Meldplicht datalekken huisartsenpraktijk

Heb jij wel eens een datalek moeten melden? Of heb je getwijfeld of het moest? Dat is niet zo vreemd. Wij krijgen van onze huisartsenpraktijken hier regelmatig vragen over.
Daarom hier de informatie nog eens op een rijtje. Met een korte kennis test.

Wat is een datalek?

Om goed om te gaan met datalekken is bewustzijn nodig. Bij zowel de huisartsen als de medewerkers van de huisartsenpraktijk. Hier ging datalekken in de huisartsenpraktijk over. Met daarin een korte kennistest die al veel gemaakt is!

Maar wat moet je ook al weer doen na het constateren van een datalek?

Als opfrisser nog een keer het overzicht van de te nemen stappen.

5 stappen bij een datalek

STAP 1 Breng de situatie in kaart. Wat is er precies gebeurd. Welke persoonsgegevens zijn gelekt? Wat is de omvang van het datalek? Welke personen hebben mogelijk toegang gehad tot de data?

STAP 2 Neem maatregelen om erger te voorkomen. Vraag bijvoorbeeld aan de onterechte ontvanger van een brief of email om deze te verwijderen.

STAP 3 Bepaal of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Belangrijk daarbij is wat de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Anders gezegd, het risico op misbruik van de gegevens, de inbreuk op hun privacy en de schadelijke gevolgen daarvan.

De omvang van een lek is niet van belang. Als de gelekte gegevens gevoelig van aard zijn (bijvoorbeeld medische gegevens van de patiënt)  dan maakt het niet uit om hoeveel personen of gegevens het gaat.

Meer informatie over wat onder gevoelige gegevens wordt verstaan lees je op de website van de AP.

Als er patiëntgegevens zijn gelekt, moet je dat binnen 72 uur na het bekend worden ervan melden bij de AP. Bij twijfel meld je ook; je kunt een melding later altijd weer intrekken. Ten onrechte niet melden kan leiden tot hoge boete. Je meldt een datalek via het Meldloket Datalekken van de AP.

STAP 4 Bepaal of de betrokkenen op de hoogte gesteld moeten worden.

Als een datalek waarschijnlijk een hoog risico inhoudt op de bescherming van de persoonlijke levenssfeer of op schade voor de persoon (ook reputatieschade), dan moet je de patiënt informeren.

Maar ook als er geen mededelingsplicht is op grond van de AVG, is er veel voor te zeggen om het toch aan de patiënt te vertellen. Dit vanwege de vertrouwensrelatie. Stel dat de patiënt er later toch achter komt, dan zou hij zich kunnen afvragen wat je nog meer voor hem achterhoudt. Dat komt de vertrouwensrelatie niet ten goede.

De patient moet zeker op de hoogte gesteld worden wanneer hij passende maatregelen moet kunnen nemen (bijvoorbeeld het instellen van een nieuw wachtwoord).

STAP 5 Registreer het datalek. Welke data, de oorzaak, gevolgen en welke maatregelen zijn getroffen. Dit zijn herstel maatregelen maar ook maatregelen om herhaling in de toekomst te voorkomen.


Wij hebben een ontzorgd kwaliteitssysteem waarin je ook de datalekken kan registreren. Door het slimme meldformulier wordt je door alle stappen heengeleid.
Benieuwd hoe ons systeem er uit ziet? Neem contact met ons op voor een vrijblijvende, kostenloze demonstratie (online via Teams).

Wil je je kennis of over de meldplicht van datalekken toetsen?
Doe dan de test met concrete voorbeelden uit de huisartsenpraktijk.