“Barbie” en het privacy incident. Data-incidenten en de mogelijke gevolgen deel 2
“Barbie” en het privacy incident klinkt als een nieuw avontuur van een stripheld of een spannende detective, maar het betreft een serieus te nemen schending van de privacy van een Bekende Nederlander. De reality ster Samantha de Jong, beter bekend als “Barbie” werd opgenomen in een Haags ziekenhuis. Intern onderzoek wees uit dat onbevoegd, dat wil zeggen niet-behandelend, personeel in haar patiëntendossier is gaan neuzen. Met veel, negatieve, aandacht in de pers als gevolg. Deze handelingen kwalificeren als een datalek. Is uw bedrijf voorbereid op een datalek?
Sinds 2016 bestaat de Wet Meldplicht Datalekken. Hierin staat de verplichting omschreven een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Deze omschrijft de melding als volgt: “Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt)”1). Een datalek is volgens Justitia.nl: “als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben”. Een datalek kan op vele wijzen ontstaan. Bijvoorbeeld omdat uw bedrijf is gehackt en er, mogelijk, persoonsgegevens zijn ingezien of gestolen of omdat een medewerker zijn laptop of usb stick is verloren met daarop persoonsgegevens. Het kan zelfs zijn dat u thuiswerkt en uw buurman onverwacht binnenloopt, mee kijkt over uw schouder en persoonsgegevens ziet. In al die gevallen is er een gerede kans dat u een melding moet doen.
In het geval van het Haagse ziekenhuis betrof het personeel dat met tientallen tegelijk onbevoegd het patiëntdossier van “Barbie” in keek. Dit mag niet, maar is heel ook heel moeilijk te voorkomen. Immers een arts of verpleger, soms ook van een heel andere afdeling, moet snel kunnen inzien wat er gaande is, welke handelingen zijn verricht, welke medicijnen zijn voorgeschreven, etc. en heeft daar de medische gegevens van de patiënt voor nodig. Dat maakt het daarom mogelijk dat andere medewerkers ook kijken. Er is ook goed nieuws. Kennelijk heeft het ziekenhuis een monitortool ingebouwd dat bijhoudt wie, waar en wanneer inlogt. Bij een routinecontrole kwam het misbruik aan het licht, waarna er een intern onderzoek is gestart. Een klokkenluider bracht het bericht naar buiten, waarmee de ophef en discussie begon. Het is dus zeer de vraag of het ziekenhuis melding heeft gemaakt bij de AP.
Dit ziekenhuis heeft enkele duizenden medewerkers. Voor een MKB bedrijf, zeker het kleinbedrijf, is het altijd een vraag wat mogelijk is bij het nemen van (privacy)maatregelen. Daarom adviseert MKB Cyber Advies Nederland altijd gericht op ICT-veiligheidsmaatregelen die uw businesscontinuïteit versterken. De komst van de AVG (Algemene Verordening Gegevensbescherming) op 25 mei verhoogt de privacy bescherming niet zo zeer, als wel dat de gevolgen van een overtreding voor een organisatie ernstiger kunnen zijn en stelt hogere eisen aan bedrijven.
Dit maakt het nemen van maatregelen die privacy gevoelige gegevens beschermen belangrijker voor een bedrijf en voor bedrijven die bestaan van dit soort gegevens is het zelfs noodzaak. De te nemen stappen zullen altijd bestaan uit een combinatie van (ICT-)technische maatregelen en/of oplossingen, het aanpassen van menselijk gedrag, het maken van afspraken en deze vastleggen in verwerkersovereenkomsten en het op orde hebben van protocollen hoe te handelen in het geval van een datalek. Deze combinatie kan voor ieder bedrijf anders uitpakken. Dat is geheel afhankelijk van uw bedrijf en eventuele maatregelen die u al heeft genomen of afspraken die u reeds heeft vastgelegd. Een datalek kan altijd ontstaan, zelfs buiten uw schuld om. Het gaat er dan met name om dat u kunt aantonen welke maatregelen u heeft getroffen en de snelheid van detectie en melding bij het AP. Op dat laatste kunt u zich goed voorbereiden.
Wilt u inzicht krijgen hoe uw bedrijf er voor staat? Neem dan gerust vrijblijvend contact op met een van onze medewerkers.
Overigens, de zaak “Barbie” heeft geleid tot 85 officiële berispingen van personeelsleden van het Haga Ziekenhuis.
1) Verdere informatie vindt u hier: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken