Burgergids.nl
Gesprek opnemen
← Terug naar blog
avg-privacy

Is ongeautoriseerde toegang tot je medisch dossier een datalek?

Burgergids · · 6 min leestijd

Is ongeautoriseerde toegang tot je medisch dossier een datalek?

Ja. Ongeautoriseerde toegang tot je medisch dossier is een datalek in de zin van de AVG. Het maakt niet uit of de gegevens zijn gekopieerd, gedeeld of alleen bekeken. Het openen van een medisch dossier door iemand die daar geen recht op heeft, is op zichzelf al een inbreuk op de beveiliging van persoonsgegevens.

Waarom het een datalek is

De AVG definieert een datalek (officieel: een inbreuk in verband met persoonsgegevens) in artikel 4 lid 12 als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Het woord “toegang” staat er expliciet in. Het enkele feit dat iemand zonder autorisatie je dossier opent, voldoet aan deze definitie. Er hoeft niets te zijn gekopieerd, gedeeld of gewijzigd.

Medische gegevens vallen bovendien onder de bijzondere categorieen persoonsgegevens van artikel 9 AVG. De AVG stelt extra eisen aan de bescherming van deze gegevens. Een datalek met medische gegevens wordt daarom als ernstiger beschouwd dan een datalek met reguliere persoonsgegevens.

Wat de arbodienst moet doen

Zodra de arbodienst op de hoogte is van ongeautoriseerde toegang tot je dossier, treedt de meldplicht in werking.

Melding bij de Autoriteit Persoonsgegevens. Op grond van artikel 33 AVG moet de verwerkingsverantwoordelijke (de arbodienst) het datalek melden bij de AP, tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor je rechten en vrijheden. Bij medische gegevens is dat risico er vrijwel altijd, gezien de gevoelige aard van de gegevens. De melding moet zonder onredelijke vertraging en uiterlijk binnen 72 uur na kennisname plaatsvinden.

Melding aan jou. Op grond van artikel 34 AVG moet de arbodienst het datalek ook aan jou melden als het waarschijnlijk een hoog risico inhoudt voor je rechten en vrijheden. Bij medische gegevens is dat doorgaans het geval. De melding aan jou moet in duidelijke en eenvoudige taal beschrijven wat er is gebeurd, welke gegevens het betreft, en welke maatregelen er zijn genomen.

Interne maatregelen. De arbodienst moet het datalek registreren in een intern datalekregister (artikel 33 lid 5 AVG), onderzoeken hoe de ongeautoriseerde toegang heeft kunnen plaatsvinden, en maatregelen nemen om herhaling te voorkomen.

Veelvoorkomende situaties

Ongeautoriseerde toegang tot medische dossiers bij arbodiensten komt vaker voor dan je denkt. Dit zijn veelvoorkomende situaties:

Een voormalige bedrijfsarts opent je dossier. Na overdracht aan een andere arts zijn de toegangsrechten niet aangepast. De vorige arts kan nog steeds bij je gegevens.

Een collega van de bedrijfsarts bekijkt je dossier uit nieuwsgierigheid. In arbodiensten waar meerdere artsen in hetzelfde systeem werken, kan een arts technisch gezien bij dossiers van patienten die niet bij hem of haar in behandeling zijn.

Een medewerker van de arbodienst zonder medische achtergrond opent je dossier. Denk aan administratief personeel, ICT-medewerkers of management dat zonder geldige reden medische dossiers bekijkt.

Je werkgever krijgt inzage in medische gegevens. De bedrijfsarts mag alleen functionele beperkingen en mogelijkheden delen met je werkgever, niet de medische diagnose of behandeling. Als je werkgever toch medische gegevens ontvangt, is dat een datalek.

Hoe je erachter komt

Je hebt recht op inzage in de toegangslogs van je dossier (artikel 15 AVG, in combinatie met NEN 7513). Vraag de arbodienst om een overzicht van alle toegangen tot je dossier over een bepaalde periode. Controleer:

  • Welke personen je dossier hebben geopend
  • Of die personen betrokken waren bij je behandeling
  • Of de toegangen op logische momenten plaatsvonden (rond je afspraken)
  • Of er toegangen zijn buiten kantooruren of op ongebruikelijke tijdstippen

Wat jij kunt doen als het niet wordt gemeld

Als je vermoedt of weet dat er ongeautoriseerde toegang is geweest tot je dossier en de arbodienst meldt het niet, heb je meerdere opties.

Meld het zelf bij de AP. Je kunt als betrokkene zelf een datalek melden bij de Autoriteit Persoonsgegevens. Ga naar de website van de AP en dien een klacht in. Beschrijf wat er is gebeurd en welk bewijs je hebt (bijvoorbeeld de toegangslogs).

Stuur een formele brief aan de arbodienst. Geef aan dat je kennis hebt van ongeautoriseerde toegang tot je medisch dossier, dat dit een meldplichtig datalek is op grond van artikel 33 AVG, en dat je verwacht dat de arbodienst het datalek meldt bij de AP en bij jou.

Dien een klacht in bij de klachtenfunctionaris. De arbodienst is op grond van de Wkkgz verplicht om een klachtenfunctionaris te hebben. Dien een formele klacht in over de schending van je privacy.

Overweeg een schadevergoeding. Op grond van artikel 82 AVG heb je recht op vergoeding van de schade die je lijdt als gevolg van een inbreuk op de AVG. Dit kan zowel materiele als immateriele schade omvatten. Een rechter kan schadevergoeding toekennen.

Bewijs is alles

Bij al deze stappen geldt: bewijs is cruciaal. Vraag de toegangslogs op, bewaar alle correspondentie, en documenteer alles schriftelijk.

Heb je gesprekken opgenomen met de bedrijfsarts? Een transcript van die gesprekken kan extra bewijs opleveren. Met ChatSafe maak je snel een nauwkeurig transcript dat je kunt gebruiken in je klacht of procedure.

Bescherm jezelf met een opname

Met ChatSafe transcribeer je gesprekken snel en goedkoop. Vanaf €0,25 per uur, geen abonnement nodig.

Gratis starten