nieuws

Privacy: wat te doen als medewerkers de wet breken

Arbeidsrecht

Iedereen heeft er recht op dat zijn privacy wordt gerespecteerd. Werkgevers die nonchalant omgaan met de persoonsgegevens van werknemers kunnen rekenen op sancties. Maar wat te doen wanneer werknemers zelf een loopje nemen met de privacywetten?

Privacy: wat te doen als medewerkers de wet breken

Het Haga-ziekenhuis in Den Haag doet intern onderzoek naar tientallen medewerkers die ongeoorloofd het medisch dossier bekeken van Samantha de Jong, beter bekend als realityster Barbie. De Jong werd begin dit jaar met spoed opgenomen in het ziekenhuis nadat ze een zelfmoordpoging zou hebben gedaan.

Interne richtlijn niet nageleefd

Het dossier van De Jong is door de medewerkers ingezien via het ziekenhuisinformatiesysteem Chipsoft. Het bekijken van medische privégegevens mag echter alleen als er een medische betrokkenheid is bij die patiënt. Hoewel het onderzoek nog tot half april duurt, is het volgens de woordvoerder nu al wel duidelijk dat deze interne richtlijn door tientallen medewerkers niet is nageleefd.

Lees ook: Privacy in het personeelsdossier: wat mag en wat niet?

De kwestie kwam aan het licht door berichtgeving hierover door EenVandaag. Het programma werd op de hoogte gebracht door een tipgever via klokkenluidersite Publeaks.

Disciplinaire maatregelen

Het ziekenhuis gaat medewerkers die de regels hebben overtreden daarop aanspreken. Werknemers die voor de eerste keer in de fout zijn gegaan krijgen een waarschuwing. Maar tegen personeel dat vaker in de fout is gegaan, worden disciplinaire maatregelen getroffen, mogelijk zelfs ontslag, aldus de woordvoerder.

Dat er sprake was van inbreuk op de databeveiliging, was al bekend bij het ziekenhuis voordat de klokkenluider naar buiten trad. Dit kwam aan het licht bij periodieke controles. Het ziekenhuis heeft De Jong van de situatie op de hoogte gesteld en heeft melding gedaan bij de Autoriteit Persoonsgegevens.

Menselijke fouten

De AP heeft de zaak in onderzoek genomen. De zorg staat al jaren in de top-drie van meldingen van datalekken. Die lekken worden vermoedelijk vooral veroorzaakt door onbeveiligde verbindingen en menselijke fouten.

Wat zegt de wet?

Artikel 13 van de Wet bescherming persoonsgegevens (Wbp) verplicht organisaties die persoonsgegevens vastleggen ervoor te zorgen dat de data is beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking.

  • Wanneer deze beveiliging wordt geschonden, zoals is gedaan door de medewerkers van het Haga Ziekenhuis, moet de organisatie de Autoriteit Persoonsgegevens direct informeren. Dit staat in artikel 34a van de Wbp.
  • De organisatie moet de AP in ieder geval laten weten wat de aard van de inbreuk is, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
    De kennisgeving aan de AP omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
  • Wanneer de inbreuk negatieve gevolgen heeft voor de persoonlijke levenssfeer van degene wiens privacy is geschonden, moet deze betrokkene ook worden geïnformeerd.

Lees ook: ABC van de privacy

Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Niet elke inbreuk op databeveiliging is ook een datalek. Om te helpen vast te stellen of er sprake is van een datalek, heeft de Autoriteit Persoonsgegevens het richtsnoer meldplicht datalekken opgesteld.

Invoering AVG

Let op: vanaf 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene verordening gegevensbescherming (AVG). De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.


Zorg dat u ook na 25 mei voldoet aan de wet. Het congres De nieuwe privacywetgeving behandelt alle veranderingen die HR raken.

Reageer op dit artikel