Laat ik eerlijk zijn. Toen ik las dat er in een winkelwagentje van een supermarkt papieren van een dienstoverdracht van het HagaZiekenhuis met patiëntgegevens waren gevonden, was mijn eerste reactie ook: een datalek! Zeker toen ik verder in het artikel las dat het HagaZiekenhuis als verwerkingsverantwoordelijke over het lekken van de medische gegevens melding had gemaakt bij de Autoriteit Persoonsgegevens (AP). Het ziekenhuis zou het zeker wel goed uitgezocht hebben. Anders doe je geen melding. Maar is er eigenlijk wel sprake van een datalek?
Om te kunnen spreken van een meldenswaardig datalek moet allereerst de Algemene verordening gegevensbescherming (AVG) van toepassing zijn. De artikelen 33 en 34 van de AVG gelden pas als de AVG ‘überhaupt’ geldt. De AVG is materieel van toepassing als sprake is van een geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens. En als het niet om een geautomatiseerde verwerking gaat, dan kan het ook nog gaan om persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om in een bestand opgenomen te worden (zie artikel 2 lid 1 AVG). De begrippen ‘persoonsgegevens’, ‘verwerking’, en ‘bestand’ worden nader gedefinieerd in artikel 4 AVG.
Gaat het bij de in het winkelwagentje gevonden gegevens om persoonsgegevens? Het moet gaan om een gegeven waardoor een natuurlijk persoon direct of indirect kan worden geïdentificeerd. In de toelichting wordt nog aangegeven dat de identiteit van de betrokkene redelijkerwijs, zonder overmatige inspanning moet kunnen worden vastgesteld. [1] Als ik het artikel over het HagaZiekenhuis goed begrijp, gaat het om een dienstoverdracht, waarbij de naam van de patiënt met daarbij vermelding van de aandoening en het medicijngebruik is vermeld. Dat het bij het noemen van de naam om een persoonsgegeven gaat, is helder. Dat het met vermelding van de aandoening en de medicijnen, zeker in combinatie met de naam, om medische persoonsgegevens gaat, lijdt ook geen twijfel. Het gaat zelfs om bijzondere persoonsgegevens, te weten medische gegevens. [2]
Vervolgens moet er sprake zijn van een verwerking. De vinder van de papieren heeft de gegevens ingezien en geraadpleegd. Dat valt volgens artikel 4, ten tweede, AVG onder verwerken. Dus aan twee van de drie vereisten is voldaan.
Maar is er ook sprake van (gedeeltelijke) geautomatiseerde verwerking? Het zal niet ter discussie staan dat het gevonden papier uit een printer is gerold en dat de gegevens op dat papier ergens opgeslagen zijn op een server, een harde schijf of in een cloud en dat de gegevens zijn verwerkt op een laptop, desktop of tablet. Is het vinden van een vodje papier in een winkelwagentje met op de achterkant een boodschappenlijstje, zoals we het artikel over het HagaZiekenhuis mogen geloven, ook een geautomatiseerde of gedeeltelijke geautomatiseerde verwerking?
De AVG is allerminst helder over het begrip ‘geautomatiseerd’. Er is geen nadere definitie in artikel 4 AVG en ook de overwegingen, behorend bij de AVG, bieden geen duidelijkheid. Ook de beleidsregels van de AVG niet. Zwenne, hoogleraar aan de Universiteit Leiden, heeft aan de geautomatiseerde werking in 2017 een interessant en lezenswaardig artikel gewijd.[3] Het artikel is weliswaar onder de Wet bescherming persoonsgegevens (Wbp) geschreven, maar is ook toepasselijk voor de AVG. Ten aanzien van de materiële toepasselijkheid is er namelijk niets veranderd.
Bij geautomatiseerde verwerking denken we aan digitale gegevensdragers. Denk daarbij aan die laptop, aan een tablet of usb-stick. Bij een papier in een winkelwagentje denken we toch eerder aan een ‘papieren gegevensdrager’. Papier, misschien bijeengehouden door een nietje of een snelhechter of een mapje. Zwenne noemt in zijn artikel de voorbeelden van een brief en de procesdossiers die bouwvakkers tijdens een renovatie van een rechtbank in vuilniszakken aantroffen. gevonden in vuilniszakken. [4] Beide voorbeelden betreffen gegevens op papieren gegevensdragers, aldus Zwenne niet zijnde een geautomatiseerde gegevensverwerking. Dat geldt dan naar mijn mening ook voor de papieren dienstoverdracht.
Is er dan sprake van gedeeltelijke geautomatiseerde verwerking? De brief, de papieren in de vuilniszakken en het papiertje in het winkelwagentje zijn weliswaar papieren gegevensdragers, maar die papieren hebben wel een oorsprong in een digitale opslag van persoonsgegevens. Zwenne concludeert aan de hand van de memorie van toelichting van de Wbp, dat het bij gedeeltelijke geautomatiseerde verwerking moet gaan om een verwevenheid tussen de handmatige weerslag en de geautomatiseerde verwerking. Ze moeten beide dezelfde bestemming hebben en in het maatschappelijk verkeer moeten ze als één gezien worden. Zo geeft hij het voorbeeld dat het verwerken van persoonsgegevens van een andere orde is bij het schrijven van een brief dan in het bezorgen van een brief. Dat wordt anders als bij de postbezorging, bij het sorteren en distribueren van de post gebruik wordt gemaakt van geautomatiseerde middelen, zeker als er ook nog van een track-and-trace-systeem gebruik wordt gemaakt. Dan zijn, aldus Zwenne, de digitale sortering en de postbezorging wel als één te beschouwen.
Terug naar het winkelwagentje: het digitale verwerken van persoonsgegevens voor een dienstoverdracht is niet als één geheel te zien met het vinden van de uitdraai in een winkelwagentje. Er is niet eenzelfde bestemming en in het maatschappelijk verkeer zijn deze ook niet als één geheel te zien. De vondst in het winkelwagentje had niets van doen met de overdracht.
Als het dan geen (gedeeltelijke) geautomatiseerde verwerking is, is er dan sprake van verwerking in een bestand? Een bestand is een gestructureerd geheel van persoonsgegevens, dat volgens bepaalde criteria toegankelijk is. [5] Dit is een lastige definitie. Onder de Wbp is in de wetsgeschiedenis aangegeven (zie Zwenne) dat er sprake moet zijn van een gegevensverzameling, die met het oog op doeltreffende raadpleging, volgens bepaalde criteria is aangelegd. De in het gestructureerde geheel opgenomen persoonsgegevens moeten door diverse zoekcriteria gemakkelijk toegankelijk zijn. Daar moet aandacht aan besteed zijn. (Opgemerkt zij nog, dat bij de overgang van de Wbp naar de AVG het criterium dat het bestand op verschillende personen betrekking moet hebben, is komen te vervallen).
Als voorbeeld wordt steeds de kast met personeelsdossiers genoemd. [6] De dossiers in die kast hangen uiteraard op alfabetische volgorde en zijn zodanig gestructureerd dat ze allemaal hetzelfde zijn opgebouwd met een sollicitatiebrief, de verschillende arbeidsovereenkomsten in chronologische volgorde, de verslagen van de functioneringsgesprekken in chronologische volgorde, en de salarisstroken in chronologische volgorde, misschien nog geselecteerd op soort arbeidsovereenkomst of op functie etc. Het dossier is dan een gesystematiseerd geheel. De alfabetische volgorde, de chronologische volgorde en de onderscheiding naar functie zijn dan de criteria die het makkelijk maken, het toegankelijk maken, persoonsgegevens te achterhalen binnen dat gestructureerde systeem. Alleen een alfabetische volgorde zal onvoldoende zijn. Men kan ook denken aan kaartsystemen, waarbij met een combinatie van alfabetische volgorde ook met een volgorde op onderwerp of chronologische volgorde gegevens teruggevonden kunnen worden.
Ik heb het in het winkelwagentje gevonden papier niet met eigen ogen mogen aanschouwen, maar als ik het goed inschat is het papier van de dienstoverdracht niet meteen een gestructureerd geheel, waarmee met diverse criteria het gestructureerde geheel toegankelijk wordt om persoonsgegevens te achterhalen. De criteria in de wet zijn streng. Zo is een boek met enkel een alfabetisch register geen bestand. Pas als het register verschillende ingangen kent van een persoonsregister zou het een bestand kunnen zijn. Zo gestructureerd zoals dat boek, zoals de personeelsdossiers, zoals het kaartsysteem zal de dienstoverdracht niet zijn geweest. Simpelweg al vanwege het feit dat de dienstoverdracht weliswaar correct, maar snel, kort en krachtig zal moeten geschieden en dat er geen voldoende tijd/aandacht zal zijn besteed om met diverse criteria de gegevens inzichtelijk te maken in het ‘gestructureerde geheel’ van de overdracht.
Kortom: omdat er geen sprake is van een bestand, is er voor de toepasselijkheid van de AVG niet voldaan aan het criterium dat persoonsgegevens zijn opgenomen in een bestand of dat persoonsgegevens bestemd zijn om in een bestand op te worden genomen. Het lijkt er toch heel sterk op dat in het geval van het papier in het winkelwagentje er geen sprake is van toepasselijkheid van de AVG en dus ook niet van een datalek.
Slotbeschouwingen
Diegene die de dienstoverdracht heeft gevonden heeft een foto gemaakt van de dienstoverdracht. Deze foto heeft hij of zij gestuurd naar de krant. Is het maken van de foto dan geen geautomatiseerde verwerking, waarbij de fotograaf de verwerkingsverantwoordelijke is? Is daar de AVG niet van toepassing? Ik denk dat de AVG voor die situatie ook niet geldt. Ik verwijs hierbij naar artikel 2 lid 2 onder c AVG over de gegevensverwerking van persoonlijke aard en de uitleg daarvan zoals omschreven in overweging 18. Het gaat bij het maken van een foto en het versturen naar de krant niet om een beroeps- of handelsactiviteit. De AVG ziet vooral op die verwerking gericht op beroep of handel. Daarvan is hier geen sprake.
De krant zal op grond van haar journalistieke taak de foto en de persoonsgegevens opgeslagen hebben. [7]
In de berichtgeving over het HagaZiekenhuis hebben we ook kunnen lezen dat de werknemer of werkneemster, die het papier in het winkelwagentje heeft achtergelaten, is ontslagen. Het verhaal zegt niet op welke wijze hij of zij ontslagen is. Voor de werkgever is het te hopen dat deze geen ontslag op staande voet heeft gegeven met enkel kort en krachtig de mededeling dat er sprake is van een datalek. Want er zou wel eens geen sprake kunnen zijn van een datalek. Als dat de enige grondslag is, zou een kantonrechter in een eventuele procedure het de werkgever nog moeilijk kunnen maken. Het is te hopen voor die werkgever dat hij een concrete omschrijving van de feiten heeft gegeven waarop het ontslag is gebaseerd. We weten verder niet wat de functie van de ontslagen werknemer of werkneemster is. Er zouden meer redenen voor het ontslag kunnen zijn. Zo kent de Wet op de geneeskundige behandelovereenkomst (Wgbo) een geheimhoudingsverplichting, zo kennen diverse medische beroepsgroepen een beroepsgeheim en waarschijnlijk zal de arbeidsovereenkomst een geheimhoudingsbeding kennen of is er een aparte geheimhoudingsverklaring ondertekend. De geheimhouding van de medische gegevens is hier in ieder geval overtreden.
Daarbij had de werknemer of werkneemster enkel op grond van goed werknemerschap al moeten beseffen, ook al had hij of zij het hergebruik van het papier op het oog, dat het privacyrecht van patiënten, waarbij zeer gevoelige medische gegevens aan de orde zijn, in dit geval boven de duurzaamheid behoort te gaan.
[1] Tekst en Commentaar AVG, Gerrit-Jan Zwenne. Artikel 4, aantekening 1. 2018.
[2] AVG. Artikel 9, lid 1.
[3] Over verkeerd bezorgde brieven, een envelop met creditkaartgegevens en vuilniszakken met rechtbankdossiers. Gerrit-Jan Zwenne & Paul de Groot. 2017.
[4] De Telegraaf. 10 februari 2017.
[5] AVG. Artikel 4, ten zesde.
[6] AVG. Overweging 15.
[7] UAVG. Artikel 43.
Dit artikel is ook te vinden in de dossiers Privacy in de zorg en Datalek