Medische gegevens van maar liefst 150.000 onderzoeken binnen de Emmaüs-groep zouden zijn uitgelekt. Het Nederlandse consumentenprogramma “Meldpunt” kwam hiermee naar buiten. Het zou gegevens betreffen van patiënten aan het AZ Sint-Maarten Mechelen/Duffel en AZ Sint-Jozef Malle. De Emmaüs-groep verwerkt de persoonsgegevens van haar patiënten zelf, maar sprak het document managementbedrijf iGuana aan voor het digitaliseren van historische data.
Het verhaal belicht verschillende aspecten van de wetgeving omtrent de verwerking van persoonsgegevens. In afwachting van de inwerkingtreding van de nieuwe Europese privacyverordening, is onze eigen Belgische privacywetgeving nog steeds van toepassing op iedere verwerking van persoonsgegevens.
Medische gegevens
De Belgische privacywetgeving is van toepassing van zodra gegevens worden verwerkt die betrekking hebben op een welbepaald identificeerbaar of geïdentificeerd persoon. Bovendien gaat het hier om “medische gegevens” waar strengere regels voor gelden. Medische gegevens mogen immers maar onder welbepaalde voorwaarden worden verwerkt.
Afdoende beveiliging
Bovendien moet de verantwoordelijke voor de verwerking een aantal garanties bieden. In die zin moet de verantwoordelijke afdoende technische en organisatorische maatregelen nemen om de confidentialiteit van de gegevens te vrijwaring.
De systemen waar de gegevens op bewaard worden, moeten goed afgeschermd worden van de buitenwereld. Daarnaast moet het personeel en de externe dienstverleners die bevoegd zijn voor de verwerking, contractueel gebonden worden tot zorgvuldigheid en vertrouwelijkheid.
Data Processing Agreement
Soms wordt een beroep gedaan op externe dienstverleners om een bepaalde verwerking van persoonsgebonden data te verzorgen. In dat geval kan best gezorgd worden voor een afdoend contractueel kader in de vorm van een zogenaamde “data processing agreement”. In een dergelijke overeenkomst worden onder meer de opdracht, de beveiliging en de aansprakelijkheid bij calamiteiten nauwkeurig omschreven en afgedicht.
Melding aan betrokkenen
De ziekenhuisgroep zou eveneens maatregelen genomen hebben om de impact van het datalek in te schatten. Daarbij zou de groep een oproep gedaan hebben naar patiënten om melding te doen, waarvan het vermoeden bestaat dat hun gegevens betrokken zouden zijn. Daarmee zou de ziekenhuisgroep alleszins pro-actief een stap verder gaan en toekomstig Europees recht vóór zijn.
Onder de nieuwe Europese verordening zal een verantwoordelijke immers verplicht worden om melding te doen bij de bevoegde Privacycommissaris én de betrokkenen bij (een vermoeden van) datalekken.
Er wordt alleszins melding gedaan bij de Belgische Privacycommissie die de zaak ongetwijfeld verder zal onderzoeken.