Merel Eilander

Merel Eilander
Autoriteit Persoonsgegevens

Meer aandacht

Bij de Autoriteit Persoonsgegevens kwamen alleen al dit jaar tot begin november 4500 meldingen binnen van een datalek, waarvan 1000 uit de zorg. “Zeker is dat het probleem niet moet blijven hangen op de IT-afdeling maar aandacht behoeft in heel de organisatie”, zegt Merel Eilander van de Autoriteit Persoonsgegevens. “Wie te maken heeft met persoonsgegevens heeft de plicht om voor een goede beveiliging te zorgen.”

Boete 

Toezichthouder AP controleert of de Wet Bescherming Persoonsgegegevens wordt nageleefd en heeft een meldloket. Ongeveer 130.000 organisaties hebben sinds dit jaar de plicht om een datalek daar te melden. Ook heeft de AP nu een boetebevoegdheid waarmee zij een geldsom tot 820.000 euro kan opleggen aan een organisatie die de wet overtreedt en bijvoorbeeld herhaaldelijk de fout ingaat of een datalek niet meldt. Toch volgt er niet per definitie een boete als er bijvoorbeeld meteen adequate maatregelen worden genomen. Ook speelt mee wat een organisatie al heeft gedaan om gegevens te beveiligen.

Verbeteringen

Uit onderzoek van de AP in 2013 bleek dat negen zorginstellingen hun zaakjes niet op orde hadden. “In eentje kreeg ook de medewerker van de administratie relatief gemakkelijk toegang tot een patiëntendossier waar dit was voorbehouden aan de arts. Uit een ander onderzoek bleek dat het doorbellen van herhaalrecepten niet gebeurde via een beveiligde lijn. Inmiddels zijn er grote stappen gemaakt en hebben de onderzochte instellingen verbeteringen doorgevoerd”, zegt Eilander.

Werkwijze

Elke melding die binnenkomt bij de Autoriteit Persoonsgegevens wordt geschaard onder een risicocategorie laag, gemiddeld of hoog. Gemiddeld wordt de helft van de meldingen verder onderzocht. Boetes heeft de AP nog niet uitgedeeld. “In het verleden hebben we wel een aantal keren de iets vergelijkbare lasten onder dwangsom opgelegd. De meeste organisaties zorgen vrij snel voor een goede informatiebeveiliging voor het beëindigen van de overtreding en het zorgvuldig omgaan met de persoonsgegevens.”

Toekomst

De huidige wetgeving wordt in mei 2018 vervangen door een Europese privacy verordening. Dit betekent onder meer dat de Nederlandse toezichthouder dan boetes kan opleggen die kunnen oplopen tot 20 miljoen euro.