Iedereen heeft er recht op dat zijn privacy wordt gerespecteerd. Werkgevers die nonchalant omgaan met de persoonsgegevens van werknemers kunnen rekenen op sancties. Maar wat te doen wanneer werknemers zelf een loopje nemen met de privacywetten?
Het Haga-ziekenhuis in Den Haag doet intern onderzoek naar tientallen medewerkers die ongeoorloofd het medisch dossier bekeken van Samantha de Jong, beter bekend als realityster Barbie. De Jong werd begin dit jaar met spoed opgenomen in het ziekenhuis nadat ze een zelfmoordpoging zou hebben gedaan.
Het dossier van De Jong is door de medewerkers ingezien via het ziekenhuisinformatiesysteem Chipsoft. Het bekijken van medische privégegevens mag echter alleen als er een medische betrokkenheid is bij die patiënt. Hoewel het onderzoek nog tot half april duurt, is het volgens de woordvoerder nu al wel duidelijk dat deze interne richtlijn door tientallen medewerkers niet is nageleefd.
Lees ook: Privacy in het personeelsdossier: wat mag en wat niet?
De kwestie kwam aan het licht door berichtgeving hierover door EenVandaag. Het programma werd op de hoogte gebracht door een tipgever via klokkenluidersite Publeaks.
Het ziekenhuis gaat medewerkers die de regels hebben overtreden daarop aanspreken. Werknemers die voor de eerste keer in de fout zijn gegaan krijgen een waarschuwing. Maar tegen personeel dat vaker in de fout is gegaan, worden disciplinaire maatregelen getroffen, mogelijk zelfs ontslag, aldus de woordvoerder.
Dat er sprake was van inbreuk op de databeveiliging, was al bekend bij het ziekenhuis voordat de klokkenluider naar buiten trad. Dit kwam aan het licht bij periodieke controles. Het ziekenhuis heeft De Jong van de situatie op de hoogte gesteld en heeft melding gedaan bij de Autoriteit Persoonsgegevens.
De AP heeft de zaak in onderzoek genomen. De zorg staat al jaren in de top-drie van meldingen van datalekken. Die lekken worden vermoedelijk vooral veroorzaakt door onbeveiligde verbindingen en menselijke fouten.
Artikel 13 van de Wet bescherming persoonsgegevens (Wbp) verplicht organisaties die persoonsgegevens vastleggen ervoor te zorgen dat de data is beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Lees ook: ABC van de privacy
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Niet elke inbreuk op databeveiliging is ook een datalek. Om te helpen vast te stellen of er sprake is van een datalek, heeft de Autoriteit Persoonsgegevens het richtsnoer meldplicht datalekken opgesteld.
Let op: vanaf 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.