In deze bijdrage wordt besproken wat een ‘datalek’ is en aan welke vereisten een zorgorganisatie moet voldoen op grond van Algemene verordening gegevensbescherming (AVG). Ook wordt er besproken of een betrokkene, van wie persoonsgegevens worden verwerkt, het recht heeft om de ‘wissing’ van zijn persoonsgegevens te eisen, bijvoorbeeld naar aanleiding van een datalek.
Eind januari jl. bleek dat sprake is van een grootschalig datalek in de twee belangrijkste coronasystemen die door de GGD’en worden gebruikt. Het gaat in dit geval om adressen, telefoonnummers, Burgerservicenummers en testresultaten. De gegevens uit de systemen zouden illegaal zijn verhandeld. Wat moet u als zorgorganisatie doen als er een datalek is in uw systemen? En wat als uw zorgorganisatie een verzoek om ‘wissing’ ontvangt van een betrokkene, bijvoorbeeld naar aanleiding van een datalek?
Het begrip ‘datalek’ komt in de AVG niet voor. In de AVG gaat het om een ‘inbreuk in verband met persoonsgegevens’. Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Wanneer er sprake is van een datalek, dan zal de verwerkingsverantwoordelijke (kort gezegd: de (rechts)persoon of organisatie die “doel en middelen” van de gegevensverwerking bepaalt) zich moeten houden aan een aantal vereisten. Dit is uitgewerkt in de AVG.
Eén van die vereisten is dat de verwerkingsverantwoordelijke een datalek meteen, waar mogelijk binnen 72 uur na ontdekking, moet melden aan de Autoriteit Persoonsgegevens (AP). Lukt het melden niet binnen 72 uur, dan zal voor die vertraging een verklaring moeten worden afgegeven . Wanneer het echter onwaarschijnlijk is dat de inbreuk een “hoog risico” voor de rechten en vrijheden van natuurlijke personen inhoudt, dan is de meldplicht niet van toepassing. Dit vergt een nadrukkelijke afweging, alvorens wordt overgegaan tot het doen van een melding.
Ook de bij het datalek betrokken personen moeten worden geïnformeerd door de verwerkingsverantwoordelijke. Althans, wanneer het waarschijnlijk is dat de inbreuk resulteert in een “hoog risico” voor hun rechten en vrijheden. Onder meer de aard van de inbreuk als de eigen aanbevelingen over hoe mogelijke negatieve gevolgen kunnen worden beperkt, moeten aan de AP worden gemeld.
Wat als bijvoorbeeld een GGD een verzoek tot wissing van persoonsgegevens ontvangt over persoonsgegevens die zijn verwerkt in het kader van het afnemen van COVID-19-testen en een positieve uitslag? Hieronder leggen we uit hoe een dergelijk verzoek dan juridisch kan worden benaderd.
Op grond van de AVG kunnen personen van wie persoonsgegevens worden verwerkt een beroep doen op het recht op gegevenswissing. In hoeverre een verzoek op vernietiging van gegevens door de verwerkingsverantwoordelijke gehonoreerd moet worden, vergt een eigen afweging van de verwerkingsverantwoordelijke. Een GGD zal eerst moeten nagaan of de GGD in het individuele geval als verwerkingsverantwoordelijke kan worden gekwalificeerd. Op grond van de AVG kan alleen een verwerkingsverantwoordelijke een verzoek tot wissing in behandeling nemen en daarover beslissingen nemen.
Bij die afweging zijn alle omstandigheden van het geval relevant. Het recht om de eigen persoonsgegevens te laten vernietiging is het wettelijk uitgangspunt, tenzij er sprake is van een uitzondering. De beoordeling hiervan hangt nauw samen met de aard van de gegevens en het doel van de gegevensverwerking. Gegevens mogen bijvoorbeeld niet worden vernietigd als er een andere wet is die zich hiertegen verzet of als het bewaren van de gegevens is vereist.
Bron- en contactonderzoek bijvoorbeeld, is een onderdeel van de bestrijding van de COVID-19 pandemie en wordt uitgevoerd door de GGD op grond van de Wet Publieke Gezondheid (Wpg). Wanneer het gaat om persoonsgegevens die worden verwerkt in kader van het bron- en contactonderzoek, dan volgt uit de wet dat deze gegevens ‘zolang als noodzakelijk’ moeten worden bewaard, maar ten hoogste vijf jaar (artikel 29 Wpg). Als het bewaren van de gegevens met het oog op de infectieziektebestrijding niet langer noodzakelijk is, dan zal de GGD de gegevens in principe moet vernietigen.
Wanneer de GGD COVID-19 testen afneemt, wordt dat gedaan in hoedanigheid van zorgverlener. In dit kader heeft de GGD de wettelijke verplichting om onder meer een medisch dossier bij te houden op grond van de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Wat betreft medische dossiers geldt op grond van de WGBO een bewaarplicht van in beginsel 20 jaar. Op grond van de WGBO hebben mensen het recht om hun medische dossier te vernietigen, maar ook hier gelden uitzonderingen die in elk individueel geval nauwkeurig moeten worden afgewogen. De vier uitzonderingen die de WGBO regelt zijn: a) een andere wet verzet zich tegen vernietiging; b) een ander dan de patiënt heeft een aanmerkelijk belang bij het bewaren van de gegevens; c) de vernietiging belemmert goed hulpverlenerschap, en; d) de WGBO is slechts ten dele van toepassing (artikel 7:455 van het Burgerlijk Wetboek).
Of aan een verzoek tot vernietiging moet (lees: mag) worden voldaan, zal per individueel geval en per individuele verwerking nadrukkelijk moeten worden afgewogen. Als door de verwerkingsverantwoordelijke negatief op een verzoek tot wissing wordt besloten en niet tot vernietiging wordt overgegaan, dan vergt dit een goede feitelijke en juridische onderbouwing.
Heeft u vragen over dataverwerking in de zorg, het risico op datalekken of verzoeken tot wissing van gegevens? U kunt eenvoudig contact opnemen met de juiste contactpersonen via onderstaande gegevens.
