Intellectuele eigendom & IT
Onlangs werd bekend dat bij het Groene Hart ziekenhuis jarenlangs dossier toegankelijk zijn geweest via een nauwelijks beveiligde computer. In reactie hierop heeft het College Bescherming Persoonsgegevens laten weten dat het ziekenhuis om opheldering zal worden gevraagd. Het is, mede gelet op de mogelijke juridische consequenties, opvallend dat informatiebeveiliging kennelijk nog steeds zo weinig aandacht heeft.
Handhaving door CBP
Op grond van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) dienen persoonsgegevens op passende wijze te worden beveiligd. Bij het publiceren van medische gegevens op een slecht beveiligde server wordt deze norm, mede gelet op de normen die het CBP en de Inspectie voor de Gezondheidszorg stellen, in principe overtreden. Op overtreding van dit artikel van de Wbp staan geen boetes gesteld.
Wel kan het Cbp een last onder dwangsom opleggen. In dat geval sommeert het Cbp om voor een bepaalde datum een overtreding te staken, bij gebreke waarvan de dwangsom periodiek (dagelijks) wordt verbeurd.
De onbeveiligde server waar het hier over gaat is ondertussen uiteraard niet meer op Internet aangesloten, dus een dwangsom opleggen die betrekking heeft op deze specifieke server is zinloos.
Het is natuurlijk wel denkbaar dat deze server aanleiding vormt voor het Cbp om nader onderzoek te doen. Het is niet ondenkbaar dat het Cbp vervolgens constateert dat dit ziekenhuis ook overigens de beveiliging niet op orde heeft. In dat geval is de last onder dwangsom een effectief middel om alsnog een goede beveiliging af te dwingen.
Handhaving door IGZ
Met het gebruik van een onbeveiligde server is bovendien waarschijnlijk niet voldaan aan de norm NEN 7510. De Inspectie voor de Gezondheidszorg in het verleden heeft laten weten dat zij die norm ziet “als een norm ter invulling van het begrip ‘verantwoorde zorg’ als bedoeld in de Kwaliteitswet zorginstellingen en de Wet BIG“. Ook de IGZ zou aldus handhavend kunnen optreden richting het ziekenhuis middels dwangsommen.
Verder geldt dat voor alle BIG-medici de IGZ op grond van artikel 87a Wet BIG een bevel kan geven wanneer de inspectie van mening is dat er geen “verantwoorde zorg” wordt geleverd (hetgeen volgens de IGZ het geval is wanneer NEN7510 wordt geschonden, zie hiervoor). Het is dus denkbaar dat individuele beroepsbeoefenaren bij dit ziekenhuis langs deze weg te maken krijgen met de IGZ.
Handhaving door Openbaar Ministerie
Op grond van artikel 272 Wetboek van Strafrecht wordt het opzettelijk schenden van het ambts- of beroepsgeheim bestraft met maximaal een jaar gevangenisstraf of een geldboete van de vierde categorie. Dit delict kan zowel door natuurlijke personen als rechtspersonen (en de leiding daarvan) worden gepleegd (zie artikel 51 Sr). Of er in dit geval sprake is van het opzettelijk schenden van deze geheimhoudingsplicht is vooralsnog lastig te beoordelen. Opvallend is wel dat volgens de wetsgeschiedenis bij de Wbp van opzet (al) sprake is wanneer “wordt gehandeld in strijd met een uitdrukkelijke aanwijzing van de verantwoordelijke of een waarschuwing van enige toezichthouder“. De drempel om te kunnen spreken van opzettelijk schenden van de geheimhoudingsplicht lijkt dus, in ieder geval ten aanzien van het lekken van persoonsgegevens, erg laag te liggen. Jurisprudentie hierover is mij overigens niet bekend. Eventuele aangiftes en de (eventuele) vervolging zal ik in ieder geval met belangstelling volgen.
Handhaving door de betrokken burger
Ten slotte geldt dat de betrokkene wiens persoonsgegevens zijn uitgelekt, op grond van onder meer artikel 49 Wbp de daardoor geleden schade op de verantwoordelijke (waarschijnlijk het ziekenhuis) kan verhalen. In het tweede lid van dit artikel is uitdrukkelijk opgenomen dat de betrokkene ook recht heeft op immateriele schadevergoeding. Het ziekenhuis dient dus rekening te houden met claims van zijn patienten.
