Melden datalek vanaf 1 januari 2016 verplicht

28 oktober 2015

Het is vanaf 1 januari 2016 wettelijk verplicht om ernstige datalekken te melden bij de privacytoezichthouder, het College Bescherming Persoonsgegevens (CBP, vanaf 2016: Autoriteit Persoonsgegevens (AP)). Dit is het gevolg van de Wet meldplicht datalekken en uitbreiding boetebevoegdheid.

Een datalek is een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Hieronder valt niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Voorbeelden: een kwijtgeraakte USB-stick met persoonsgegevens, een verloren of gestolen laptop of een hack van een databestand met persoonsgegevens.

Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de betrokkenen (in het geval van de apotheek, de patiënten), moet het lek ook aan hen worden gemeld.

Het CBP/AP gaat richtsnoeren opstellen met checklists.

Melden of niet?

De KNMP adviseert apothekers het altijd te melden als patiënt- en medicatiegegevens in de apotheek (of de cloud) zijn gelekt, zowel bij het CBP/AP als bij betrokkenen (patiënten). Dit omdat patiënt- en medicatiegegevens bijzondere persoonsgegevens zijn. Het CBP/AP zal daarom snel concluderen dat het om een – meldplichtig -  ernstig datalek gaat. Door het lek altijd te melden, voorkomen apotheken dat zij een hoge boete opgelegd krijgen.

Voorbereiden op meldplicht

Apothekers kunnen alvast maatregelen treffen om zich voor te bereiden op de inwerkingtreding van de meldplicht. Het belangrijkste is dat de persoonsgegevens die worden verwerkt goed zijn beveiligd.

Daarnaast kunnen apothekers ter voorbereiding:

  • nagaan of de apotheekdatabeveiliging up-to-date is (NEN 7510 en volgende);
  • beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP;
  • nadenken over manieren om betrokkenen te informeren bij een datalek;
  • nadenken over het omgaan met signalen uit de buitenwereld over mogelijke datalekken;
  • afspraken met bewerkers controleren.

Artikel 13 van de Wbp en de Gedragscode Elektronische Gegevensuitwisseling in de Zorg verplichten apotheken al tot voldoende beveiligingsmaatregelen. Voor apotheken geldt de beveiligingsnorm NEN 7510:2011, NEN 7512.

Bekijk ook de Richtlijn Informatiehuishouding en -beveiliging

Verhoging bestuurlijke boete

Het CBP/AP zal als gevolg van de wijziging van de Wbp ook in meer gevallen een bestuurlijke boete kunnen opleggen aan overtreders van privacyregels. Vanaf 1 januari 2016 is dat mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is. Maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers, zoals gezondheidsgegevens, is misbruikt. Het maximum van de bestuurlijke boete: € 810.000 of 10% van de jaaromzet.

Meer informatie

Eerstekamer.nl: Meldplicht datalekken en uitbreiding boetebevoegdheid CPBweb.nl: CPB publiceert conceptboetebeleidsregels

 

Dit nieuwsbericht is onderdeel van nieuwscategorie: Praktijkvoering