image

Juridische vraag: Tandartspraktijk krijgt patiëntendatabase niet terug van leverancier. Is er sprake van een datalek?

zaterdag 1 december 2018, 16:18 door Arnoud Engelfriet, 5 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd voor een mogelijk datalek omdat de softwareleverancier die de patiëntendatabase beheerde die niet wil teruggeven nu het contract is beëindigd, las ik bij Security.nl. Daarmee kan de tandarts de praktijk niet goed voortzetten, en dat is voor de patiënten natuurlijk heel vervelend. Het riep bij mij de vraag op, zou dat in Nederland / Europa net zo werken, met name gezien de AVG? Die Amerikaanse tandarts moet nu met de licentievoorwaarden betogen dat hij ergens recht op heeft, wat zonder de tekst te kennen geen sterk verhaal is.

Antwoord: Dit is een datalek – als je geen backup hebt. Onder een datalek of eigenlijk “inbreuk op de beveiliging” rekent de AVG ieder incident dat leidt tot ongeoorloofd gebruik maar ook verlies van persoonsgegevens. Het achterliggende idee is dat je als betrokkene – hier dus patiënt – je rechten jegens de verantwoordelijke niet goed kunt uitoefenen door zulk verlies. In dit geval, je kunt je patiëntgegevens niet inzien, je kunt niet (of veel moeilijker) bewijzen dat je hebt betaald of juist dat afgesproken is dat je niet hoefde te betalen voor iets. Als je er last van hebt, dan is het een datalek.

Stel nu even dat dit allebei Europese partijen waren geweest. Ook dan had dit de uitkomst van de zaak kunnen zijn, puur afgaande op de contractuele afspraken. Bij een business-to-business contract is het immers goed mogelijk om te zeggen, als de dienst eindigt dan gooit de dienstverlener de data weg. Dat dat onhandig is voor de klant, is iets dat die maar vooraf had moeten bedenken en een artikel over had moeten opnemen.

De AVG maakt dit niet anders. Die zegt alleen dat je inderdáád zo’n artikel had moeten opnemen in de verwerkersovereenkomst (art. 28 lid 3 punt g AVG). Maar heb je dat artikel niet, dan staat er in de AVG geen zelfstandige plicht waar je op terug kunt vallen als tandarts. Je hebt dan dus een héél serieus probleem, want je bent niet AVG compliant op meerdere punten (je data is niet gezekerd, je hebt een datalek, je verwerkersovereenkomst rammelt, je artikel 5-compliance is mislukt). Afspraken maken dus, en tot die tijd geen data bij die provider stallen.

Zelfs als je die afspraak wel hebt, is het erg nuttig om alsnog te borgen dat je daadwerkelijk een kopie van de data ergens hebt. Want alle mooie contractuele frases ten spijt, dingen kunnen kwijt raken of ontoegankelijk worden (denk faillissement, mega-grote brand, dikke vinger, ruzie over betalingen) en dan heb je precies hetzelfde probleem.

Toegang tot data regel je praktisch, niet alleen juridisch.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (5)
01-12-2018, 19:34 door Anoniem
In het leger gebruikt Nederland ook je gebitsrecord voor identificatie als je gebit het enige is wat nog over van je is na een gevecht. Als die data door een ICT leverancier zoek kan raken lijkt mij dit heel ernstig.

Politici hebben tegenwoordig de mond vol van vingerafdrukken en gezichtsscans op je paspoort. Maar je gebit is nog een veel betere biometrie lijkt mij. Omdat die zelfs na ernstige verbranding of verminking nog in tact blijft.
02-12-2018, 22:31 door Anoniem
Als ik naar een tandarts gaat die mijn gegevens zomaar aan een leverancier geeft, dan jeukt waarschijnlijk mijn intuïtie dat ik bij de eerste handdruk al dacht, misschien een andere zoeken. Als die dan ook nog eens publiek gaat met dat hij "zijn" data niet terug krijgt, dan vraag ik me af of ik echt wel gaatjes had en daar nog twee keer voor terug moest komen.

Zo zijn er veel hoor. Hard geleerd, op kosten van ons allemaal, mooie bul gehaald. En dan balen dat er niet gelijk een glimmende nieuwe Porsche voor de deur staat. Met al die complimentjes en die cum laudes. Alleen daar zitten geen wielen onder en daar pik je geen dates mee op. En je kan er ook niet mee op wintersport.

Die leverancier heeft misschien nog wat rekeningen open staan. Of die hele praktijk gefinancierd. Wie weet?

Je mag het alleen niet suggereren, want het is natuurlijk wel een tandarts.
03-12-2018, 09:23 door PietdeVries - Bijgewerkt: 03-12-2018, 09:25
Dit is een datalek – als je geen backup hebt.

Vreemd - je raakt de controle over je data kwijt, en alleen als je geen back-up hebt zou het een datalek zijn? Dus als Marriot de gegevens van zeg 500 miljoen klanten laat kopiëren door een snaak op het internet, maar de database zelf hebben ze nog, dan is dat geen datalek? Wat is het dan?!?

Deze tandartsenpraktijk heeft niet langer de controle over de data die ze verwerkt. Dat heeft nu iemand anders. De praktijk kan dus niet controleren wat er gebeurt met de data. Lijkt mij dat "geen controle" := datalek...
03-12-2018, 09:25 door Anoniem
Ook wanneer de overeenkomst tussen de partijen beëindigd is en de tegenpartij heeft nog steeds de gegevens dan kun je heel simpel stellen dat de gegevens onbedoeld beschikbaar zijn voor deze tegenpartij en heb je ook een datalek. Als je dit niet goed hebt afgetimmerd in een overeenkomst dan kan de verwerkingsverantwoordelijke aardig in de problemen komen denk ik?
10-12-2018, 10:03 door Anoniem
Door PietdeVries: Marriot i.c.m. een snaak op het internet
Is iets anders dan een tandarts i.c.m. gespecialiseerde managed hosting.

Door PietdeVries: Dus als Marriot de gegevens van zeg 500 miljoen klanten laat kopiëren door een snaak op het internet, maar de database zelf hebben ze nog, dan is dat geen datalek? Wat is het dan?!?
dataloss.

Al hangt ervan af of de data nog uberhaupt bestaat - maar dat is nergens gezegd (of niet?)

Als Marriot alles vernietigt, heeft Visa, Mastercard, AMEX, SWIFT nog heel veel herleidbare data van exact diezelfde klanten.
Dat noem je ook niet direct een lek, of wel?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.