Aleid Wolfsen (AP): “De zorgsector is welwillend om datalekken te melden”

11 APR, 2018

Aleid Wolfsen Autoriteit Persoonsgegevens

In de centrale hal van het kantoor van de Autoriteit Persoonsgegevens (AP) in Den Haag staat een cameraploeg. De telefoon staat al de hele ochtend roodgloeiend. Aanleiding is de melding van een datalek in het Haga-ziekenhuis. Tientallen medewerkers van het Haagse ziekenhuis zouden volgens een klokkenluider ongeoorloofd het medische dossier van Samantha de Jong, beter bekend als reality-ster Barbie, bekeken hebben. Tussen de bedrijven door vinden we een geschikt moment om met Aleid Wolfsen, voorzitter van de AP, te spreken over privacy, datalekken en de impact van nieuwe Europese wetgeving op de zorgsector.

De Autoriteit Persoonsgegevens is de Nederlandse instantie die toezicht houdt op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Met al het nieuws rondom privacy en data – zoals camera’s in de kleedkamer van een sauna, de ophef rond Cambridge Analytica en Facebook, en de ongeoorloofde gegevensverzameling van Microsoft – staat de AP meer dan ooit tevoren in de publieke belangstelling.

Ook de datum 25 mei 2018 speelt een grote rol bij de toezichthouder. Dan wordt namelijk de Algemene Verordening Gegevensbescherming (AVG) binnen de Europese Unie van kracht. Die nieuwe wetgeving geeft burgers meer rechten, bedrijven en organisaties meer verplichtingen en biedt nationale toezichthouders als de AP meer handvatten om organisaties die slordig met persoonsgegevens omgaan aan te pakken, bijvoorbeeld met flinke boetes voor de bestuurders.

Ombudsman voor privacyklachten

Bij de publieksvoorlichters van de toezichthouder komen dagelijks vragen en meldingen binnen van bedrijven, organisaties en burgers. Burgers bellen naar aanleiding van berichten in de media, bijvoorbeeld over een digitaal leerling-volgsysteem, maar ook met vragen over inzage in hun medische dossier, of het verwijderen van informatie uit hun dossier. Veruit de meeste telefoontjes komen van bedrijven die zich bezighouden met verwerking van persoonsgegevens, in verschillende sectoren. Wat mag wel en wat mag niet met die data, hoe moeten bedrijven zich voorbereiden en wat betekent de nieuwe wetgeving voor hun sector?

Autoriteit Persoonsgegevens

Volgens AP-voorzitter Aleid Wolfsen is de rol van de AP veranderd. “Voorheen zaten we meer op afstand, nu hebben we meer dan ooit een belangrijke taak om mensen voor te lichten. We worden als het ware een ombudsman voor de privacy, burgers kunnen met klachten en vragen over het gebruik of misbruik van hun persoonsgegevens bij ons terecht. Dat betekent dat we niet langer in onze toren blijven zitten om toezicht te houden, maar organisaties proactief gaan ondersteunen bij het bewust worden van hun verantwoordelijkheid rondom privacy en de praktische aanpak daarvan.”

De AP wil burgers ook wijzen op hun rechten. “We merken dat veel mensen privacy belangrijk vinden, maar er ook in berusten dat ze niet veel eraan kunnen doen. ‘Zij zijn groot, ik ben klein, mijn gegevens liggen toch al op straat’, dat idee hebben veel mensen. We willen burgers helpen om hun rechten uit te oefenen.”

Klant is koning, ook in het ziekenhuis

Wolfsen betreurt het voorval in het Haga-ziekenhuis, maar zo’n concrete casus is volgens de voorzitter een voorbeeld om iedereen weer op scherp te zetten. “In andere sectoren hoor je ‘de klant is koning’. In het ziekenhuis wil je ook dat jouw data behandeld worden alsof het de medische gegevens van de koning zijn. Je hebt recht op bescherming van je persoonlijke levenssfeer, Wat is er intiemer dan jouw gezondheidsgegevens? Dat zijn vertrouwelijke data die je alleen met jouw arts deelt, en niet met de rest van de afdeling.”

Doordat het datalek in het Haga-ziekenhuis om een bekende Nederlander gaat, haalde het de binnenlandse pers. Toch is het niet de eerste keer dat er zoiets is voorgevallen, geeft Wolfsen aan. “Wij hebben vaker vergelijkbare signalen ontvangen.” Als voorbeeld noemt de bestuurder een burenruzie, waarbij een van de buren (werkzaam in een ziekenhuis) data uit het medische dossier van een andere buurman had gevist en dit tegen hem gebruikte in de ruzie. De gedupeerde buurman benaderde de AP over deze kwestie en de Autoriteit ging op onderzoek uit bij het desbetreffende ziekenhuis.

Datalekken per sector

In totaal werden er in 2017 10.000 datalekken gemeld bij de AP. Dan aantal is met meer dan 70 procent toegenomen ten opzichte van het jaar daarvoor. De meeste meldingen kwamen van organisaties uit de sectoren gezondheid en welzijn (3105 meldingen), openbaar bestuur (2000 meldingen) en financiële dienstverlening (1984).

Wolfsen: “De zorg staat altijd in de top drie van sectoren met de meest gemelde datalekken. Dat is niet enkel een negatieve score, maar ook iets positiefs: het is duidelijk dat men zich in deze sector extra bewust is van de gevoeligheid van de data waarmee zij werken en dat de welwillendheid om een datalek te melden groot is.”

Achterstallig onderhoud

Volgens Wolfsen krijgt de AP ook regelmatig meldingen binnen vanuit de zorg die strikt genomen niet bij de Autoriteit gemeld hoeven te worden. “Als een patiëntenportaal op een pc in de gang open heeft gestaan, maar niemand erin heeft gekeken, dan heb je wel een beveiligingsissue – er had iemand in kunnen kijken – maar is het formeel geen datalek. Je bent als ziekenhuis in zo’n geval wel verplicht de patiënt in te lichten, maar de AP hoeft niet ingelicht te worden.” Wolfsen vindt het een goed teken dat zorgprofessionals toch liever geen risico nemen. “Door de AP erbij te betrekken, kunnen we wel meekijken, eventuele feedback geven en mogelijk potentiële fouten voorkomen.”

Is de nieuwe Europese wetgeving die ook voor de zorgsector geldt eigenlijk geen ‘achterstallig onderhoud’, zaken die commerciële bedrijven al lang geregeld hebben met een privacyreglement, chief security officer en meldpunt voor datalekken? Wolfsen: “Het ‘achterstallige onderhoud’ in de zorg lijkt ten opzichte van andere sectoren nog net wat groter. De zorgsector is hierin niet uniek, maar ten opzichte van andere sectoren zijn zorgprofessionals doorgaans minder thuis in de digitale wereld dan professionals in andere sectoren. Van een oncoloog verwachten we dat hij of zij uitmuntende vakkennis heeft maar niet dat hij of zij precies weet hoe alle ICT-systemen van het ziekenhuis in elkaar zitten. Maar in het ziekenhuis waar deze oncoloog werkt, moet deze kennis wel aanwezig zijn. Ik ben van mening dat je niet goed kunt leidinggeven aan een zorginstelling als je de digitale wereld niet goed begrijpt: je moet die wereld door en door kennen.”

“Ziekenhuizen moeten de digitale wereld ook door en door kennen”

Puntjes op de i

Wanneer je als zorginstelling al volgens de Wet bescherming persoonsgegevens (Wbp) werkt, is het voldoen aan de AVG een kwestie van de punten op de i zetten, zegt Wolfsen. “Als je nog niet conform de Wpb werkt, dan moet je nu flink aan de bak. Voorheen had de AP al de wettelijke bevoegdheid om boetes op te leggen, de drempel om die op te leggen wordt vanaf 25 mei lager. Dan is fout gewoon fout. Dat doen we niet omdat we graag boetes opleggen, maar omdat we in actie moeten komen. De impact van een datalek kan groot zijn.”

Na 25 mei gaat de AP ook strenger controleren of organisaties die een functionaris gegevensbescherming (FG), een interne toezichthouder, moeten hebben, deze ook daadwerkelijk hebben. “Als een zorgorganisatie geen FG heeft, dan gaat er al iets mis”, aldus Wolfsen.

Rechten van burgers

Ziekenhuizen die denken ‘het zal zo’n vaart niet lopen’ hebben het volgens Wolfsen mis. “Burgers raken zich meer en meer bewust van hun privacy en de risico’s die ze lopen. Het is zo’n belangrijk recht, daar moeten wij iets aan doen. Als burger begin je voor je gevoel misschien niets tegenover een groot ziekenhuis, overheidsinstantie of miljoenenbedrijf. Wij willen een bondgenoot voor burgers zijn.”

Wolfsen benadrukt wel dat de boetes geen doel op zich zijn, maar een middel. Voordat de AP een boete uitdeelt, kan de Autoriteit bijvoorbeeld eerst een last onder dwangsom opleggen, waarmee er wordt afgedwongen dat binnen een bepaalde tijd iets moet worden opgelost op straffe van een bepaald geldbedrag. Maar de AP kan ook een organisatie bellen of een brief sturen om een wettelijke norm uit te leggen, zodat de overtreding kan worden verholpen. “We hopen dat het feit dat de AP een boete op mag leggen, ervoor zal zorgen dat men in actie komt. Het moet een stok achter de deur zijn.”

Burgers hebben recht op dataportabiliteit

Dataportabiliteit?

Binnen de zorg is informatie-uitwisseling een heet hangijzer. Systemen die niet met elkaar praten en het ontbreken van een downloadknop in het ziekenhuisportaal vallen moeilijk te rijmen met het recht op dataportabiliteit, een onderdeel van de AVG. Dataportabiliteit is het recht om gegevens over te dragen. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. “Bedrijven, overheden en zorginstellingen moeten dataportabiliteit faciliteren”, zegt Wolfsen. “Als iemand zijn medische dossier mee wil nemen naar een andere zorgverlener, maar hier geen mogelijkheid toe heeft, dan mag hij of zij dat bij ons melden. Een ziekenhuis dat dataportabiliteit niet honoreert, is in feite in overtreding.”

En hoe kijkt de voorzitter aan tegen buitenlandse (tech)bedrijven, die ook richting de zorgmarkt bewegen? Apple wil een opslagplaats voor medische gegevens worden en Google hoopt op basis van bergen data en slimme algoritmes meer te leren over het verloop van ziektes. “Hoe groot of hoe klein een bedrijf ook is: ze moeten 100% compliant met de AVG werken. Als Apple naast smartphones ook zorgdiensten gaat aanbieden, moet hun alertheid ook groter zijn.”

Aan de toestemming die mensen geven om bijvoorbeeld hun medische gegevens in een app te delen of mee te werken aan een digitale klinische studie, stelt de wet strenge eisen. “Toestemming moet vrij, specifiek – niet algemeen –, geïnformeerd en ondubbelzinnig zijn gegeven. Onder de AVG zijn de eisen nog strenger geworden dan onder de Wet bescherming persoonsgegevens. We kunnen daar dus ook streng op gaan toetsen.”