Over de LVVP

U heeft een mail naar een verkeerd mailadres gestuurd. Wat nu?

U heeft een mail naar een verkeerd mailadres gestuurd. Wat nu?

17-10-2019 Print

U typt de eerste letters van het mailadres in en het mailprogramma vult dit automatisch aan tot een compleet mailadres. U stelt de mail op en klikt op ‘verzenden’. Maar dan ziet u tot uw schrik dat de mail aan de verkeerde ontvanger is verstuurd. Is dit een datalek? En wat moet u in zo’n geval doen?

Een verkeerd verzonden mail is de meest voorkomende schending van de AVG. Het is dus geen schande als het u overkomt. Wel is het van belang om in zo’n situatie zorgvuldig te handelen en indien nodig een melding te doen van een datalek.

Is dit een datalek?
Dit is de eerste vraag die u zich moet stellen. Het antwoord hangt af van de informatie die in de mail staat. Alleen als de mail persoonsgegevens of tot personen te herleiden gegevens bevat, is het een datalek. Voorbeelden van persoonsgegevens zijn naam, woonadres, e-mailadres, woonplaats, geboortedatum, bsn en (in combinatie hiermee) informatie over afspraken, testuitslagen en/of behandelinhoudelijke informatie. Ook het feit dat een persoon contact heeft met c.q. in behandeling is bij een psycholoog of psychotherapeut, is vertrouwelijke informatie. Bevat de mail dergelijke gegevens? Dan is er sprake van een datalek.

NB: er zijn veel meer soorten datalekken. Kijk voor de precieze definitie van een datalek op de website van de Autoriteit Persoonsgegevens.

Moet ik melden bij de Autoriteit Persoonsgegevens?
Niet alle datalekken hoeven gemeld te worden. Of u een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Anders gezegd, het risico op misbruik van de gegevens, de inbreuk op hun privacy en de schadelijke gevolgen daarvan.

U moet aan de hand van de aard en de inhoud van de gelekte gegevens nagaan wat de impact op uw patiënt zou kunnen zijn. Als het niet waarschijnlijk is dat een datalek leidt tot een risico, dan hoeft u niet te melden. Als u bijvoorbeeld alleen een voornaam in de mail heeft vermeld, dan is de schade veel beperkter (want de persoon is moeilijk traceerbaar) dan wanneer er ook een huisadres en een bsn in de mail staat en er daarbij ook behandelinhoudelijke informatie is opgenomen. In het eerste geval is een melding niet noodzakelijk, in het tweede geval wel.

Algemeen uitgangspunt is dat u moet melden bij een hoog risico. Dat is het geval als er gegevens over iemands (geestelijke) gezondheid is gelekt. Bepaal per situatie wat de mogelijke impact is en motiveer altijd waarom u wel of geen melding doet bij de AP. Meer lezen? Kijk dan in de Guidelines meldplicht datalekken, pag. 26 verder.

Hoe en binnen welke termijn moet ik een melding doen bij de AP?
U moet een datalek binnen 72 uur na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens (AP). Alleen in uitzonderlijke gevallen accepteert de AP een vertraagde melding na 72 uur. U kunt een datalek melden via het meldloket datalekken.

Moet ik het aan de patiënt vertellen?
Als een datalek waarschijnlijk een hoog risico inhoudt op de bescherming van de persoonlijke levenssfeer of op schade voor de persoon (ook reputatieschade), dan moet u de patiënt informeren.
Er zijn redenen te bedenken waarom u zo’n voorval niet zou hoeven vertellen. Bijvoorbeeld dat de maatregelen die u genomen heeft, voldoende bescherming bieden. Of dat het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de patiënt (met opgave van reden). Maar ook als er geen mededelingsplicht is op grond van de AVG, is er veel voor te zeggen om het toch aan de patiënt te vertellen, vanwege de vertrouwensrelatie. Stel dat de patiënt er later toch achter komt, dan zou hij zich kunnen afvragen wat u nog meer voor hem achterhoudt. Dat komt de vertrouwensrelatie niet ten goede.

Het belangrijkste doel van het informeren van patiënten is dat ze begrijpen wat er met hun persoonsgegevens is gebeurd. En dat ze begrijpen wat zij kunnen doen om zichzelf te beschermen.
U moet daarom ten minste antwoord geven op de volgende vragen:

  • Wat is er gebeurd?
  • Wat zijn de waarschijnlijke gevolgen?
  • Welke maatregelen stelt u voor of heeft u al getroffen?
  • Kan de getroffen persoon zelf iets doen?
  • Waar terecht met vragen?

Meer informatie hierover vindt u op de website van de AP.

Wat moet ik nog meer doen?

  • Beperk de schade. Bij een aantal mailsystemen (met name de goed beveiligde), kunt u zien of het bericht al gelezen is. Ook bevatten dergelijke mailprogramma’s vaak een functie om mailberichten in te trekken. Als de mail al gelezen is of u kunt dit niet zien, neem dan contact op met de verkeerd geadresseerde en vraag of deze de mail -liefst ongelezen- permanent wil vernietigen. Vraag of hij/zij dit schriftelijk (per mail) aan u wil bevestigen. Als u de patiënt informeert, leg dan uit of u actie hebt ondernomen. Zo nee, waarom niet en zo ja, met welk resultaat.
  • Trek lering uit de gebeurtenis. Hoe kon dit gebeuren en welke maatregelen neemt u om de kans hierop in de toekomst te verkleinen? Als u de patiënt informeert, vertel dit er dan duidelijk bij. Zie ook laatste bullet over de veilige incidentmelding.
  • Vul het datalekkenregister in. Ook als u geen melding doet bij de AP. Een format vindt u op Mijn LVVP (zie download H – Invulformat verwerkings- en datalekkenregister). Mocht u een melding doen, dan kunt u de gegevens uit dit formulier vrijwel een-op-een overnemen op het meldingsformulier van de AP.
  • Vul het registratieformulier voor de veilige incidentmelding (vim) in. Meer informatie en een toelichting vindt u op Mijn LVVP (de 2-na-onderste download). Klik bovenin op de button ‘bewerken inschakelen’. Als u met de muis over de cellen met kolomtitels gaat, dan verschijnt per kolom een toelichting.
  • Bespreek de situatie zo nodig in uw intervisiegroep. Noteer in het vim-register dat u dit in intervisie besproken heeft en welke lering u hieruit heeft getrokken.

Ook interessant

Wat u moet weten over btw

De handreiking ‘Wat u moet weten over btw’ is herzien. De eerder aangekondigde wijziging van de kleine ondernemersregeling (KOR) hebben ...

Lees meer

Nieuwsupdate over contractering 2020

In deze nieuwsupdate vindt u meer informatie over het sluiten van een gecombineerd contract met Menzis, de doorleverplicht van VGZ ...

Lees meer