Datalek | Protocol HuisartsenOZL & Meldingsformulier

Wat is een datalek?

De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of ‘onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten’.

Onder ‘onrechtmatige verwerking’ valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan.

Een datalek in de eerstelijns zorg wil zeggen dat er vanuit of binnen de praktijk/bedrijfsonderdeel persoonsgegevens van patiënten (data) op straat zijn gekomen, door onbevoegden zijn ingezien of verloren zijn gegaan.

Meer voorbeelden van situaties en mogelijke datalekken staan opgenomen in deze bijlage.

1. Beoordeel of echt sprake is van een datalek

Er is sprake van een datalek als door een inbreuk op de beveiliging, vertrouwelijke gegevens verloren kunnen zijn gegaan. Of als niet uitgesloten is dat deze door onbevoegden zijn verwerkt, binnen of buiten de beschermde omgeving van de praktijk, bedrijfsonderdeel of van de service provider.

Bij constatering van een (vermoedelijk) datalek kan voor overleg / consultering contact worden opgenomen met de Functionaris gegevens bescherming (FG)[1].

Voorbeelden:

Een USB-stick of pc op straat;
UZI-pas met pincode kwijt;
Inbreuk door een hacker (die toegang krijgt tot persoonsgegevens);
Diefstal van dossiers;
Fout van een medewerker;
Een andere (zorg)partij of gegevensbewerker meldt dat gegevens van de praktijk zijn gelekt;
Het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld);
Verlies van gegevens zoals bij een brand in het datacentrum terwijl er geen back-up beschikbaar is;
Voor meer voorbeelden zie ‘Bijlage Overzicht cases datalekken’.

Als patiëntgegevens zijn gelekt moet dat binnen 72 uur na het bekend worden ervan gemeld worden bij de Autoriteit Persoonsgegevens (AP).

(NB. Ten onrechte niet melden kan leiden tot hoge boete. Bij twijfel ook melden: een melding kan later altijd teruggetrokken worden).

[1] Functionaris gegevensbescherming (FG): De medewerker die belast is met toezicht houden op de toepassing en naleving van de AVG en ook de coördinatie heeft t.a.v. de procedure Meldplicht Datalekken. NB Voor praktijken die aangesloten zijn bij Stichting Privacy Zorg wordt de FG door de Stichting gefaciliteerd.

2. Melding aan de Autoriteit Persoonsgegevens (AP), inclusief formulieren

Wanneer sprake is van een datalek, wordt het datalek ‘onverwijld’ (uiterlijk op de tweede werkdag na het ontstaan van het incident) door de praktijk / bedrijfsonderdeel/ FG gemeld aan het Meldpunt Datalekken van de AP.

De melding moet tenminste de volgende gegevens bevatten:

De aard van de inbreuk (wat is er gebeurd?);
De oorzaak van het datalek (hack, diefstal, verlies, etc.);
Beschrijving van de gelekte persoonsgegevens (aard van de gegevens, hoeveelheid, etc.);
Eventuele maatregelen die genomen zijn/worden genomen om het datalek te dichten;
Een inschatting van het risico dat de betrokkenen kunnen lopen;
Contactgegevens van de melder.

De melding wordt gedaan via het op de website van de AP gepubliceerde meldformulier.

Het meldingsformulier voor Stichting Privacyzorg is te vinden via DEZE LINK.

3. Melding aan betrokkenen / patiënten

De praktijk / bedrijfsonderdeel/ FG stelt vervolgens vast of het datalek een ‘aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene(n) zijn verbonden’, tot gevolg heeft. Als daar sprake van is, dienen de betrokkenen geïnformeerd te worden over het datalek.

Als patiëntgegevens zijn gelekt moeten de patiënt(en) onverwijld geïnformeerd worden. Zij moeten zo nodig maatregelen kunnen nemen om zich te beschermen tegen de gevolgen van het datalek.

De praktijk / bedrijfsonderdeel/ FG informeert de patiënt(en) (individueel of in combinatie met algemene voorlichting) over de aard van de inbreuk, de instanties waar de betrokkene meer informatie over de inbreuk kan krijgen, en de maatregelen die de praktijk de betrokkene aanbeveelt om te nemen om de negatieve gevolgen van de inbreuk te beperken, zoals het veranderen van gebruikersnamen en wachtwoorden.

De aard van de inbreuk mag algemeen omschrijven worden: vermeldt de contactgegevens zodat de betrokkene de praktijk kan bereiken als hij of zij vragen heeft over het datalek.

De melding aan betrokkenen / patiënten is niet nodig indien de persoonsgegevens versleuteld of onbegrijpelijk zijn gemaakt waardoor deze niet te lezen zijn door anderen. Dit moet van geval tot geval beoordeeld worden omdat de effectiviteit van de versleuteling mede afhangt van (i) het gebruikte algoritme en (ii) het moment / punt waarop de gegevens zijn versleuteld.

4. Overzicht datalekken

De praktijk / bedrijfsonderdeel/ FG houdt een overzicht bij van de datalekken, met daarin onder meer de gevolgen van de datalekken en de herstelmaatregelen die zijn genomen. Dit overzicht mag uitsluitend de voor dit doel noodzakelijke (geanonimiseerde) gegevens bevatten.

Voor meer informatie over de meldplicht datalekken zie:

- Procedure meldplicht datalekken Huisartsen OZL

- Bijlage 1 Procedure Melding Datalekken algemeen

- Bijlage 2 De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) Beleidsregels voor toepassing van artikel 34a van de Wbp

- Bijlage 3 Informatie voor leden van de Datalekken Commissie

- Bijlage 4 Informatie voor de te interviewen interne personen door de Datalekken Commissie

- Bijlage 5 Informatie voor de te interviewen (medewerkers van) derden door de Datalekken Commissie

- Bijlage 6A/B Datalekken rapportage

Handreiking Meldplicht datalekken in de eerstelijnszorg van LHV, InEen, KNMP, NHG en KNMG: https://www.lhv.nl/service/handreiking-meldplicht-datalekken-de-eerstelijnszorg

Informatiesheet van dit document

Naam Document:	Datalek \| Protocol HuisartsenOZL & Meldingsformulier
Versie:	1.1
Laatst bijgewerkt:	30 januari 2024
Revisiedatum:	30 januari 2026
Vragen over dit document?	r.slijpen@hozl.nl