Privacy Alerts #2

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

In de vorige editie is aandacht besteed aan datalekken, maar ook de afgelopen week was het GGD-datalek nog volop onderwerp van debat. In de blog van 5 februari 2021 is daarom nog eens uiteengezet wat datalekken precies zijn en wat de AVG daarover zegt. Een belangrijk onderdeel om datalekken te voorkomen is een goede beveiliging, het eerste onderwerp van deze Privacy Alerts. Er is ook goed nieuws verschenen: de AP krijgt meer budget om datalekken aan te pakken. Verder in deze uitgave: vaccinatiedata.

Onvoldoende beveiliging

In de blog van over datalekken is benoemd dat het HagaZiekenhuis eerder een boete van 460.000 euro kreeg omdat het ziekenhuis de beveiliging niet op orde had. Vandaag heeft de AP bekend gemaakt dat het Amsterdamse ziekenhuis OLVG een boete van 440.000 krijgt om dezelfde redenen: Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen.

Ook heeft de NOS gemeld dat coronatest.nl, overheidswebsite voor testafspraken en uitslagen, onvoldoende is beveiligd. Verdere details over de beveiligingsproblemen zijn nog onbekend, maar het ministerie van Binnenlandse Zaken heeft volgens de NOS gedreigd de website af te sluiten van DigiD.

Budgetverhoging AP

Op 9 februari 2021 heeft de Tweede Kamer ingestemd met een motie om het persooneelsbudget van de AP te verhogen. De motie was ingediend tijdens een debat over het GGD-datalek, omdat het personeelstekort van de AP mede de oorzaak zou zijn van het GGD-datalek. De concrete aanleiding van de motie was een onderzoek van KPMG. In november 2020 werd daarin geconcludeerd dat de AP moet groeien van 184 fte naar 470 fte in 2025 om zijn wettelijke taken goed te kunnen uitvoeren. Als uitvoering wordt gegeven aan de motie kan de AP in 2022 van 184 naar 470 werknemers groeien.

Vaccinatiedata

Afgelopen week kopte de FD dat Amerikaanse techbedrijven zich storten op een nieuwe groeimarkt: vaccinatiedata. Verschillende bedrijven als IBM, Oracle, Microsoft en Salesforce zouden vaccinatieprogramma’s ontwikkelen waarin kan worden bijgehouden wie welk vaccin precies heeft gekregen. Naast overheden zouden ook luchtvaartmaatschappijen staan te springen om digitale bewijzen dat een passagier is gevaccineerd. Maar is het wenselijk dat een eventueel vaccinatiepaspoort in Nederland zou worden beheerd door commerciële Amerikaanse bedrijven? Zoals genoemd in onze whitepaper is het nog steeds vrij onduidelijk hoe de doorgifte van persoonsgegevens naar de Verenigde Staten op een verantwoorde manier kan worden doorgegeven.

Zoals bekend zijn vaccinatiedata gezondheidsgegevens en valt het onder de categorie bijzondere persoonsgegevens. Toch meldde de Gezondheidsraad afgelopen week dat instellingen en bedrijven in de principe de vrijheid hebben om een vaccinatiebewijs te vragen bij de toegang tot voorzieningen. Wanneer zij daarvoor kiezen, moet dat volgens de Gezondheidsraad goed zijn onderbouwd met een belangenafweging per geval: zij moeten kunnen aantonen dat het vaccinatiebewijs een gerechtvaardigd doel dient, noodzakelijk is om dat doel te bereiken, dat de voordelen opwegen tegen de nadelen en er geen minder ingrijpende manier is om het doel te bereiken. Het al dan niet invoeren van een vaccinatiebewijs staat in Nederland momenteel hevig ter discussie. Voorkomen moet worden dat het leidt tot ongelijke behandeling, waardoor burgers zich alsnog verplicht voelen om zich te laten vaccineren.

Robin Creuels

Robin Creuels

Robin Creuels is werkzaam als AVG & Cybersecurity jurist bij The Privacy Factory. Zij is in het bezit van een master ICT- en Privacyrecht.

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.