BCC bij e-mail niet gebruiken kan zeer kwalijk en kostbaar blijken

email-273502_640

Dat ervoer in Londen een sexual health clinic, onderdeel van de Chelsea and Westminster NHS Foundation Trust. Die kreeg van de Information Commissioner’s Office(ICO), de Britse equivalent van de Autoriteit Persoonsgegevens een boete van 180.000 Pound Sterling vanwege het zeer slordig versturen van e-mails. Het e-mailen van patiëntgegevens met standaard e-mail is sowieso uit den boze, maar ook met iets wat onschuldig lijkt kan het misgaan.  Een nieuwsbrief die ging over de behandeling van HIV-patiënten werd aan 781 email-adressen gestuurd door gebruik te maken van het CC- in plaats van het BCC-veld. Hierdoor was het aan alle ontvangers duidelijk naar wie nog meer de mail verzonden was. Het speelde zich af in 2015. De berichtgeving hierover staat op de website www.theregister.co.uk. Aangezien het ook voor de Nederlandse zorg van belang is besteed ik er graag aandacht aan. 730 personen waren direct uit de emailadressen herleidbaar. Van de ontvangers was een klein aantal niet lijdend aan een HIV-besmetting. Een nieuwsbrief verzenden. Het lijkt allemaal zo onschuldig maar bij een dermate gevoelig onderwerp als HIV moet men extra beducht zijn op uitglijders. Het was ook de tweede keer dat de instelling op dezelfde wijze in de fout ging. In 2010 gebeurde het eerder.

Bont

De kliniek maakte het bij de fout in 2015 wel heel bont toen een tweede mail aan alle geadresseerden om de fout “ongedaan te maken”, verstuurd werd, waarschijnlijk met het verzoek de mail te vernietigen. Deze correctiemail werd weer zonder gebruik van het BCC-veld naar alle ontvangers gestuurd!! Pas een derde mail van de leiding werd op de correcte wijze als Blind Carbon Copy verstuurd.

ICO

Op de website van de ICO is door te zoeken op “fine”(=boete) of op “BCC” te vinden dat dit soort problemen vaker voorkomen en tot een boete geleid hebben. Op de website van de ICO wordt duidelijk dat deze organisatie aardig actief is. Ze houdt zich niet alleen met boetes uitdelen bezig, maar doet ook uitgebreid audits om te zien of privacyrichtlijnen wel opgevolgd worden. Wat weer niet helemaal te begrijpen is dat de ICO een recente samenwerking tussen de dochter DeepMind van Google en anderzijds drie Londense ziekenhuizen vooralsnog lijkt toe te staan terwijl een hele grote groep patiënten geen opt-out kan uitoefenen. Daarenboven is een opt-out-toestemming bij privacy-zaken in de zorg niet meer van deze tijd. Het dient een bewuste, wel ingelichte, opt-in-toestemming te zijn.

Autoriteit persoonsgegevens

Deze heeft pas sinds 1 januari 2016 de mogelijkheid (forse) boetes uit te schrijven bij schendingen van de privacy in de zorg. Tot nu toe is er geen bericht naar buiten gekomen van het uitdelen van een boete binnen de zorg. Mogelijk gaat het recente dataverlies met een mobiele harde schijf of USB-stick wel beboet worden of de verkeerde adressering van een e-mail met jeugdzorggegevens in Amersfoort.

We gaan het zien.

W.J. Jongejan