Onlangs was Samen Veilig Midden-Nederland in het nieuws in verband met een datalek. Een paar duizend dossiers met gevoelige medische informatie van kinderen zouden terecht zijn gekomen bij derden. Hoe kon dit gebeuren? En misschien nog wel belangrijker, hoe had dit voorkomen kunnen worden?
Oorzaak
“Het datalek bij Samen Veilig Midden-Nederland is ontstaan door het gebruik van oude e-mailadressen met een oude domeinnaam,” aldus de Minister van VWS.[2] Hierdoor zijn dossiers met medische gegevens steeds naar een e-mailadres gestuurd, waarvan de bijbehorende domeinnaam sinds december 2017 niet langer was geregistreerd door Samen Veilig Midden-Nederland. De betreffende domeinnaam kon vervolgens door een andere partij worden geregistreerd, waarna deze de toegestuurde dossiers ontving.
Maatregelen ter voorkoming
Om een dergelijk datalek te voorkomen, is het ten eerste van belang om te weten hoe stromen van persoonsgegevens lopen en waar binnen de organisatie gegevens worden verwerkt. Een verwerkingsregister is hiervoor een nuttig middel. Daar is ook onze Europese wetgever het mee eens, nu de AVG verwerkers in veel gevallen verplicht tot het maken en bijhouden van een verwerkingsregister.[3] Of het bij Samen Veilig Midden-Nederland ontbrak aan een dergelijk register is niet duidelijk. Dat het bij het opheffen van de registratie van de domeinnaam ontbrak aan bewustzijn dat naar dit adres medische gegevens werden gestuurd, lijkt echter vanzelfsprekend.[4]
Ten tweede heeft de verwerkingsverantwoordelijke de plicht om passende technische en organisatorische beveiligingsmaatregelen te nemen.[5] Waar medische persoonsgegevens (wat bijzondere persoonsgegevens zijn) worden verwerkt, zullen zwaardere beveiligingsmaatregelen moeten worden getroffen. Er bestaat consensus dat deze gegevens zowel bij opslag als doorgifte versleuteld moeten zijn en dat alleen de beoogd ontvanger toegang kan krijgen tot deze gegevens. Of de gegevens beveiligd waren door middel van versleuteling is niet bevestigd, maar dat niet alleen de beoogd ontvanger toegang kon krijgen tot de dossiers, heeft Samen Veilig Midden-Nederland inmiddels erkend.
Voor meer informatie.
Meer weten?
Wilt u meer weten over juridische zaken, neemt u dan contact met ons op.
[1] Artikel 4 lid 12 AVG.
[2] Brief van 12 april 2019 van de Minister van Volksgezondheid, Welzijn en Sport aan de Voorzitter van de Tweede Kamer der Staten Generaal, kenmerk 1517631-189562-DICIO, pag. 2, antwoord op vraag 1 en 2.
[3] Artikel 30 lid 5 AVG.
[4] Brief van 12 april 2019 van de Minister van Volksgezondheid, Welzijn en Sport aan de Voorzitter van de Tweede Kamer der Staten Generaal, kenmerk 1517631-189562-DICIO, pag. 2, antwoord op vraag 1 en 2.
[5] Artikel 24 lid 1 AVG.