Protocol bij datalekken

Geboortereis hecht grote waarde aan de bescherming van jouw persoonsgegevens. Ondanks alle maatregelen die wij nemen om jouw gegevens te beveiligen, kan een datalek nooit volledig worden uitgesloten. In dit protocol lees je wat een datalek is, welke stappen Geboortereis neemt bij een (vermoedelijk) datalek en wat dit voor jou als cliënt betekent.

Wat is een datalek?
Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan, of waarbij onrechtmatige verwerking van persoonsgegevens niet kan worden uitgesloten. Het gaat dan om toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij Geboortereis, zonder dat dit de bedoeling is.

Voorbeelden van een datalek zijn:

– een e-mail met medische gegevens die per ongeluk naar een verkeerd adres is gestuurd;
– het verlies of de diefstal van een laptop, telefoon of USB-stick met persoonsgegevens;
– een inbraak door een hacker in onze systemen of software;
– een brief met persoonsgegevens die bij een verkeerd persoon is bezorgd;
– het onbevoegd raadplegen van een cliëntdossier door een medewerker.
– een verkeerde koppeling in Peridos waardoor screeningsgegevens bij een andere zorgverlener terechtkomen;
– het inzien van een Peridos-dossier door een praktijk waar de zwangere niet (meer) onder behandeling is;
– foutieve invoer in Peridos waardoor screeningsuitslagen (zoals NIPT, combinatietest of SEO) aan de verkeerde cliënt worden gekoppeld.

Wat doen wij bij een (vermoedelijk) datalek
Wanneer Geboortereis een datalek constateert of wanneer er een vermoeden bestaat van een datalek, handelen wij volgens de onderstaande stappen:

1. Constateren en intern melden
De medewerker die het (vermoedelijke) datalek opmerkt, meldt dit direct bij de Functionaris Gegevensbescherming van Geboortereis, Kristel Winters (kristel@geboortereis.nl). Zij beoordeelt de situatie en coördineert de vervolgstappen.

2. Beperken van de schade
Geboortereis neemt onmiddellijk maatregelen om de gevolgen van het datalek te beperken. Denk hierbij aan het wijzigen van wachtwoorden, het blokkeren van toegang tot systemen of het informeren van betrokken verwerkers (zoals ICT-leveranciers).

Bij een datalek binnen het Peridos-systeem worden aanvullende maatregelen genomen, zoals het intrekken van autorisaties, het corrigeren van foutieve koppelingen en het informeren van de betrokken screeningsorganisatie.

3. Beoordelen van het incident
De Functionaris Gegevensbescherming beoordeelt de aard en de ernst van het datalek. Hierbij wordt onder meer gekeken naar:

– welke persoonsgegevens betrokken zijn (met name of het gaat om medische of andere bijzondere persoonsgegevens);
– hoeveel personen getroffen zijn;
– wat de mogelijke gevolgen zijn voor de betrokken cliënten;
– of het datalek is gestopt of nog voortduurt.

4. Melding bij autoriteiten

4a. De Autoriteit Persoonsgegevens
Als het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen, meldt Geboortereis het datalek zo snel mogelijk — en uiterlijk binnen 72 uur na ontdekking — bij de Autoriteit Persoonsgegevens (AP). Omdat Geboortereis medische en andere bijzondere persoonsgegevens verwerkt, zal een datalek in veel gevallen meldingsplichtig zijn. De melding bevat onder andere:

– de aard van het datalek en de getroffen categorieën persoonsgegevens;
– het geschatte aantal betrokken cliënten;
– de waarschijnlijke gevolgen van het datalek;
– de maatregelen die Geboortereis heeft genomen of voorstelt om het datalek aan te pakken en de gevolgen te beperken.

4b. Melding aan het Regionaal Centrum (SPSRU)
Wanneer het datalek betrekking heeft op gegevens die verband houden met de prenatale screening — zoals NIPT-uitslagen, combinatietests of SEO-verslagen — neemt Geboortereis naast de melding bij de AP ook contact op met de regiocoördinator van het Regionaal Centrum voor Prenatale Screening (SPSRU). Dit is noodzakelijk omdat een lek in screeningsgegevens de integriteit van de landelijke prenatale screening kan raken.

5. Informeren van betrokken cliënten
Wanneer het datalek naar verwachting een hoog risico inhoudt voor jouw rechten en vrijheden, informeert Geboortereis jou hier persoonlijk over. Wij doen dit zo snel mogelijk en in begrijpelijke taal. In deze melding vertellen wij je:

– wat er is gebeurd;
– welke gegevens van jou betrokken zijn;
– welke gevolgen het datalek mogelijk voor jou heeft;
– welke maatregelen Geboortereis heeft genomen;
– wat je zelf kunt doen om mogelijke nadelige gevolgen te beperken;
– hoe je contact met ons kunt opnemen voor vragen.

6. Registreren in het datalekregister
Geboortereis houdt een intern datalekregister bij. Hierin worden alle (vermoedelijke) datalekken vastgelegd, inclusief de feiten rondom het incident, de gevolgen en de genomen maatregelen. Dit register stelt ons in staat om te leren van incidenten en onze beveiliging doorlopend te verbeteren.

7. Evalueren en voorkomen
Na afloop van ieder incident evalueert Geboortereis het datalek en de genomen stappen. Op basis van deze evaluatie nemen wij waar nodig aanvullende maatregelen om vergelijkbare incidenten in de toekomst te voorkomen.

Preventie en bewustwording

Geboortereis neemt de volgende maatregelen om datalekken zoveel mogelijk te voorkomen:

– Alle medewerkers van Geboortereis zijn op de hoogte van dit protocol en weten hoe zij een (vermoedelijk) datalek moeten herkennen en melden.
– Geboortereis werkt conform de NEN 7510-norm voor informatiebeveiliging in de zorg. Dit houdt onder meer in dat medische dossiers worden opgeslagen en verwerkt via beveiligde servers en professionele clouddiensten die voldoen aan de eisen voor de bescherming van gezondheidsgegevens.
– Toegang tot cliëntgegevens is beperkt tot bevoegde medewerkers.
– Geboortereis sluit verwerkersovereenkomsten met alle partijen die namens ons persoonsgegevens verwerken.

Vragen of vermoedens?

Heb je vragen over dit protocol, of heb je zelf het vermoeden dat er sprake is van een datalek waarbij jouw persoonsgegevens betrokken zijn? Neem dan zo snel mogelijk contact op met onze Functionaris Gegevensbescherming:

– Kristel Winters
– E-mail: kristel@geboortereis.nl
– Telefoon: 035-7400064

Je hebt daarnaast natuurlijk altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.