Het gaat mij er niet om met het vingertje te wijzen, dat zal voldoende gedaan worden. Het ziekenhuis in kwestie lijkt met het externe diagnostiekbedrijf de put gedempt te hebben. De door de Wet bescherming persoonsgegevens vereiste stappen na het constateren van een datalek lijken ook goed gezet. Het kalf is natuurlijk wel verdronken, of de vogel gevlogen, het is maar hoe je er tegenaan kijkt. Vragen die zich opdringen zijn:

  1. Hoe heeft dit kunnen gebeuren? In het bericht het ziekenhuis staat dat de gegevens onbedoeld op de (later gestolen) USB-stick terecht waren gekomen bij onderhoudswerkzaamheden. Daarbij zou een ‘verkeerde instelling’ de oorzaak zijn geweest.
    Hoe zit het dan met privacy-by-design (de onderhoudsfunctie zodanig inrichten, dat externe opslagmedia niet nodig zijn; niet werken met (onbeveiligde) USB-sticks van derden; indien het echt niet anders kan, alleen gecodeerde of gepseudonimiseerde gegevens op opslagmedia van een externe partij zetten, et cetera).
  2. Is het afspreken van ‘verscherpte protocollen’ wel een passende remedie? Uiteraard moeten er eerst noodverbanden worden aangelegd, maar het aanpassen van de programmatuur, het dichtzetten van hardwarepoorten voor onbeveiligde of ongeautoriseerde USB-sticks en dat soort zaken zou men inmiddels wel mogen verwachten. Of staat dat in die protocollen? Als dat zo is, zouden ziekenhuis en diagnostiekbedrijf meer duidelijkheid kunnen scheppen en een hogere mate van zekerheid verstrekken voor de toekomst.
  3. De patiënten zijn persoonlijk ingelicht en hebben excuses aangeboden gekregen, aldus het bericht. Dat is natuurlijk netjes, maar de vraag is natuurlijk welke (letselschade-)advocaat hierop duikt om er voor de patiënten nog een slaatje uit te slaan. Niet dat ik dat wenselijk acht, maar de onrechtmatigheid van het gedrag lijkt gegeven (strijd met een wettelijke plicht).

 

En om bij de Hollandse spreekwoorden en gezegden te blijven: er zit nog een oude koe in de sloot. Het desbetreffende ziekenhuis is in 2012 al in opspraak gekomen wegens schending van de privacy van patiënten door het toestaan van het maken van opnames (35 op afstand bedienbare camera’s, onder meer op de afdeling spoedeisende hulp, die beeld- en geluidopnamen maakten voor het tv-programma ’24 uur tussen leven en dood’).

Nu is mij nog niet duidelijk hoe de diefstal heeft plaatsgevonden, maar inmiddels mag toch duidelijk zijn dat het opslaan van (bijzondere) persoonsgegevens op USB-sticks, externe harddrives etc. de neiging heeft om fout te gaan. Het is net als met boterhammen met jam, die vallen ook nooit met de jam naar boven op de vloer. Murphy’s Law: anything that can go wrong, will go wrong. Diefstal van een USB-stick is een voorzienbaar risico. Mis de boot niet en zorg dat de meest voor de hand liggende maatregelen worden genomen voordat het te laat is. Dit is niet alleen een wettelijke plicht, maar ook een maatschappelijke plicht, waar de waarde van uw organisatie aan kan worden afgemeten.

Heeft u zicht op het juridische perspectief op de IT-diensten, die u verleent en afneemt? Weet u waar u mee bezig bent op het gebied van privacy? Voldoet uw organisatie aan alle verplichtingen van de Wbp en bent u tijdig voorbereid op de invoering van de AVG, zodat u per 25 mei 2018 in overeenstemming daarmee handelt? Heeft u de juiste instelling? Neem vrijblijvend contact met ons op om te bekijken hoe wij – of andere adviseurs, waarmee wij goede ervaringen hebben – u verder kunnen helpen bij het vergroten van het maatschappelijk vertrouwen in uw organisatie.

Vragen?

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.