Amsterdams ziekenhuis gaf veel te ruime toegang tot digitale patiëntendossiers

Ik stel alleen dat er een datalek is als er daadwerkelijk data gelekt is. Er kan een "datalek" zijn zonder dat er gegevens op straat liggen.

Ik bagetalisseer het helemaal niet. Ik nuanceer alleen het probleem een beetje, want ik krijg de indruk dat er van een mug een ontzettend grote olifant wordt gemaakt. Dat is het "gewauwel" wat we iets teveel terugkrijgen uit de media, en het lijkt erop dat jij daar vrolijk in meegaat.

Probeer het neutraal te zien. De IT'ers moeten de boel beter regelen, maar dat zijn nou eenmaal mensen. Je kunt het kut vinden, maar mensen maken nou eenmaal fouten. Jij ook. Het niet tijdig dichten van een gat is ook een menselijke fout (wellicht van een manager die een domme beslissing neemt ofzo). Dus ja, je hebt je maar aan de regels te houden, maar je kunt daar gewoon fouten in maken. Kut voor evt gedupeerden, maar je moet het ook niet gaan lopen overdrijven allemaal.

>studenten en/of medewerkers, die met hele andere zaken bezig zijn en niet zozeer arts zijn van de betrokkene

Dat ze niet arts zijn betekent niet dat ze geen reden hebben om te kijken. Zie bijv. polimedewerkers (die natuurlijk dingen in moeten kunnen zien als wanneer afspraken staan enz).

>de betrokkene heeft hier geen toestemming voor gegeven

doe je sowieso niet als je via ambulance binnenkomt oid, dus ik snap dit punt niet helemaal. Het is enkel relevant of het voor de medewerker (ongeacht of die student zijn of arts of wat dan ook) relevant is om op dat moment naar die info te kijken.

Dit is zeker wel een datalek zoals de AVG dit bedoeld heeft.

Daarom zeg ik ook dat het in de praktijk geen datalek is (of hoeft te zijn). De praktijk is iets anders dan wat de AVG voorschrijft.

Je hebt pas een waterlekkage als er daadwerkelijk water door die leiding naar buiten komt. Een kapotte leiding die niet gebruikt wordt, geeft ook geen lekkage.

Ha, Ik had je eerdere reactie gemist.

Ik vind het vervelend dat het op jouw overkomt als een persoonlijke aanval op ICT-ers in het algemeen; Dat is niet zo. Het gaat om "IT-ers die vinden dat omdat zij het niet interessant vinden het dus niet zo nauw komt allemaal". Als je daar niet bij hoort, dan gaat het niet over jou (of anderen die een andere houding hebben). Daarbij zeg ik wel dat ik die houding in binnen de beroepsgroep ICT-ers meer dan gemiddeld tegenkom (Ik bouw gewoon XYZ, want een ander daar wel of niet mee doet en of dat goed gaat is hemze verantwoordelijkheid); gelukkig kom ik ook anderen tegen - zoals jij bijvoorbeeld (met de aanname dat jij ICT-er bent)

Maar goed: Als je wel een juridische reactie wilt Dat kan. Goed dat je er zelf ook al naar gekeken hebt trouwens, dit is een wet die echt iedereen (ten minste een beetje) raakt - privé en in zijn werk ! (Daarmee hoor je dus zeker weten niet tot ^^).

******************************
even een caveat (voor eenieder dit dit leest): Dit is dus een algemene bespreking van wettelijke bepalingen, met enige link naar de zaak waarop dit een reactie is. Dit is dus algemeen kennisvormend. Dit kun je niet gebruiken voor jouw specificeke situatie, dat vraagt maatwerk. De financiele risico's van een "breach" zijn significant. Het is als bedrijf van enige omvang verstandig een goede jurist (nee, dit is geen werving; ik heb werk zat) -en misschien ook een IT-er- in op dit gebied in te huren om dit goed af te dekken.
*******************************

Het is voor zulke uitgebreide behandeling beter dat je niet een richtsnoer pakt, maar de daadwerkelijk de wet. Het richtsnoer is niet meer dan een folder/brochure om een groot en gecompliceerd in elkaar zittend stuk wetgeving nog een beetje behapbaar te maken (zie https://www.vno-ncw.nl/we...oor-implementatie-van-avg voor de doelstelling).

Natuurlijk is nog lang niet alles helemaal gesettled met de (uitleg van) de AVG; het is een nieuwe wet (technisch gezien: geen wet, maar een Verordening). Maar zo onduidelijk als dat het gepresenteerd wordt, is het ook weer niet (al dan niet met hulp van een adequate jurist). Het probleem is vaak eerder dat mensen die meest voor de hand liggende uitkomst om welke reden ook niet zo aanstaat (geld, werk, kosten, verdienmodel etc. etc.)

Laat ik het nog een beetje simpel houden. De Autoriteit Persoonsgegevens die is aangesteld als toezichthouder op naleving van deze wetgeving zegt:

https://autoriteitpersoon...ing/meldplicht-datalekken
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
en
nog eens over
"Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens."

Maar ook dat is weer een 'vertaling' van de tekst - ook al is die van een gezaghebbend orgaan in deze. Je moet dus eigenlijk naar de originele tekst.

Uit de GDPR (dat is de naam van de AVG in het origineel - Nederlands is een vertaling, alleen engels en franse tekst zijn 'authentiek'; meestal levert dan geen problemen op, soms wel)

artikel 4
‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

Daar zit dus weinig nuance in. Het is, zoals ik zei, een datalek (<-wat dus een ongelukkig gekozen term blijft) enkel en alleen vanwege het feit al dat er toegang mogelijk is geweest (terwijl dat niet de bedoeling was). Gelukkig komt dat overeen met wat het AP erover zegt; anders hadden we een nieuwe discussie

Waar iets meer nuance in zit is wat je vervolgens moet doen als dat data lek is vastgesteld. Daar gaat de door jou aangehaalde tekst uit het richtsnoer over.

Je moet melden als er een "lek" is- zie article 33, sub 1
"In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority etc etc etc

tenzij: "het onwaarschijnlijk is dat de inbreuk [lees: breach] zal leiden tot het risico dat dergelijke nadelige effecten zich voordoen. " zie article 33, sub , hoofdzin, 2e helft
" .... unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons"

Wat zijn dan die nadelige gevolgen.
Dat vind je (kort) omschreven in Recital 85 - https://gdpr-info.eu/recitals/no-85/. Let op: ook dit is al weer een verkorte uitleg (maar anders ga ik tegen de postlimiet ? op lopen), waarnaar in artikel 33 wordt verwezen.
"A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned."

in hetzelde Recital vind je ook een korte omschrijving van hoe dat risico moet worden ingeschat.
"2Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority [stukje weggehaald] unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons."

Het voert nu echt te ver om in te gaan op het accountability principe. Maar je moet dus kunnen aantonen, volgens de regelen der kunst, dat die kans erg klein was. Dat betekent dus een behoorlijk onderzoek van de systemen, de logging van de ongeoorloofde toegang etc etc.
Kun je geen fatsoenlijk onderzoek doen kun je nooit volgens 'de regelen de kunst' aantonen en moet je dus ALTIJD melden.
Komt de AP achteraf tot een andere conclusie (namelijk dat het niet een kleine kans was), ben je de Sjaak. Het AP heeft door de GDPR serieuze boetebevoegdheden gekregen.

Overigens moet de beveiliging niet "perfect" zijn, maar goed genoeg daar de actuele stand der techniek. Krijg je een heartbleed formaat issue (ja, ik weet dat dat hardware was) in een goed bekend staat staand software pakket van een gerenommeerde partij, ontslaat jou dat niet van de verantwoordelijk adequaat te reageren, maar mogelijk wel van de initiele verantwoordelijkheid voor zo'n lek.
Ook daar zit nogal was nuance in:
kort stukje uitleg in Recital 87 (https://gdpr-info.eu/recitals/no-87/)

Het kan allemaal nog uitgebreider, maar ik weet niet of je dat wilt. Zowel: spreken we een keer af, want dat gaat de doelgroep van Tweakers voorbij denk ik.

Anyway: Ik hoop dat het je het wat verder helpt en dat je het waardeert; deze post was een hoop werk

(Overigens: Normaal geef ik dit soort antwoorden als werk (maar dan met een mooier formatje en koptekst, iets formeler taalgebruik etc etc. Als je het antwoord dat je nu hebt: op deze manier op inhuurbasis moet, tegen een normaal tarief, wordt je niet blij denk ik. Je hebt hier nu voor een aanzienlijk bedrag aan juridische advies gehad. Dat is niet alleen per uurtje dat er getikt wordt, maar ook voor de tijd die is geinvesteerd om het in een uurtje te kunnen tikken (net als met certifications in de IT) - want zie onder) - maar goed: dat geld ook voor het ICT-advies dat ik hier regelmatig gratis opdoe, dus, met alle plezier

Toen ik drie a vier jaar geleden hier uitgebreid mee bezig was voor een klus die qua complexiteit nogal uit de hand liep, heb ik meer dan 3300 pagina´s totstandkomingsgeschiedenis doorgeploegd (inmiddels is het meer, het was toen nog niet af). Niet alles daarvan is super-relevant maar op een paar honderd pagina's zit je al snel als je echt het naadje van de kous wilt weten. (jammer genoeg staand ie dan weer niet handig bij elkaar)

edit: wets- en andere aanhalingen italic gemaakt voor leesbaarheid
edit: caveat toegevoegd.
edit:
p.s. nu ik toch bezig ben: de "redelijkheid en billijkheid" die je aanhaalt is een begrippenpaar uit het nederlandse burgerlijk recht. Dat heeft vrij weinig van doen met deze materie. Dit is publiek recht.

[Reactie gewijzigd door BuZZem op 9 maart 2019 10:02]

Aangezien een badkuip normaal gezien minstens 2 gaten heeft, wil dat inderdaad niet zeggen dat de badkuip lek is. Pas wanneer er een gat in de badkuip is, dat er niet hoort te zijn, waardoor dat gat ook niet aangesloten is op de afvoerleidingen, spreek ik van een lekke badkuip.

Bedoelde je dat met nadenken?

>Doe je dit 'intern', dan krijg je een-of-andere lapswans manager, die het ergens op een hoop gooit, en 'er wel eens naar zal kijken'... als ie tijd heeft.

was iig netjes geweest als het eerst intern was gedaan. En als dat niet werkte dan via een hogere baas intern. En als dat niet werkt naar de AP. En dan naar de media omdat er niet geluisterd wordt.

Maar de AP was er al bezig mee, het OLVG wist er al van en was er mee bezig (en heeft ook dingen gefixt).

Ik snap daarom jouw reactie niet 100%, als er nooit iets intern wordt aangekaart, hoe moet iets ooit opgelost worden?

Dan heb je misschien het artikel niet helemaal doorgelezen. De laatste alinea beschrijft hoe de studente het traject bij het ziekenhuis heeft doorlopen:

De studente lichtte het ziekenhuis in augustus vorig jaar in over de in haar ogen te brede toegang tot dossiers. Het ziekenhuis claimt het datalek daarna meteen gedicht en de software aangepast te hebben. Het OLVG heeft een melding gedaan bij de Autoriteit Persoonsgegevens en onderzoekt op basis van de logs de omvang van de ongeoorloofde toegang. Volgens de studente was nog tot in november toegang mogelijk.