Heb jij wel eens een datalek moeten melden? Of heb je getwijfeld of het moest? Dat is niet zo vreemd. Wij krijgen van onze huisartsenpraktijken hier regelmatig vragen over.
Daarom hier de informatie nog eens op een rijtje. Met een korte kennis test.
Wat is een datalek?
Om goed om te gaan met datalekken is bewustzijn nodig. Bij zowel de huisartsen als de medewerkers van de huisartsenpraktijk. Hier ging datalekken in de huisartsenpraktijk voorkomen over. Met daarin een korte kennistest die al veel gemaakt is!
Maar wat moet je ook al weer doen na het constateren van een datalek?
Als opfrisser nog een keer het overzicht van de te nemen stappen.
5 stappen bij een datalek
STAP 1 Breng de situatie in kaart. Wat is er precies gebeurd. Welke persoonsgegevens zijn gelekt? Wat is de omvang van het datalek? Welke personen hebben mogelijk toegang gehad tot de data?
STAP 2 Neem maatregelen om erger te voorkomen. Vraag bijvoorbeeld aan de onterechte ontvanger van een brief of email om deze te verwijderen.
STAP 3 Bepaal of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Belangrijk daarbij is wat de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Anders gezegd, het risico op misbruik van de gegevens, de inbreuk op hun privacy en de schadelijke gevolgen daarvan.
De omvang van een lek is niet van belang. Als de gelekte gegevens gevoelig van aard zijn (bijvoorbeeld medische gegevens van de patiënt) dan maakt het niet uit om hoeveel personen of gegevens het gaat.
Wat zijn gevoelige gegevens?
Volgens de Algemene Verordening Gegevensbescherming (AVG) worden gevoelige gegevens (ook wel bijzondere persoonsgegevens genoemd) als volgt gedefinieerd:
- Gezondheid: Informatie over de fysieke of mentale gezondheid van een persoon, inclusief medische dossiers, behandelingen en diagnoses.
- Ras of etnische afkomst: Gegevens die betrekking hebben op het ras of de etnische achtergrond van een persoon.
- Politieke opvattingen: Gegevens die de politieke overtuigingen of voorkeuren van een persoon beschrijven.
- Religieuze of filosofische overtuigingen: Informatie over de religieuze of levensbeschouwelijke overtuigingen van een individu.
- Lidmaatschap van vakbonden: Gegevens die betrekking hebben op het lidmaatschap van een vakbond.
- Genetische en biometrische gegevens: Gegevens die betrekking hebben op iemands genetische kenmerken of biometrische kenmerken (zoals vingerafdrukken of gezichtsherkenning) die een uniek identificerend kenmerk zijn.
- Sexuele oriëntatie of seksuele levenssfeer: Informatie die betrekking heeft op de seksuele voorkeuren of het privéleven van een persoon.
Bron: AVG – Bijzondere persoonsgegevens
Als er patiëntgegevens zijn gelekt, moet je dat binnen 72 uur na het bekend worden ervan melden bij de AP. Bij twijfel meld je ook; je kunt een melding later altijd weer intrekken. Ten onrechte niet melden kan leiden tot hoge boete. Je meldt een datalek via het Meldloket Datalekken van de AP.
STAP 4 Bepaal of de betrokkenen op de hoogte gesteld moeten worden.
Als een datalek waarschijnlijk een hoog risico inhoudt op de bescherming van de persoonlijke levenssfeer of op schade voor de persoon (ook reputatieschade), dan moet je de patiënt informeren.
Maar ook als er geen mededelingsplicht is op grond van de AVG, is er veel voor te zeggen om het toch aan de patiënt te vertellen. Dit vanwege de vertrouwensrelatie. Stel dat de patiënt er later toch achter komt, dan zou hij zich kunnen afvragen wat je nog meer voor hem achterhoudt. Dat komt de vertrouwensrelatie niet ten goede.
De patient moet zeker op de hoogte gesteld worden wanneer hij passende maatregelen moet kunnen nemen (bijvoorbeeld het instellen van een nieuw wachtwoord).
STAP 5 Registreer het datalek. Welke data, de oorzaak, gevolgen en welke maatregelen zijn getroffen. Dit zijn herstel maatregelen maar ook maatregelen om herhaling in de toekomst te voorkomen.
Wij hebben een ontzorgd kwaliteitssysteem waarin je ook de datalekken kan registreren. Door het slimme meldformulier wordt je door alle stappen heengeleid.
Benieuwd hoe ons systeem er uit ziet? Plan hier een vrijblijvende, kostenloze online demo (via Teams).
Wil je je kennis of over de meldplicht van datalekken toetsen?
Doe dan de test met concrete voorbeelden uit de huisartsenpraktijk.
Kennistest: Meldplicht Datalekken in de Huisartsenpraktijk
Hier is een korte multiple-choice quiz om de kennis over datalekken en meldplicht te testen.
1. Wat is een datalek?
A. Het per ongeluk openen van het dossier van een verkeerde patiënt, zonder dat gegevens worden aangepast of gedeeld.
B. De toegang tot, vernietiging, wijziging of ongeautoriseerde openbaarmaking van gevoelige gegevens.
C. Wanneer een patiënt weigert om zijn gegevens in het systeem te laten opnemen.
D. Het verliezen van een fysieke sleutel van de praktijk.
Antwoord:
B. De toegang tot, vernietiging, wijziging of ongeautoriseerde openbaarmaking van gevoelige gegevens.
2. Wanneer moet je een datalek melden aan de patiënt?
A. Altijd, ongeacht de ernst van het lek.
B. Alleen als het datalek waarschijnlijk negatieve gevolgen heeft voor de rechten en vrijheden van de patiënt.
C. Wanneer de patiënt hier zelf om vraagt.
D. Pas als de Autoriteit Persoonsgegevens (AP) daar opdracht toe geeft.
Antwoord:
B. Alleen als het datalek waarschijnlijk negatieve gevolgen heeft voor de rechten en vrijheden van de patiënt.
3. Wanneer moet je een datalek melden aan de Autoriteit Persoonsgegevens (AP)?
A. Binnen 72 uur, tenzij het datalek geen risico vormt voor de rechten en vrijheden van betrokkenen.
B. Binnen één week na ontdekking van het datalek.
C. Alleen als er sprake is van medische gegevens die openbaar zijn geworden.
D. Wanneer het datalek opzettelijk door een medewerker is veroorzaakt.
Antwoord:
A. Binnen 72 uur, tenzij het datalek geen risico vormt voor de rechten en vrijheden van betrokkenen.
4. Wanneer moet je een datalek registreren in het interne datalekregister van de praktijk?
A. Alleen bij grote datalekken die ook gemeld moeten worden aan de AP.
B. Altijd, ongeacht of het datalek gemeld moet worden aan de AP of de patiënt.
C. Alleen wanneer medische gegevens betrokken zijn bij het lek.
D. Pas als er financiële schade is ontstaan door het datalek.
Antwoord:
B. Altijd, ongeacht of het datalek gemeld moet worden aan de AP of de patiënt.
Score:
- 4 goed: Uitstekend! Je hebt de meldplicht datalekken helemaal begrepen.
- 3 goed: Goed gedaan, maar kijk nog eens naar de meldplicht aan de patiënt en de AP.
- 2 of minder goed: Het is belangrijk om je kennis over datalekken op te frissen.
Deze quiz kan helpen medewerkers bewust te maken van de regels rondom datalekken, zodat zij in de praktijk adequaat kunnen handelen.