Blog

Datalek in de zorg: medische gegevens en kinderen in de AVG

Het was afgelopen week groot in het nieuws: uiterst gevoelige persoonsgegevens van kinderen werden door het overnemen van een domeinnaam vrij toegankelijk. Het is bijzonder betreurenswaardig dat het gaat om twee onderwerpen die in de Algemene Verordening Gegevensbescherming (AVG) juist extra beschermd worden: medische gegevens (bijzondere persoonsgegevens) en de privacy van kinderen. In deze blog leggen we uit wat er precies gebeurd is en hoe de AVG juist dit soort situaties heeft willen voorkomen.

Samen Veilig Midden-Nederland: datalek

Domeinnaamwijziging leidt tot datalek

De Utrechtse jeugdzorginstelling Samen Veilig Midden-Nederland heette tot 2015 Bureau Jeugdzorg Utrecht. Voor die oude naam had de instelling een domeinnaam geregistreerd. Toen zij haar naam veranderde werd besloten de bijbehorende domeinnaam niet langer te gebruiken. Dat had tot gevolg dat die domeinnaam door derden kon worden gekocht. Het kopen van de domeinnaam bleek meer te betekenen dan je op het eerste gezicht kon vermoeden: de koop betekende ook de overname van voormalige e-mailadressen waar nog automatisch talloze dossiers naar werden verstuurd.

De twee personen die de domeinnaam kochten en met dit verhaal naar RTL Nieuws stapten geven aan dat het gaat om 3.278 dossier van 2.702 cliënten, waarvan ⅔e onder de 18 jaar is. Omdat het om medische dossiers gaat van kinderen uit de jeugdzorg, zijn het ernstige verhalen. De namen van de personen worden vermeld, waardoor de informatie direct aan een persoon te koppelen is. Ook bleek het om ‘platte teksten’ te gaan, die niet versleuteld of op een andere manier beveiligd waren. Onmiskenbaar een enorm datalek, met grote impact.

datalek

Persoonsgegevens niet op straat

Het RTL Nieuws heeft in haar berichtgeving niet veel details prijsgegeven en ook de twee klokkenluiders hebben de informatie niet op een andere manier naar buiten gebracht. Daardoor blijft de schade in dit geval binnen de perken. Toch tonen dit soort gevallen aan dat de beveiliging van hoogstpersoonlijke gegevens nog lang niet op orde is. Ook blijkt maar weer dat de regels uit de AVG niet alléén maar zwaarbelastend en irritant zijn maar ook een doel dienen.

Het datalek is uiteraard gemeld bij de Autoriteit Persoonsgegevens. Hoe het precies zit met de meldplicht datalekken kunt u lezen in een eerdere blog. Maar hoe zit het nu met de regels van de AVG voor de bescherming voor medische gegevens en bescherming voor minderjarigen?

Bescherming van medische gegevens

Medische gegevens zijn geen gewone persoonsgegevens, maar zijn in de AVG extra beschermd als ‘bijzondere persoonsgegevens’. Dit zijn gegevens die door hun aard bijzonder gevoelig zijn. Bijzondere persoonsgegevens moeten extra beschermd worden omdat de verwerking van deze gegevens significante risico’s kan meebrengen voor de grondrechten en fundamentele vrijheden (overweging 51 van de AVG).

Deze bescherming komt bijvoorbeeld tot uiting in artikel 9 van de AVG:

“Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.” (onderstreping door mij)

In lid 2 staan wel enkele uitzonderingen op deze hoofdregel, waardoor het bijvoorbeeld voor instellingen toch mogelijk is om de gegevens te bewaren, in te zien en te ordenen.

Artikel 9 is anders ingestoken dan als het gaat om ‘gewone’ persoonsgegevens. Bij gewone persoonsgegevens is het artikel in de AVG positief geformuleerd, wat betekent dat de verwerking mogelijk is als er voldaan wordt aan bepaalde voorwaarden. In artikel 9 is de formulering negatief, wat betekent dat de verwerking in beginsel niet is toegestaan, behalve als er aan bepaalde voorwaarden wordt voldaan.

medische persoonsgegevens

Bescherming voor kinderen in de AVG

Volgens de AVG hebben kinderen recht op specifieke bescherming. In 2009 benadrukte de Werkgroep 29 al (tegenwoordig genaamd de European Data Protection Board, een gezaghebbend adviesorgaan) dat een kind nog in ontwikkeling is, en daarom meer bescherming verdient. In de AVG (overweging 38) staat dat kinderen zich minder bewust zullen zijn van de betrokken risico’s, de gevolgen, de waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens.

Ook in een aantal artikelen uit de AVG komt terug dat als er kinderen bij de verwerking betrokken zijn, er extra maatregelen moeten worden genomen. Zo mag een bedrijf gegevens van een persoon verwerken als het bedrijf daartoe gerechtvaardigde belangen heeft, maar dat gaat niet door als de belangen of de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen, “met name wanneer de betrokkene een kind is.”(artikel 6 sub f AVG)

Opvallend, maar niet verrassend, is dat er in de AVG dus extra aandacht uitgaat naar medische gegevens en de verwerking van gegevens over kinderen.

Een datalek voorkomen: zorg voor goede beveiliging

Hoe had dit datalek nou voorkomen kunnen worden? Dit is een vraag die gaat over de beveiliging van de gegevens.

In artikel 32 AVG staat dat er voor passende technische en organisatorische maatregelen moet worden gezorgd, die een op het risico afgestemd beveiligingsniveau kunnen waarborgen. In het geval van de jeugdinstelling had een toegangscode waarschijnlijk al kunnen voorkomen dat de dossiers direct toegankelijk waren… dus voor de stichting is er behoorlijk wat werk aan de winkel.

De twee klokkenluiders hadden met hun actie een doel: waarschuwen voor onzorgvuldigheid in de zorgsector. Het is te hopen dat deze zaak ervoor zorgt dat iedereen die (gevoelige) gegevens verwerkt, nog eens naar zijn beveiligingsmaatregelen kijkt. Belangrijk daarbij is om voor ogen te houden dat een e-mail naar een verkeerd adres of een brief naar een oud adres al een datalek kan zijn. Belangrijk is dan om te bedenken hoe kan worden voorkomen dat hierbij meteen een hoop gegevens op tafel liggen.

 

Gerelateerde berichten