Column


IT-jurist Peter van Schelven over...

Meldplicht voor interne datalekken?

Met de invoering begin dit jaar van een meldplicht voor ernstige datalekken, is discussie ontstaan over de precieze reikwijdte van de wettelijke regeling waarin deze verplichting staat beschreven. Dus: wat is nou eigenlijk een datalek? Wie een antwoord zoekt op de vraag of een beveiligingsincident rondom persoonsgegevens bij de Autoriteit Persoonsgegevens en de betrokken burgers moet worden gemeld, zal ten minste moeten weten of sprake is van een datalek.

Het is van belang hier te beklemtonen dat de term 'datalek' in de tekst van de Wet bescherming persoonsgegevens nergens te vinden is. Velen – ook ik – gebruiken het begrip in publicaties en presentaties echter veelvuldig, omdat het inmiddels ingeburgerd is. In al zijn eenvoud bekt de term bovendien lekker. Maar zonder goede uitleg zegt het begrip datalek op zich niet zo veel. De term kan de onwetende lezer of toehoorder mogelijk op het verkeerde been zetten.

Organisatorische beveiliging
Duidelijk is wel dat de wettelijke spelregels over de meldplicht gelden als persoonsgegevens ongewild buiten de eigen organisatie ‘op straat’ komen te liggen, hetzij doordat zij beschikbaar worden voor een groot publiek dan wel bij één enkel persoon terechtkomen. Ook de vernietiging van persoonsgegevens valt onder de meldplicht, als de gegevens op geen enkele manier meer zijn terug te halen.

Minder bekend is dat de meldplicht ook speelt bij interne incidenten, bijvoorbeeld als een werknemer zich binnen de eigen organisatie ongeautoriseerd toegang verschaft tot persoonsgegevens die niet voor hem of haar bestemd zijn. Wanneer iemand op die manier de grenzen van zijn functie schendt, vormt dat een inbreuk op de organisatorische beveiliging en is er sprake van een onrechtmatige raadpleging van gegevens. Kortom, ook als de buitenwereld er niet bij betrokken is, kan zich een datalek voordoen.

Een intern datalek moet eveneens gemeld worden bij de Autoriteit Persoonsgegevens, zij het alleen als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Bij dergelijke ernstige interne incidenten geldt dus ook de meldplicht. Er is echter niet veel fantasie nodig om in te zien dat de beslissing om interne incidenten wel of niet te melden het management van een organisatie voor een lastige gewetensvraag plaatst: hang je de vuile was wel of niet buiten?

Fins staatsziekenhuis
De meldplicht voor interne incidenten heeft in zekere zin een voorloper in de aansprakelijkheid voor schadeclaims waaraan je je als organisatie blootstelt als je de interne organisatorische beveiliging van persoonsgegevens niet op orde hebt. Een ‘klassiek geval’ op dat gebied betrof de veroordeling in 2008 van een Fins Staatsziekenhuis door het Europese Hof voor de Rechten van de Mens. Dit rechterlijk college te Straatsburg oordeelde dat het ziekenhuis het privacyrecht van een van zijn medewerksters – die toevalligerwijs tevens HIV-patiënte bij een andere afdeling van het ziekenhuis was – had geschonden toen een collega ongeautoriseerd haar digitale medische file had bekeken. De zeer laakbaar handelende collega in kwestie vond het wel handig om meer over de gezondheid van zijn medewerkster te weten met het oog op een beslissing over het continueren van de arbeidsrelatie. Het hof deelde een genadeloze tik uit vanwege de gaten in de organisatorische beveiliging. Ook het feit dat het ziekenhuis geen logbestanden bijhield van raadplegingen van de dossiers kon de toets der kritiek niet doorstaan. Het leverde de dame in kwestie een schadevergoeding van ruim 33 duizend euro op.

Meer nog dan toen zullen organisaties door de komst van de meldplicht voor datalekken hun interne organisatorische beveiliging in orde moeten hebben. Daarbij moet voor ogen worden gehouden dat het daarbij niet alleen aankomt op het maken van mooie papieren plaatjes van werkprocessen, functiescheidingen en de gerelateerde interne rechten van toegang, gebruik en mutatie van persoonsgegevens. De uitspraak rondom de toegang tot medische data leert dat je de bescherming ervan ook daadwerkelijk actief moet waarborgen.


Lees meer over