Een paar weken geleden werden we – voor de zoveelste keer – geconfronteerd met de onbezonnen manier waarmee er met onze persoonsgegevens wordt omgegaan. De medische gegevens van meer dan tweehonderdduizend dossiers van twee Belgische ziekenhuizen lagen een maand lang te grabbel op het internet. Bovendien werd ook een groot aantal Nederlandse patiënten slachtoffer.
Het Belgische databedrijf iGuana, verantwoordelijk voor het digitaliseren van de papieren dossiers, minimaliseerde echter het datalek en benadrukte dat de informatie niet bruikbaar was voor derden. Yeah right… Soit, het is niet mijn bedoeling om hier een klaagzang te houden over hoe achteloos ziekenhuizen of bedrijven omspringen met de data van patiënten. Belangrijker is de discussie over het wettelijk kader dat eigenlijk voorhanden is, maar in België nog niet wordt toegepast.
Ondertussen weet iedereen dat het Europees Parlement samen met de verschillende regeringen, de regels omtrent de bescherming van digitale data hebben gefinaliseerd in de ‘General Data Protection Regulation’. In Nederland werden deze regels reeds omgezet en geldt er sinds 1 januari 2016 een verplichte meldplicht voor datalekken. Niet-naleving kan leiden tot boetes van maximaal 820.000 euro. Nederland was uiteraard al een tijdje bezig met het voorbereiden van deze wetgeving om een vlotte omzetting te bewerkstelligen. Bij het recente datalek werd door het Nederlandse ziekenhuis dan ook keurig melding gemaakt bij de Autoriteit Persoonsgegevens, maar wat gebeurde er in België? Velen tasten nog steeds in het duister over wat er nu juist moet gebeuren bij een lek.
Afwachten is geen optie
Begin juni vorig jaar zaten Staatssecretaris voor Privacy Bart Tommelein en zijn Nederlandse collega voor Veiligheid en Justitie Klaas Dijkhof nog samen om best practices uit te wisselen. Tot op heden kregen de Europese regels nog geen verdere vorm in de Belgische wetgeving. Met één uitzondering: voor telecom-operatoren geldt in onze wetgeving wel reeds de verplichting om bij een datalek of inbreuken op de veiligheid de bevoegde autoriteiten in kennis te stellen. Voor al de anderen dus (nog) niet.
Het klopt dat de Belgische wetgever zich nog kan beroepen op een overgangsperiode voor de omzetting van de Europese regelgeving, maar deze huidige grijze zone is voor niemand goed. Zo toonde een Beltug-onderzoek midden vorig jaar nog aan dat er grote onduidelijkheid heerst omtrent de melding van datalekken. Meer dan de helft denkt dat het melden van een datalek verplicht is. Daarenboven werden maar liefst 22 uiteenlopende organisaties opgesomd bij de vraag aan wie een datalek moet worden gemeld. Het is hoog tijd dat de Privacy-commissie klaarheid schept over de huidige situatie en over de manier dat het de Europese regels vorm gaat geven.
Van wantrouwen naar vertrouwen
Als je kijkt naar het wantrouwen over de manier waarop er met onze gegevens wordt omgesprongen, dan neem ik er graag de recente Unisys Security survey bij. Uit onderzoek bij zo’n 11.200 consumenten wereldwijd bleek namelijk dat het wantrouwen in telecombedrijven en overheidsinstellingen het grootst is, als het op de bescherming van hun persoonlijke gegevens aankomt. Gezondheidsinstellingen komen echter niet eens voor in de top 5, wat na de recente gebeurtenissen wel eens zou kunnen veranderen. En al zeker wanneer mensen eindelijk beseffen dat hun medische gegevens op de zwarte markt ondertussen al tien keer meer waard zijn dan hun kredietkaart gegevens.
Het hoeft dus niet te verbazen dat een duidelijk wettelijk kader voor het melden van een datalek cruciaal is om gepast actie te ondernemen. Zo kunnen de gevolgen voor de betrokkenen alsnog beperkt worden en geeft de regering ook het signaal te willen meewerken aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Dat laatste is momenteel even zoek, niet?
