Juridische mogelijkheden
Wat is privacy?
Privacy is een grondrecht. Een voorwaarde om vrij te zijn in wie je bent en wat je doet. Op Europees niveau is het recht op privacy vastgelegd in artikel 8 van het Europees Verdrag van de Rechten van de Mens (EVRM). In de sfeer van dit artikel bedoelen we met privacy dat de burger beheer heeft over zijn of haar persoonsgegevens en dat zijn of haar (medische) gegevens veilig zijn. Bij een inbreuk – bijvoorbeeld het verlies van gegevens – is al snel sprake van een datalek.
Wat is een datalek?
De AVG definieert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Allereerst moet er volgens de wet sprake zijn van een inbreuk op de beveiligingsmaatregelen. Vervolgens moet dit lek leiden tot (onrechtmatig of per ongeluk) bijv. verlies van gegevens.
Let op; wanneer er bijvoorbeeld een harddisk crasht en je daardoor (medische) gegevens van de patiënt kwijtraakt, waar geen back-up van is, dan is dat volgens de wet een datalek, ook al heeft niemand die gegevens onrechtmatig ingezien. Niet elke denkbare inbreuk is meteen een datalek. Er is sprake van een datalek als de verwerkingsverantwoordelijke met enige zekerheid kan zeggen dat zich daadwerkelijk een incident (bijvoorbeeld een harddisk crasht en je daardoor (medische) gegevens van de patiënt kwijtraakt waar geen back-up van is) heeft plaatsgevonden. Vervolgens is de vraag of een datalek gemeld moet worden bij de betrokkenen en/of de AP. Daar lees je hier meer over.
Voorkomen van datalekken en de AVG
Datalekken kunnen worden voorkomen door het nemen van passende, technische en organisatorische maatregelen. Op grond van de AVG is de verwerkingsverantwoordelijke verplicht om de maatregelen af te stemmen op de veiligheidsrisico’s die kleven aan het verwerken van persoonsgegevens (artikel 32 AVG). Kortom, de verwerkingsverantwoordelijke brengt in kaart welke veiligheidsrisico’s er kleven aan de verwerking van persoonsgegevens. Vervolgens moeten er maatregelen worden genomen die deze risico’s beperken.
NEN-normen
Welke technische en organisatorische maatregelen de verwerkingsverantwoordelijke moet treffen, is (onder andere) afhankelijk van de stand van de techniek. Omdat de stand van de techniek blijvend verandert, is de uitwerking hiervan (deels) vastgelegd in lagere (gemakkelijker aanpasbaar) wetgeving. Op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) moet de zorgaanbieder zorgen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en elektronisch uitwisselingssysteem waarop hij is aangesloten. In de NEN 7510 (gaat over informatiebeveiliging in de zorg), 7512 (gaat over elektronische communicatie in de zorg) en 7513 (gaat over logging) is vastgelegd wat veilig en zorgvuldig gebruik is.
Geheimhoudingsovereenkomst
De NEN 7510 geeft aan dat medewerkers bij het start van de overeenkomst een geheimhoudingsovereenkomst moeten ondertekenen. Medewerkers die vallen onder het beroepsgeheim (of afgeleid beroepsgeheim) zijn al wettelijk verplicht tot geheimhouding. Medewerkers die hier niet onder vallen moeten bij het begin van hun dienstverband een geheimhoudingsverklaring ondertekenen.
Verwerkersovereenkomst
Een verwerkingsverantwoordelijke en een verwerker moeten samen een verwerkersovereenkomst afsluiten. Hierin leggen beide partijen afspraken vast over wat de verwerker wel en niet mag doen met de persoonsgegevens. Ook beveiligingsmaatregelen komen aan bod.
Service level agreements (lijst met afspraken)
In de Service level agreements (hierna: SLA) wordt de kwaliteit van de dienstverlening vastgelegd. Dankzij een SLA weet een afnemer wat hij kan verwachten van de diensten die hij inkoopt en kan de leverancier erop worden afgerekend als hij niet de afgesproken kwaliteit levert. Het is bij een SLA belangrijk dat partijen duidelijke afspraken maken over de vraag wanneer er sprake is van gemaakte afspraken en wat hier de gevolgen van zijn (bijv. een boete). Een voorbeeld van afspraken die gemaakt kunnen worden is hoe vaak er back-ups gemaakt moeten worden en hoe vaak deze worden getest.
Hoe nu verder?
Hiervoor hebben we het wettelijk kader en het vastleggen van afspraken in overeenkomsten besproken. De vervolgvraag is nu; wat kun je als organisatie nog meer doen om datalekken te voorkomen? De AVG en de normen bieden hiervoor een aantal handreikingen. In deel 2 van deze serie worden verschillende organisatorische maatregelen besproken die een organisatie kan treffen om datalekken te voorkomen.