Hoe kunt u patiënten contacteren als u thuis niet in de beveiligde systemen van de zorginstelling kunt? Als u wel in die systemen kunt, hoe is dat dan beveiligd? Mag u telefonisch overleggen met collega’s als uw partner het gesprek kan horen? Hoe zit het met losliggende papieren in de woonkamer?

Thuiswerken

Sinds 2018 geldt in Nederland de Algemene Verordening Gegevensbescherming (AVG). De komst van de AVG veranderde niet zoveel aan het medisch beroepsgeheim, maar wel aan hoe persoonsgegevens mogen worden verwerkt en hoe er dient te worden gehandeld bij datalekken. Met name de meldplicht bij datalekken is voor zorgverleners van belang. Ook tijdens de coronacrisis gelden de regels van de AVG onverkort. Juist nu veel mensen ad hoc thuiswerken, is het daarom extra belangrijk aandacht te besteden aan privacy, datalekken en beveiliging.

Eerste hulp bij datalekken

Van een datalek is sprake als persoonsgegevens in handen vallen van een derde die geen toegang tot deze gegevens zou mogen hebben. Als  patiëntgegevens zijn gelekt, moet u dat binnen 72 uur na bekendwording van het lek melden bij de Autoriteit Persoonsgegevens. De omvang van het lek is niet van belang. Ook als het gaat om de gegevens van slechts één persoon, moet dit gemeld worden bij de Autoriteit Persoonsgegevens. Daarnaast moet het datalek onverwijld gemeld worden aan de betrokken patiënt(en). Afhankelijk van de situatie kan de Autoriteit Persoonsgegevens dan besluiten om contact met u op te nemen, bijvoorbeeld om u extra uitleg en advies te geven of een kortlopend onderzoek te starten.

Denk bij datalekken in de thuiswerksituatie bijvoorbeeld aan een partner of huisgenoot die een telefoongesprek tussen u en een patiënt kan horen. Het kan ook gaan om een partner of huisgenoot die toegang heeft tot een computer waarop medische gegevens staan of kunnen worden ingezien. Daarnaast om verlies of diefstal van een (onbeveiligde) telefoon waarop patiëntgegevens staan of een hack van een computer waarop patiëntgegevens kunnen worden ingezien.

Drie praktische tips voor zorgverleners

 1. Volg de ook thuis de aanbevelingen van KNMG op

In navolging van de AVG zijn er voor artsen en andere zorgverleners inmiddels verschillende richtlijnen die aanbevelingen geven over hoe medische gegevens het beste kunnen worden uitgewisseld. Deze regels dienen ook in een thuissituatie opgevolgd te worden. Het gebruik van onbeveiligde e-mailservices zoals Gmail of Hotmail is dus niet verstandig. Daarnaast moet ook in een thuissituatie twee factor authorisatie gebruikt worden. Gebruik dus geen onveilige e-mailservices zoals Gmail of Hotmail en werk niet in dezelfde ruimte met een partner die geen medisch beroepsgeheim heeft.

2. Stel een protocol op

De AVG vereist niet alleen dat u deze naleeft. U moet dat ook altijd kunnen aantonen. Dat wordt ook het accountability-principe genoemd. Organisaties moeten dus op voorhand vastleggen op welke wijze zij gaan voldoen aan de AVG. Het is dus vereist een protocol op te stellen waarin is opgenomen hoe de persoonsgegevens beveiligd worden in een thuiswerksituatie en op welke wijze de medewerkers daarmee omgaan. Het kan wellicht zelfs nodig zijn een data protection impact assessment te maken ten aanzien van het thuiswerken.

3. Investeer: coronacrisis kan nog lang duren

Veel bedrijven en zorginstellingen stellen zich erop in dat de coronacrisis nog maanden tot jaren kan duren. Maar ook ná corona zal thuiswerken waarschijnlijk een belangrijkere plaats in het leven van zorgverleners gaan innemen. Investeringen nodig voor de bescherming van persoonsgegevens zijn dus zeker de moeite waard. Denk hierbij onder meer aan de aanschaf van goede beveiligingssystemen voor computers of een werktelefoon die u niet buitenshuis gebruikt.

Bij twijfel: melden!

Bent u onzeker of zich er nu wel of geen datalek heeft voorgedaan? Meld het incident alsnog bij de Autoriteit Persoonsgegevens. Mocht later blijken dat er toch geen datalek was,dan kunt de melding weer intrekken. Op het niet of te laat melden van een datalek, bij de Autoriteit Persoonsgegevens en de betrokkene, staan echter hoge boetes. Neem daarom het zekere voor het onzekere en meld ook bij twijfel een datalek.

Boetes en schadevergoedingen

De Authoriteit Persoonsgegevens (AP) is belast met de handhaving van de AVG. Onder de Wet bescherming persoonsgegevens, de ‘oude AVG’, leek de AP een tandeloze tijger. Dat is nu beslist niet meer het geval. Het budget van de AP is verdubbeld, onder de AVG heeft zij de nodige bevoegdheden gekregen en zij is niet bang deze te gebruiken.

Niet zo lang geleden kreeg een bedrijf bijvoorbeeld zonder waarschuwing vooraf een boete van 725.000 euro omdat er vingerafdrukken werden verzameld van werknemers. Naast de boetes kunnen patiënten zelf ook schadevergoeding krijgen. De AVG kent een streng aansprakelijkheidsregime, waarbij iedere inbreuk op de AVG tot aansprakelijkheid leidt. Bovendien is het sinds 01 januari 2020 in Nederland ook mogelijk om massa schade claims in te dienen. Bij een groot datalek kunnen alle getroffenen dus ineens een massaclaim indienen.

Stephan Mulders is advocaat bij Mulders Advocaten, hij adviseert voornamelijk ondernemingen en hun bestuurders op juridisch vlak. Momenteel promoveert hij op het gebied van privacyrecht aan de Universiteit Maastricht. Dit blog is samen geschreven met Popeye Mulders. Zij studeert rechten aan de universiteit Maastricht en is juridisch blogger bij Mulders Advocaten.