Melden datalek vanaf 1 januari 2016 verplicht

Het is vanaf 1 januari 2016 wettelijk verplicht om ernstige datalekken te melden bij de privacytoezichthouder, het College Bescherming Persoonsgegevens (CBP, vanaf 2016: Autoriteit Persoonsgegevens (AP)). Dit is het gevolg van de Wet meldplicht datalekken en uitbreiding boetebevoegdheid.

Een datalek is een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.

Hieronder valt niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Voorbeelden: een kwijtgeraakte USB-stick met persoonsgegevens, een verloren of gestolen laptop of een hack van een databestand met persoonsgegevens.

Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de betrokkenen (in het geval van de apotheek, de patiënten), moet het lek ook aan hen worden gemeld.

Het CBP/AP gaat richtsnoeren opstellen met checklists.

Melden of niet?
De KNMP adviseert apothekers het altijd te melden als patiënt- en medicatiegegevens in de apotheek (of de cloud) zijn gelekt, zowel bij het CBP/AP als bij betrokkenen (patiënten). Dit omdat patiënt- en medicatiegegevens bijzondere persoonsgegevens zijn. Het CBP/AP zal daarom snel concluderen dat het om een – meldplichtig –  ernstig datalek gaat. Door het lek altijd te melden, voorkomen apotheken dat zij een hoge boete opgelegd krijgen.

Voorbereiden op meldplicht
Apothekers kunnen alvast maatregelen treffen om zich voor te bereiden op de inwerkingtreding van de meldplicht. Het belangrijkste is dat de persoonsgegevens die worden verwerkt goed zijn beveiligd.

Daarnaast kunnen apothekers ter voorbereiding:

• nagaan of de apotheekdatabeveiliging up-to-date is (NEN 7510 en volgende);
• beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP;
• nadenken over manieren om betrokkenen te informeren bij een datalek;
• nadenken over het omgaan met signalen uit de buitenwereld over mogelijke datalekken;
• afspraken met bewerkers controleren.

Artikel 13 van de Wbp en de Gedragscode Elektronische Gegevensuitwisseling in de Zorg verplichten apotheken al tot voldoende beveiligingsmaatregelen. Voor apotheken geldt de beveiligingsnorm NEN 7510:2011, NEN 7512.

Verhoging bestuurlijke boete

Het CBP/AP zal als gevolg van de wijziging van de Wbp ook in meer gevallen een bestuurlijke boete kunnen opleggen aan overtreders van privacyregels. Vanaf 1 januari 2016 is dat mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is. Maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers, zoals gezondheidsgegevens, is misbruikt. Het maximum van de bestuurlijke boete: € 810.000 of 10% van de jaaromzet.

Eerstekamer.nl: Meldplicht datalekken en uitbreiding boetebevoegdheid CPBweb.nl: CPB publiceert conceptboetebeleidsregels

Redactie Medicalfacts/ Janine Budding

https://www.medicalfacts.nl

Ik heb mij gespecialiseerd in interactief nieuws voor zorgverleners, zodat zorgverleners elke dag weer op de hoogte zijn van het nieuws wat voor hen relevant kan zijn. Zowel lekennieuws als nieuws specifiek voor zorgverleners en voorschrijvers. Social Media, Womens Health, Patient advocacy, patient empowerment, personalized medicine & Zorg 2.0 en het sociaal domein zijn voor mij speerpunten om extra aandacht aan te besteden.

Ik studeerde fysiotherapie en Health Care bedrijfskunde. Daarnaast ben ik geregistreerd Onafhankelijk cliëntondersteuner en mantelzorgmakelaar. Ik heb veel ervaring in diverse functies in de zorg, het sociaal domein en medische-, farmaceutische industrie, nationaal en internationaal. En heb brede medische kennis van de meeste specialismen in de zorg. En van de zorgwetten waaruit de zorg wordt geregeld en gefinancierd. Ik ga jaarlijks naar de meeste toonaangevende medisch congressen in Europa en Amerika om mijn kennis up-to-date te houden en bij te blijven op de laatste ontwikkelingen en innovaties. Momenteel ben doe ik een Master toegepaste psychologie.

De berichten van mij op deze weblog vormen geen afspiegeling van strategie, beleid of richting van een werkgever noch zijn het werkzaamheden van of voor een opdrachtgever of werkgever.