een functionaris gegevensbescherming aan te stellen. Dit geldt ook voor organisaties die op grote schaal mensen observeren (bijvoorbeeld door middel van cameratoezicht) of grootschalig gegevens (laten) verwerken. Sommige organisaties kiezen ervoor om vrijwillig een functionaris gegevensbescherming aan te stellen.
Hoe vordert u met de voorbereidingen?
U bent ongetwijfeld bezig met de voorbereidingen met het oog op de invoering van de AVG in mei 2018. Mogelijk hebt u nog vragen. Het juridisch team van Transmissie helpt zorgorganisaties graag verder om de puntjes op de i te zetten.
- Privacybeleid – formuleren en vastleggen afspraken in een privacyreglement.
- Bewerkersovereenkomsten – vastleggen afspraken over beveiligen van gegeven en meldplicht datalekken met derden.
- Protocol datalekken – opstellen en implementeren protocol.
- Functionaris gegevensbescherming – werving, beschikbaarstelling.
- Toetsing informatiebeveiliging aan kwaliteitsnorm (ISO 27001).