Dit artikel is eerder gepubliceerd op de website van Privacyrecht (d.d. 28-10-2019).
Laat ik eerlijk zijn. Toen ik las dat er in een winkelwagentje in een supermarkt papieren van een dienstoverdracht van het HagaZiekenhuis met patiëntgegevens gewonden waren, was mijn eerste reactie ook: een datalek!. Zeker toen ik verder in het artikel las, dat het HagaZiekenhuis als verwerkingsverantwoordelijke over het lekken van de medische gegevens melding had gemaakt bij de Autoriteit Persoonsgegevens. Zij zouden het wel goed uitgezocht hebben. Anders doe je geen melding. Maar is er eigenlijk wel sprake van een datalek?
Toepasselijkheid van de AVG
Om te kunnen spreken van een meldenswaardig datalek moet allereerst de AVG van toepassing zijn. De artikelen 33 en 34 van de AVG gelden pas als de AVG “überhaupt” van toepassing is. De AVG is materieel van toepassing als er sprake is van een geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens. En als het niet om een geautomatiseerde verwerking gaat, dan kan het ook nog gaan om persoonsgegeven s die in een bestand zijn opgenomen of die bestemd zijn om in een bestand opgenomen te worden (zie artikel 2 lid 1 AVG). De begrippen “persoonsgegevens”, “verwerking”, en “bestand” worden nader gedefinieerd in artikel 4 AVG.
Gaat het bij de in het winkelwagentje gevonden gegevens om persoonsgegevens? Het moet gaan om een gegeven waardoor een natuurlijk persoon direct of indirect kan worden geïdentificeerd. In de toelichting (zie Tekst en Commentaar AVG, Zwenne, artikel 4, aantekening 1, pagina 69) wort nog aangegeven dat de identiteit van de betrokkene redelijkerwijs, zonder overmatige inspanning kan worden vastgesteld. Als ik het artikel over het HagaZiekenhuis goed begrepen heb, ging het om een dienstoverdracht, waarbij de naam van de patiënt met daarbij vermelding van de aandoening en het medicijngebruik was vermeld. Dat het bij het noemen van de naam om een persoonsgegeven gaat, is helder. Dat het met vermelding van de aandoening en de medicijnen, zeker in combinatie met de naam om medische gegevens gaat, lijdt ook geen twijfel. Het gat derhalve zelfs om bijzondere persoonsgegevens (zie artikel 9 lid 1 AVG), te weten medische gegevens.
Vervolgens moet er sprake zijn van een verwerking. De vinder van de3 papieren heeft de gegevens ingezien en geraadpleegd. Dat valt volgens artikel 4, ten tweede AVG onder verwerken.
Geautomatiseerde verwerking
Maar is er ook sprake van (gedeeltelijke) geautomatiseerde verwerking? Het zal niet ter discussie staan, dat het gevonden papier uit een printer is gerold en dat de gegevens op dat papier ergens opgeslagen zijn op een server, een harde schijf of in een cloud en dat de gegevens zijn verwerkt op een laptop, pc, tablet etc. Is het vinden van een vodje papier in een winkelwagentje met daar op de achterkant een boodschappenlijstje, zo we het artikel over het HagaZiekenhuis mogen geloven, ook een geautomatiseerde of gedeeltelijke geautomatiseerde verwerking?
De AVG is allerminst helder over het begrip “geautomatiseerd”. Er is geen nadere definitie in artikel 4 AVG en ook in de overwegingen, behorend bij de AVG, bieden geen duidelijkheid. Ook de beleidsregels van de AVG niet. Zwenne, hoogleraar aan de Universiteit Leiden, heeft aan de geautomatiseerde werking in 2017 een interessant en lezenswaardig artikel gewijd. Het artikel is weliswaar onder de Wbp geschreven, maar ook toepasselijk voor de AVG. Ten aanzien van de materiële toepasselijkheid is er namelijk niets veranderd.
Bij geautomatiseerde verwerking denken we ten eerste aan digitale gegevensdragers. Daar daarbij aan die laptop, aan dat tabletr of aan die usb-stick. Bij een papier in een winkelwagentje denken we toch eerder aan een “papieren gegevensdrager”. Papier met misschien bijeengehouden door een nietje of een snelhechter of een mapje. Zwenne noet in zijn artikel het voorbeeld van een brief of de papieren gevonden in vuilniszakken (in het laatste voorbeeld betrof het procesdossiers van de rechtbank in vuilniszakken, die bouwvakkers bij een renovatie aantroffen, zie De Telegraaf van 10 februari 2017). Beide voorbeelden betreffen gegevens op papieren gegevensdragers, niet zijnde een geautomatiseerde gegevensverwerking.
Gedeeltelijke geautomatiseerde verwerking
Is er dan sprake van gedeeltelijke geautomatiseerde verwerking? De brief, de papieren in de vuilniszakken en het papiertje in het winkelwagentje zijn weliswaar papieren gegevensdragers, maar die papieren hebben wel een oorsprong in een digitale opslag van persoonsgegevens. Zwenne concludeert aan de hand van de memorie van toelichting van de Wbp, dat het bij gedeeltelijke geautomatiseerde verwerking moet gaan om een verwevenheid tussen de handmatige weerslag en de geautomatiseerde verwerking. Ze moeten beide dezelfde bestemming hebben en in het maatschappelijk verkeer moeten ze als één gezien worden. Zo geeft hij het voorbeeld dat het verwerken van persoonsgegevens van een andere orde bij het schrijven van een brief dan in het bezorgen van een brief. Dat wordt anders als bij de postbezorging gebruik wordt gemaakt bij het sorteren en distribueren van die post van geautomatiseerde middelen, zeker als er ook nog van een “track-and-trace”- systeem gebruik wordt gemaakt. Dan zijn, aldus Zwenne, de digitale sortering en de postbezorging wel als één te beschouwen.
Terug naar het winkelwagentje: het digitale verwerken van persoonsgegevens voor een dienstoverdracht is niet als één geheel te zien met het vinden van de uitdraai in een winkelwagentje. Er is niet eenzelfde bestemming en in het maatschappelijk verkeer zijn deze ook niet als één geheel te zien.
Een bestand
Als het dan geen (gedeeltelijke) geautomatiseerde verwerking is, is er dan sprake van verwerking in een bestand? Een bestand is een gestructureerd geheel van persoonsgegevens, dat volgens bepaalde criteria toegankelijk is. Zie artikel 4, ten zesde, AVG. Dit is een lastige definitie. Onder de Wbp is in de wetsgeschiedenis aangegeven dat er sprake moet zijn van een gegevensverzameling die met het oog op doeltreffende raadpleging volgens bepaalde criteria is aangelegd en waarvan de daarin opgenomen persoonsgegevens door de systematische structuur gemakkelijk toegankelijk zijn (zie Zwenne). Wel is bij de overgang van de Wbp naar de AVG het criterium dat het bestand op verschillende personen betrekking meot hebben komen te vervallen.
Als voorbeeld wordt steeds de kast met personeelsdossiers genoemd (zie ook overweging 15 bij de AVG). Die dossiers in die kast hangen uiteraard op alfabetische volgorde en die dossiers zijn zodanig gestructureerd dat ze allemaal hetzelfde zijn opgebouwd met een sollicitatiebrief, de verschillende arbeidsovereenkomsten in chronologische volgorde,, de verslagen van de functioneringsgesprekken in chronologische volgorde, en de slarisstroken in chronologische volgorde, geselecteerd op arbeidsovereenkomst of op functie etc. Het dossier is dan een gesystematiseerd geheel. De alfabetische volgorde, de chronologische volgorde en de onderscheiding naar functie zijn dan de criteria die het makkelijk maken, het toegankelijk maken, persoonsgegevens te achterhalen binnen dat gestructureerde systeem. Alleen een alfabetische volgorde zal onvoldoende zijn. Men kan ook denken aan kaartsystemen, waarbij met een combinatie van alfabetische volgorde ook met een volgorde op onderwerp of chronologische volgorde gegevens teruggevonden kunnen worden.
Terug naar het winkelwagentje
Ik heb het in het winkelwagentje gevonden papier niet met eigen ogen mogen zien, maar als ik het goed inschat is het papier van de dienstoverdracht niet meteen een gestructureerd geheel, waarmee met diverse criteria het gestructureerde geheel toegankelijk wordt om persoonsgegevens te achterhalen. De criteria in de wet zijn streng. Zo is een boek met enkel een alfabetisch register geen bestand. Pas als het register verschillende ingangen kent van een persoonsregister zou het een bestand kunnen zijn. Zo gestructureerd zoals dat boek, zoals de personeelsdossiers, zoals het kaartsysteem zal de dienstoverdracht niet zijn geweest. Simpelweg als vanwege het feit dat de dienstoverdracht weliswaar correct, maar snel kort en krachtig zal moeten zijn en dat er geen tijd zal zijn om met diverse criteria de gegevens inzichtelijk te maken in het gestructureerde geheel van de overdracht.
Kortom: het lijkt er toch heel sterk op dat in het geval van het papier in het winkelwagentje er geen sprake is van toepasselijkheid van de AVG en dus ook niet van een datalek.
Slotbeschouwingen
Diegene die de dienstoverdracht heeft gevonden heeft een foto gemaakt van de dienstoverdracht. Deze foto heeft hij of zij doorgestuurd naar de krant. De publicatie van het voorval door de krant zal onder de journalistieke vrijheid vallen zoals bedoeld in artikel 43 UAVG. Is het maken van de foto van geen geautomatiseerde verwerking, waarbij de fotograaf de verwerkingsverantwoordelijke is? Is daar de AVG niet van toepassing? Ik denk dat de AVG voto die situatie ook niet geldt. Ik verwijs hierbij naar artikel 2 lid 2 onder c AVG over de gegevensverwerking met van persoonlijke aard en de uitleg daarvan zoals omschreven in overweging 18. Het gaat bij het maken van een foto en het versturen naar de krant niet om een beroeps- of handelsactiviteit. De AVG ziet vooral op die verwerking gericht op beroep of handel. Daarvan is hier geen sprake.
In de berichtgeving over het HagaZiekenhuis hebben we ook kunnen lezen dat de werknemer of werkneemster, die het papier in het winkelwagentje heeft achtergelaten, ontslagen is. Het verhaal zegt niet op welke wijze hij of zij ontslagen is. Voor de werkgever is het te hopen dat deze geen ontslag op staande voer heeft gegeven met enkel kort en krachtig de mededeling dat er sprake is van een datalek. Want er zou wel eens geen sprake kunnen zijn van een datalek. Als dat de enige grondslag is zou een kantonrechter het de werkgever nog moeilijk kunnen maken. Het is te hopen voor die werkgever dat hij een concrete omschrijving van de feiten heeft gegeven waarop het ontslag is gebaseerd. We weten verder niet wat de functie van de ontslagen werknemer of werkneemster is. Er zouden meer redenen voor het ontslag kunnen zijn. Zo kent de Wet op de geneeskundige behandelovereenkomst (Wgbo) een geheimhoudingsverplichting, zo kennen diverse medische beroepsgroepen een beroepsgeheim en waarschijnlijk zal de arbeidsovereenkomst een geheimhoudingsbeding kennen of is er een aparte geheimhoudingsverklaring ondertekend. Daarbij had de werknemer of werkneemster op grond van goed werknemerschap moeten beseffen, ook al had hij of zij het hergebruik van papier op het oog, dat het privacyrecht van patiënten, waarbij zeer gevoelige medische gegevens aan de orde zijn, in dit geval toch boven de duurzaamheid behoorde te gaan.
Foto: https://www.google.nl/search?q=patientgegevens+in+een+winkelwagentje&sxsrf=ACYBGNSbjNX-enYcxN0VW6QRYQiCFXDkSw:1578319925141&source=lnms&tbm=isch&sa=X&ved=2ahUKEwjRg-vzk-_mAhUDLFAKHdq7DVMQ_AUoAXoECAsQAw&biw=1920&bih=962#imgrc=TwoiC-pOwH5GMM:&spf=1578319926958
No Comments