Onlangs hebben wij u geïnformeerd over de nieuwe Wet meldplicht datalekken. Daarbij gaven wij aan dat zorgaanbieders al snel met de meldplicht te maken zullen krijgen, aangezien de meeste van de in de zorg verwerkte persoonsgegevens patiëntgegevens en dus bijzondere gegevens betreffen. Een lek van zulke gevoelige persoonsgegevens valt namelijk altijd onder de meldplicht.
Afgelopen week werd bekend dat een bestand van het St-Anna Ziekenhuis in Geldrop door een menselijke fout 33 dagen toegankelijk was voor onbevoegden. Het bestand was in te zien via het Belgische digitaliseringsbedrijf iGuana dat het ziekenhuis technische ondersteuning biedt bij de overgang naar papierloos werken. Het bestand bevatte weliswaar géén medische patiëntinformatie, maar bevatte wel van 4500 patiënten de namen, geboortedata en dossiernummers. Het ziekenhuis heeft hiervoor excuses aan haar patiënten gemaakt.
Hoe de Autoriteit Persoonsgegevens met haar uitgebreide boetebevoegdheid op dit datalek zal reageren, laat zich nog raden. Feit is wel dat het Ziekenhuis de privacy van haar patiënten onvoldoende heeft kunnen waarborgen en op basis van de nieuwe meldplicht het datalek aan de Autoriteit Persoonsgegevens (en de betrokken patiënten) heeft moeten melden.
Heeft u vragen over de meldplicht datalekken in de zorg, het privacyproof maken van uw zorginstelling of over de boetebevoegdheid van de toezichthouder, dan kunt u contact opnemen met onze Privacy advocaten of onze praktijkgroep Zorg.