Meldplicht datalekken: veelgestelde vragen

Wanneer is er sprake van een datalek? Welke informatie moet een apotheker aan de Autoriteit Persoonsgegevens (AP) en aan betrokken patiënten melden? De meldplicht Datalekken, die geldt sinds 1 januari 2016, roept in de praktijk veel vragen op. De vragen zijn met name: is dit een datalek en wat moet ik melden?

Bij twijfel over een datalek moet de apotheker de volgende vragen stellen:

  1. Is dit is een datalek?
  2. Moet ik melden aan de Autoriteit Persoonsgegevens?
  3. Moet ik melden aan patiënten?

De deelvragen en antwoorden hieronder helpen om deze 3 vragen goed te kunnen beantwoorden:

Is dit een datalek?

  1. Zijn geconstateerde tekortkomingen in de beveiliging een datalek?
    Nee. Bij een datalek gaat het om onbedoelde toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie.  Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.
  2. Als een bericht met versleutelde gegevens is gelekt, is dat ook een datalek?
    Persoonsgegevens die adequaat zijn versleuteld kunnen na een beveiligingslek nog steeds worden vernietigd, en ook aantasting of onbevoegde wijziging is nog steeds mogelijk (bijvoorbeeld door zogenoemde 'cryptoware', die de reeds versleutelde gegevens nogmaals versleutelt met een sleutel die de verantwoordelijke uitsluitend tegen betaling in zijn bezit kan krijgen). Een beveiligingslek waarbij adequaat versleutelde persoonsgegevens niet alleen zijn blootgesteld aan onbevoegde kennisname, maar ook aan verlies of aan andere vormen van onrechtmatige verwerking, is dus ook een datalek. Zo’n datalek kan ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene en moet daarom ook aan hem of haar worden gemeld.
  3. Gaat het om grote lekken of om ieder lek?
    De omvang van een lek is niet van belang. Als de gelekte gegevens gevoelig van aard zijn (bijvoorbeeld patiëntgegevens) dan is het mogelijk dat u een datalek moet melden waar de persoonsgegevens van slechts één persoon bij betrokken zijn.


Moet ik melden aan de Autoriteit Persoonsgegevens (AP)?

  1. Wanneer moet ik een datalek melden aan de AP?
    Als sprake is van een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking daardoor redelijkerwijs niet valt uit te sluiten. U bent verplicht het datalek te melden aan de AP als:
    1) patiëntgegevens of andere ‘gevoelige gegevens’ zijn gelekt
    2) als het andere persoonsgegevens betreft en de aard en omvang van de inbreuk leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen (bijvoorbeeld: door een technische storing zijn medische gegevens ingezien door onbevoegden).
  2. Hoe moet ik melden aan de AP?
    Melden is mogelijk via een webformulier of via een papieren formulier.
    Melden doet u via het Meldloket Datalekken van de AP
    Bekijk ook de bijlagen bij de Beleidsregels
  3. Wat moet ik melden aan de AP?
    Bij een melding wordt u gevraagd informatie te verstrekken over de aard van de melding (eerste melding of vervolg op een eerdere melding), het wettelijk kader voor deze melding (Wbp of Tw), algemene informatie en contactgegevens, gegevens over het datalek, naar aanleiding van het datalek getroffen  vervolgacties, informatie over het inlichten van patiënten, getroffen technische maatregelen, internationale aspecten en of er nog een vervolgmelding zal volgen.
  4. Wie moet er melden aan de AP?
    De Verantwoordelijke voor de verwerking van de persoonsgegevens is verantwoordelijk voor het melden van een datalek. Dit kan een individuele apotheker of huisarts zijn, maar ook een bestuur van een zorgpraktijk. Wanneer het datalek betrekking heeft op zorg die wordt verleend in georganiseerd verband (bijvoorbeeld door een Huisartsenpost, een Zorggroep of een Gezondheidscentrum ) dan is de organisatie de aangewezen partij om dit te melden bij de AP.

Moet ik melden aan patiënten?

  1. Wanneer moet ik een datalek melden aan de patiënt(en)?
    U moet het datalek 'onverwijld' melden aan 'de betrokkenen', zoals uw patiënten. Na het ontdekken van het datalek mag u enige tijd nemen voor nader onderzoek zodat u de patiënten op een behoorlijke en zorgvuldige manier kunt informeren. Wel moet u er rekening mee houden dat de patiënten naar aanleiding van uw melding mogelijk maatregelen moeten nemen om zich te beschermen tegen de gevolgen van het datalek. Hoe eerder u de betrokkene daarover informeert, hoe eerder deze in actie kan komen. Ook als u niet verplicht bent om een datalek te melden aan patiënten, kunt u ervoor kiezen om dat toch te doen. Dit kan het vertrouwen in uw organisatie vergroten.
  2. Hoe moet ik een datalek melden aan de patiënt(en)?
    Dit doet u op individueel niveau. Ook kunt u kiezen voor een combinatie met algemene voorlichting (via uw website, facebook, twitter, e.d.). In de kennisgeving aan de betrokkene vermeldt u in ieder geval:
    1) wat er aan de hand is (de aard van het datalek)
    2) waar men terecht kan met vragen (telefoonnummer, e-mailadres, chat)
    3) wat men zelf kan doen om de negatieve gevolgen van de inbreuk te beperken (gebruikersnaam en wachtwoord wijzigen). Met uw melding moet u zo veel mogelijk betrokkenen bereiken met informatie die hen helpt om de gevolgen van het datalek voor hun persoonlijke levenssfeer zo veel mogelijk te beperken.
  3. Welke informatie over een datalek moet ik melden aan de patiënt?
    Bij het beschrijven van de aard van de inbreuk kunt u doorgaans met een algemene omschrijving volstaan. U neemt uw contactgegevens op zodat de betrokkene u kan bereiken als hij of zij vragen heeft over het datalek. Verder geeft u aan wat de betrokkene zelf kan doen om de negatieve gevolgen van het datalek te beperken. U moet daarbij denken aan het veranderen van gebruikersnamen en wachtwoorden wanneer deze door de inbreuk mogelijk gecompromitteerd zijn. Het staat u vrij om meer informatie toe te voegen aan de kennisgeving, maar dit is niet verplicht.

Contact

KNMP
Maandag t/m vrijdag 09:00 - 17:00 uur

(070) 373 73 73 communicatie@knmp.nl