Waarop ligt de focus van de Autoriteit Persoonsgegevens (AP), toezichthouder op privacy in de zorg?

Waar focust de AP zich op?

De AP publiceert ieder jaar een verslag, waarin zij verantwoording aflegt over hoe zij in het afgelopen jaar haar handhavingstaak heeft ingevuld en tevens vooruitblik doet op aankomend jaar. Recentelijk heeft de AP haar jaarverslag van 2024 gepubliceerd. Daarin wordt ingegaan op 2024 en aankomend jaar (2025).

In het jaar 2024 had de AP vijf focusgebieden, te weten:

• Algoritmes & AI;
• Big Tech;
• Vrijheid & veiligheid;
• Datahandel en;
• Digitale overheid.

Daarnaast heeft de AP in 2024 streng gehandhaafd bij grote partijen, zoals Meta, Uber, Booking.com en Netflix. Er is niet altijd gekozen om een boete op te leggen door de AP, maar er zijn ook andere handhavingsinstrumenten ingezet. Zo heeft de AP in 2024 ‘maar’ 6 boetes opgelegd, vier keer een last onder dwangsom en zeven berispingen. Ook heeft de AP in 2024 meer aandacht voor de positie van de Functionaris Gegevensbescherming (FG) op nationaal en Europees niveau gebracht, zoals de ontwikkeling van een nationaal kwaliteitsregister voor FG’s en de goedkeuring van EDPB voor certificeringscriteria van Brand Compliance.

Ook heeft de AP aangegeven nieuwe EU-regels als de AI-verordening en de Europese Digital Service ACT (DSA) te zullen gaan handhaven. De AI-verordening vereist risicoclassificatie van AI-systemen, verboden toepassingen (zoals real-time biometrische identificatie in de openbare ruimte) en extra conformiteitseisen voor hoog-risico AI. Het is dus belangrijk als organisatie om alvast stappen te zetten, zodat de organisatie compliant is met deze regelgeving. Organisaties die AI inzetten, doen er goed aan nu alvast te inventariseren van welke systemen hieronder vallen en welke aanpassingen nodig zijn.

Waar heeft de AP boetes voor uitgedeeld?

De AP is bevoegd om sancties op te leggen als een organisatie in strijd handelt met privacy wet- en regelgeving. De AP publiceert op haar website de boetes en andere sancties, zoals een waarschuwing of verwerkingsverbod, die zij oplegt. Dat zijn er overigens niet veel, het gaat om zo’n acht publicaties in het jaar 2024 en slechts twee in 2023. Hieronder wordt één van deze boetes uitgelicht, nu deze voor mondzorgaanbieders relevant is om kennis van te nemen.

Boete orthodontiepraktijk

Aan een orthodontiepraktijk werd in 2021 door de AP een boete van 12.000 euro opgelegd omdat de praktijk niet voldeed aan de AVG. Hoewel deze boete al van een tijdje geleden is, is de inhoud ervan nog steeds super actueel. De boete kwam na een klacht over de onveilige website van de praktijk, waar nieuwe patiënten zich online konden aanmelden. Via een onbeveiligde verbinding werden gevoelige gegevens, zoals het BSN van patiënten, verzonden. Doordat het formulier via een niet-versleutelde verbinding werd verstuurd, creëerde dit een aanzienlijk risico voor de privacy van de patiënten, aangezien criminelen deze gegevens relatief eenvoudig konden onderscheppen, wat zou kunnen leiden tot identiteitsdiefstal of oplichting.

De AP heeft deze feiten getoetst aan artikel 32 lid 1 AVG. Dit artikel regelt de vereisten voor de beveiligingsmaatregelen, maar betreft een erg open norm. Zo luidt het artikellid als volgt:

“Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a) de pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.”

Er dienen dus voldoende maatregelen te worden genomen met een passend beveiligingsniveau, zowel op organisatorisch als technisch vlak. De AP licht toe in haar boetebesluit dat ten aanzien van het gebruik van het BSN-nummer er voldaan moet worden aan de vereisten uit de NEN7510. Ten aanzien van het gebruik van een webpagina dient het protocol beveiligen verbinding internet te worden gevolgd waarvoor een TLS-certificaat wordt afgegeven. In dit geval waren geen beheersmaatregelen getroffen en was de beveiliging van de website onvoldoende: het formulier met persoonsgegevens werd via een niet-versleutelde verbinding verstuurd. Er is, aldus de AP, sprake van een onbeveiligde verbinding en daarmee een schending van artikel 32 lid 1 AVG.

De AP benadrukte dat zorgverleners, groot of klein, de privacy van hun patiënten serieus moeten nemen en voldoende beveiligingsmaatregelen moeten treffen. De AP benadrukte ook dat kinderen, die in deze praktijk vaak patiënten zijn, extra bescherming verdienen volgens de AVG, omdat zij als (nog) kwetsbaarder worden beschouwd.

Tot slot

Hoewel de AP in 2024 voornamelijk boetes heeft opgelegd aan grote bedrijven, wordt zij ook actiever in de handhaving van de AVG-verplichtingen richting kleine bedrijven. Afhankelijk van de mate van de inbreuk op de AVG kan er een sanctie – waaronder een forse boete – worden opgelegd. Het is dan ook raadzaam om als organisatie na te gaan of alle AVG-verplichtingen voldoende worden nageleefd én de ontwikkelingen op dit gebied te volgen.

Door: mr. Demi van Rossenberg en mr. Silke van Dijk – www.eldermans-geerts.nl
Advocaten | Zorgmakelaars | Juristen | Adviseurs in de zorg