Ed Maagdelijn - 25-11-2015

Fijne feestdagen en een weinig lekkend nieuwjaar!

Ik weet niet of u het zich als bestuurder van een zorgorganisatie realiseert, maar op 1 januari 2016 treedt de meldplicht datalekken in werking.

Ik weet niet of u het zich als bestuurder van een zorgorganisatie realiseert, maar op 1 januari 2016 treedt de meldplicht datalekken in werking. Officieel heet de wet Meldplicht datalekken en uitbreiding boetebevoegdheid College Bescherming Persoonsgegevens. Als het beestje maar een naam heeft.

Het komt er in uw geval op neer dat u als bestuurder van een private of publieke zorginstelling die persoonsgegevens verwerkt met ingang van 1 januari 2016 wordt verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens.

Ach hoor ik u denken, is dat nu zo schokkend? Ik zou toch denken van wel. Laat ik u even meenemen.

De meldplicht komt ons vanuit Brussel tegemoet snellen. Het is een onderdeel van de in wording zijnde Europese “privacy” Verordening. De nieuwe Verordening zal in tegenstelling tot de bestaande privacyrichtlijn rechtstreekse werking hebben. Dat wil zeggen dat de Verordening voor alle lidstaten niet eerst in nationale wetgeving, zoals de Wet Bescherming Persoonsgegevens, hoeft te worden omgezet.

Wanneer de nieuwe verordening van kracht wordt, komt de in Nederland van toepassing zijnde Wet Bescherming Persoonsbescherming te vervallen.

Ik voorspel u het zal de boel behoorlijk gaan aanscherpen. Bij het bewust of onbewust lekken van data is er geen ontkomen meer aan en worden er substantiële boetes opgelegd. Lekken wil zeggen als de technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijke kans op verlies of onrechtmatige verwerking.

Kort door de bocht, straks kan ook een boete worden opgelegd bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook bijvoorbeeld als de beveiliging van de gegevens niet deugt.

Nog niet schokkend genoeg met een blik op uw eigen zorgorganisatie? Boetes kunnen oplopen tot maximaal € 810.000 of, als dat hoger is, 10% van de omzet van een organisatie.

Eisen omtrent de privacy in de zorg zullen met de komst van de meldplicht datalekken en in afwachting van de nieuwe Verordening flink aangescherpt worden. Met in het achterhoofd de pijnlijke conclusies uit de CBP rapportage uit 2013 over de toegang tot digitale patiëntendossiers binnen zorginstellingen, wens ik u straks in ieder geval fijne feestdagen en een weinig lekkend nieuwjaar.

Ed Maagdelijn, partner Zorgvuldig Advies