Het ziekenhuis OLVG zou onvoldoende beveiligingsmaatregelen hebben getroffen, waardoor werkstudenten alle patiëntdossiers konden inzien. We geven een korte analyse.
Artikel 32 van de Algemene Verordening Gegevensbescherming (AVG) verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische beveiligingsmaatregelen te treffen. Hoe deze maatregelen er in de praktijk uitzien, heeft de wetgever overgelaten aan de verwerkingsverantwoordelijke.[1]
Toegang dossiers
In het voorpaginabericht “Patiëntdossiers in te zien door lek bij ziekenhuis OLVG” [2] van de Volkskrant van 15 februari jl. en de daaropvolgende reactie van het OLVG [3] (die verwerkingsverantwoordelijke is) lopen de feiten uiteen. Waar beiden het wel mee eens zijn, is het volgende:
Werkstudenten hadden toegang tot alle patiëntdossiers.
- Werkstudenten hadden toegang tot alle patiëntdossiers.
- Zij maakten ten onrechte gebruik van deze toegang.
- Een paar maanden na melding hiervan door een werkstudent, hadden de werkstudenten nog steeds toegang tot deze patiëntdossiers.
Beveiligingsmaatregelen
Eén van de beveiligingsmaatregelen die het OLVG heeft genomen, is het verbieden van het verrichten van bepaalde handelingen. De mogelijkheid om deze handelingen te verrichten bestaat echter nog wel steeds. Deze maatregel gaat uit van een ‘mag niet’, terwijl tegelijkertijd sprake is van ‘kan wel’. De werkstudenten mogen de patiëntdossiers niet raadplegen, maar kunnen dit wel.
Als er sprake is van ‘mag-niet-kan-wel’, dan zullen aanvullende beveiligingsmaatregelen nodig zijn, bijvoorbeeld in de handhavende sfeer. Hierbij valt te denken aan controlerende en sanctionerende (straffende) maatregelen. Het OLVG kan de werkstudenten controleren of ze niet ten onrechte gebruik maken van de toegang die ze hebben tot bepaalde patiëntdossiers. Als de werkstudenten het verbod toch overtreden, dan kan het OLVG hier (straffende) maatregelen tegenover zetten.
Veel doeltreffender kan een beveiligingsmaatregel zijn, die eruit bestaat dat de werkstudenten geen toegang hebben tot alle patiëntdossiers. Dit is een maatregel waarbij sprake is van ‘mag-niet-kan-niet’ of ‘mag-niet-kan-soms’ zijn geweest. Zo’n maatregel heeft het meeste effect, omdat de verboden handeling namelijk helemaal niet mogelijk is, of alleen in bepaalde gevallen, of in bepaalde omstandigheden.
Voor het vaststellen van beveiligingsmaatregelen is het van belang, om steeds in de gaten wat de maatregel inhoudt. Stel daarbij de volgende vragen:
- Verbiedt de beveiligingsmaatregel de handeling of maakt de maatregel de handeling onmogelijk/moeilijker om te verrichten?
- Als de beveiligingsmaatregel de handeling (slechts) verbiedt, is er dan een maatregel die controleert op eventuele overtredingen van het verbod?
- Als zou worden vastgesteld dat de verboden handeling is verricht, is er dan een maatregel die de overtreder sanctioneert?
Vragen?
Mocht u vragen hebben over privacy of beveiligingsmaatregelen, neem dan contact met ons op.
—-
1) Art. 4 lid 7 AVG.
2) https://www.volkskrant.nl/nieuws-achtergrond/patientdossiers-in-te-zien-door-lek-bij-ziekenhuis-olvg-~bab966c4/
3) https://www.olvg.nl/nieuws/reactie-berichtgeving-media-privacy