Zorgaanbieder ontvanger gegevens datalek Amersfoort?

hands-718558_640

In de gemeente Amersfoort mailde een ambtenaar een bestand met adres-, burgerservicenummer- en (jeugd)zorggegevens naar een niet bedoeld persoon. Op 13 april j.l. schreef ik hierover op deze website. Hierdoor ontstond een datalek dat 1900 burgers betrof. Na eerst zelf een radiostilte afgekondigd te hebben tot het raadsdebat op dinsdag 19 april, blijkt de verantwoordelijke wethouder Fleur Imming vandaag via het Algemeen Dagblad opeens gedeeltelijke opening van zaken te geven. De radiostilte vanuit de gemeente tot het debat maakte een vreemde indruk, omdat bij geopenbaarde datalekken juist openheid van het grootste belang is.

Gang van zaken

Aan de hand van een bericht op de website van het Algemeen Dagblad op 15 april 2016 is een reconstructie van het verloop in de tijd te zien. Het verhaal begint op 28 januari 2016 met een door een ambtenaar verzonden mail met het gewraakte bestand als attachment. Het moet gezien de vergissing wel een ontvanger geweest zijn, die in het adresbestand van de desbetreffende ambtenaar in Outlook gestaan heeft, een min of meer bekende dus.

De ontvanger van het bestand is vervolgens naar de Autoriteit Persoonsgegevens(AP) gestapt en heeft daar melding gemaakt van het datalek. Het is daarbij de vraag wanneer de ontvanger bij de AP melding heeft gemaakt van de stommiteit, want pas op 7 april 2016 neemt de AP contact op met de gemeente met de vraag of men iets kwijt is. Pas daarna heeft de gemeente zelf het datalek gemeld aan de AP.

Tussen januari en april is geprobeerd om:

  • met “technische middelen” het emailbericht plus databestand terug te halen
  • per email en telefoon contact op te nemen met de ontvanger met het dringende verzoek het bestand niet te delen met anderen en te vernietigen. De ontvanger zou een persoon en geen bedrijf zijn.

Wie wist ervan?

Deze punten roepen de nodige vragen op. De wethouder zegt pas in een laat stadium ingelicht te zijn. Gezien bovenstaande punten lijkt het erg waarschijnlijk dat behalve de desbetreffende ambtenaar ook minimaal mensen op de ICT-afdeling van de gemeente op de hoogte zijn geweest van het probleem. Een verstuurde mail “terughalen” is maar zeer beperkt mogelijk. Het kan alleen maar wanneer de ontvanger ook Outlook gebruikt, de ontvanger zijn mails op een online (dus extern toegankelijke) server bekijkt, de mail nog in de inbox zit en de mail nog ongelezen is. Praktisch gesproken kan dat alleen maar binnen enkele minuten na het verzenden. Zodra de ontvanger het bericht geopend heeft is het onmogelijk. Heeft iemand van de ICT-afdeling op een andere elektronische wijze gepoogd de data te vernietigen? Zo ja, op welke wijze?

Ontvanger

De gang naar de Autoriteit Persoonsgegevens is door de ontvanger gemaakt en niet door de gemeente. De ontvanger moet op de hoogte zijn geweest van de gevoeligheid van de data en van de noodzaak dit soort lekken te melden aan de AP. Het is zeer wel mogelijk dat de ontvanger bewust niet gereageerd heeft op de contactpogingen en verzoeken van de gemeente om te zien of de AP wel tot actie zou overgaan. Dit is een relevante vraag omdat de AP volgens de eigen voorzitter Jacob Kohnstamm onderbemand is en een vijf keer te klein budget heeft. Naar mijn gevoel moet de ontvanger dus goed op de hoogte zijn van de meldplicht plus de reactiecapaciteit van de AP.

Geheimhouding

Vandaag geeft de wethouder in het interview met het AD aan dat de onbedoelde ontvanger via zijn advocaat heeft laten weten het gewraakte bestand vernietigd te hebben en niet doorgespeeld te hebben naar derden. In het huidige digitale tijdsgewricht weet men nooit zeker of bestanden die ergens onbedoeld terecht gekomen zijn wel echt vernietigd zijn. Op het internet is namelijk nooit iets echt weg.

Beroepsgeheim

Normaliter zou men aan de belofte dat de gegevens vernietigd zijn in het huidige tijdsgewricht weinig waarde toekennen, tenzij het om een ontvanger gaat die van meet af aan een beroepsgeheim gebonden was. Een beetje crimineel had als ontvanger er geld voor gevraagd, een willekeurige burger had waarschijnlijk direct de pers ingeseind. Alles overziend lijkt het in Amersfoort om een persoon te gaan, die ook voor de wethouder blijkbaar betrouwbaar genoeg is. Zo betrouwbaar dat zij kan stellen dat na het deleten van het bestand niemand behalve de ontvanger inzage heeft gehad in het bestand en het niet doorgespeeld is naar derden, anders dan de Autoriteit Persoonsgegevens.

Het zou zeer wel mogelijk zijn dat het om een zorgaanbieder gaat die verontrust is om het omgaan met privacygevoelige informatie binnen de wijkteams van gemeenten die de jeugdzorg uitvoeren. Door zijn handelswijze bestaat nu zonder blootstelling van data aan derden de maximale aandacht voor dit probleem. Bovendien is getest of de Autoriteit Persoonsgegevens actie onderneemt bij een melding van een dergelijk datalek. Het zou mij niets verbazen als de ontvanger iemand is uit het zorgcircuit met een (medisch) beroepsgeheim. Een gewone burger zou een boete riskeren vanwege een overtreding van de Wet bescherming persoonsgegeven. Iemand met een )(medisch) beroepsgeheim riskeert bovendien een zeer negatieve uitspraak van de tuchtrechter.

W.J. Jongejan