Een nieuw wetsvoorstel is in de maak, bedoeld om datalekken te voorkomen en de potentiële effecten van datalekken - mochten ze zich voordoen - te beperken. Met grote hoeveelheden medische data moeten eHealth-ondernemers en zorginstellingen zich ook houden aan deze nieuwe wetgeving. Itte Overing legt uit wat dat betekent.
Data lekken en dat niet melden wordt een dure grap als je het wetsvoorstel over de meldplicht datalekken mag geloven. Stel: jouw zorginstelling maakt gebruik van een elektronisch patiëntendossier (EPD). Dat EPD staat in de cloud en wordt gehackt. De clouddienstverlener die het EPD levert moet dat zo snel mogelijk aan de zorginstelling melden. Vervolgens moet de zorginstelling een melding maken bij het College bescherming persoonsgegevens (CBP). Als de melding niet gemaakt wordt, kan het CBP een boete opleggen die op kan lopen tot € 450.000,-. Maar of deze wet ook echt ingevoerd, dat is nog maar de vraag.
Het College Bescherming Persoonsgegevens kan een boete opleggen die op kan lopen tot € 450.000
Zowel private als publieke organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, volgens het wetsvoorstel dat Staatssecretaris Fred Teeven van Veiligheid en Justitie op 21 juni 2013 indient. Het wetsvoorstel met de werktitel ‘meldplicht datalekken’ bevat een meldplicht voor alle publieke én private organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat betekent dus ook zorginstellingen en eHealth leveranciers indien zij het doel en de middelen voor de digitale verwerking van de persoonsgegevens kiezen, en daarmee ‘verantwoordelijke’ zijn op grond van de wet. Er zou dan gemeld moeten worden bij de toezichthouder, het CBP.
Het doel van het wetsvoorstel is het voorkomen van datalekken, en als ze zich al voordoen, de effecten ervan te beperken. Het wetsvoorstel ziet toe op doorbrekingen van maatregelen voor de beveiliging van persoonsgegevens - niet op lekken vanwege fouten in de beveiliging. In de toelichting bij het wetsvoorstel noemt de wetgever DigiNotar als
Dat onderscheid in het wetsvoorstel is wat mij betreft nogal artificieel
voorbeeld van een fout in de beveiliging van certificaten. U kent die affaire waarschijnlijk nog wel: de commerciële certificaat-aanbieder Diginotar, die een groot deel van de certificaten voor de Nederlandse overheid verzorgde, gaf pas na een extern onderzoek toe dat er fouten in procedures en systemen van het bedrijf zaten, waar Diginotar van af wist. Mocht data weglekken op grond van fouten, bijvoorbeeld in de beveiliging van certificaten zoals in het geval van Diginotar, dan hoeft er niet gemeld te worden op grond van het wetsvoorstel ‘meldplicht datalekken’.
Dit onderscheid in het wetsvoorstel is wat mij betreft nogal artificieel. Mocht een fout leiden tot een datalek, dan lijkt me een melding tenminste net zo gewenst. Denk bijvoorbeeld aan het intranet van de IGZ. Onlangs werd bekend dat medewerkers (en stagiaires) van de IGZ al jaren bij vertrouwelijke informatie over van fraude verdachte en slecht functionerende artsen konden. Er was hier geen sprake van een hack, wel van een fout in het ontwerp van het intranet. Ook in dit geval lijkt een melding me gewenst.
Hogere juridische wiskunde
Alleen het datalek waarbij ‘redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen’ moet gemeld worden op grond van het wetsvoorstel. Staatssecretaris Fred Teeven heeft op 15 april voorgesteld de meldingsplicht in te perken: alleen datalekken met
Een aantal open termen is eruit gehaald en de drempel voor de meldplicht is opgehoogd
ernstige nadelige gevolgen hoeven gemeld te worden. Door de wijziging zijn een aantal open termen eruit gehaald en is de drempel voor de meldplicht opgehoogd. Niemand weet echter wat het verschil precies is. Samen met de andere afwegingen die je moet maken op grond van het wetsvoorstel, wordt het geheel hogere juridische wiskunde. Voor zorginstellingen en eHealth-leveranciers dus weinig objectief, transparant en al helemaal lastig zelf toe te passen.
Mocht de meldplicht zo ingevoerd zoals Teeven heeft voorgesteld, dan wordt het wel spannend. Stel jouw zorginstelling maakt gebruik van een aantal eHealth oplossingen bij de behandeling van patiënten. De eHealth applicatie wordt gehackt en er wordt informatie gelekt. Je meldt het lek niet, want er worden geen medische gegevens gelekt, enkel nicknames. Maar wanneer er wel heel veel nicknames zijn gelekt, en deze nicknames over het algemeen herleidbaar waren tot personen, kan het CBP vinden dat er wel een melding gemaakt had moeten worden. Het gevolg is dan dat het CBP (op grond van het wetsvoorstel) een bestuurlijke boete op kan leggen.
Overigens wordt er momenteel op Europees niveau ook hard gewerkt aan de General Data Protection Regulation, of de Algemene verordening gegevensbescherming. In de verordening staat een algemene verplichting tot het melden van datalekken, naast de bestaande Europese richtlijn (95/46/EC) die een meldplicht bevat aan het CBP in geval van een inbreuk in verband met persoonsgegevens. Niet melden van datalekken kan behoorlijk worden bestraft op grond van de verordening:
'a fine up to 100 000 000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater.'
Het duurt naar verwachting nog tot 2017 voordat de Europese verordening is aangenomen en in werking treedt. Tegen die tijd zal de meldplicht datalekken in Nederland al ingevoerd zijn.
[accordion]
[acc title="Foto credit"]Môsieur J. (www.flickr.com/photos/jblndl/)[/acc]
[/accordion]
Trackbacks & Pingbacks
[…] van medische data heeft verschillende redenen. Op de eerste plaats is er in Nederland nu nog geen meldplicht voor datalekken bij zorginstellingen, in tegenstelling tot de VS, waar de overheid een wall of […]
Plaats een Reactie
Meepraten?Draag gerust bij!