Gebruik van een onbeveiligde website van een ziekenhuis

    december 03, 2021

    De inspectiedienst van de Gegevensbeschermingsautoriteit onderzocht de zaak. Naar aanleiding van het onderzoek, werd een verslag opgesteld waaruit bleek dat het ziekenhuis enerzijds onvoldoende maatregelen had getroffen om de veiligheid van de (bijzondere) persoonsgegevens die via de website worden verwerkt, te waarborgen en dus een schending beging van artikel 32, lid 1, lid 2 en lid 4 van de AVG alsook op artikel 24, lid 1 AVG. Anderzijds werd in het verslag ook vastgesteld dat er inbreuken buiten het voorwerp van de klacht werden begaan op de artikelen 24 lid 1,38 lid 1 en 3 en artikel 39 AVG aangezien de functionaris van gegevensbescherming geen adviezen zou hebben gerapporteerd aan het hoogste orgaan binnen de instelling, zijnde de raad van bestuur. De Inspectiedienst was daarnaast van oordeel dat de adviezen die de functionaris van de gegevensbescherming heeft verstrekt over de beveiligingsmaatregelen voor de website, onvoldoende overtuigend waren.

    De geschillencommissie oordeelde dat de klacht in casu echter onontvankelijk was. De geschillenkamer van de Gegevensbeschermingsautoriteit stelde vast dat de klager bij de indiening van de klacht een algemeen publiek belang nastreefde bestaande uit de bescherming van de privacyrechten van een ieder die de website van het ziekenhuis bezoekt en eventueel gebruik maakt van de contactformulieren op de website. De klager had volgens de geschillencommissie evenwel niet aannemelijk gemaakt over enig persoonlijk belang te beschikken. Het feit dat hij patiƫnt was van het betreffende ziekenhuis is in de gegeven omstandigheden, waarin niet is gebleken dat zijn persoonsgegevens zijn verwerkt via het contactformulier en evenmin dat hij de intentie had om gebruik te maken van dat contactformulier, onvoldoende om dit belang vast te stellen. De Geschillenkamer seponeert de zaak maar maakt vervolgens een aantal interessante algemene overwegingen.

    Verwijzend naar artikel 9, artikel 24,lid 1 en artikel 32, lid 1 AVG is volgens de geschillenkamer de verwerkingsverantwoordelijke verplicht om de nodige technische en organisatorische maatregelen te treffen teneinde te garanderen dat gegevensverwerking in overeenstemming met de AVG wordt uitgevoerd. Ziekenhuizen, zo stelt de geschillenkamer* wier hoofdtaak is het verlenen van medische zorg, verwerken op regelmatige basis en grote hoeveelheden gezondheidsgegevens. Zij dienen derhalve extra waakzaam te zijn en er op toe te zien dat deze gegevens worden verwerkt in overeenstemming met de AVG. De Geschillenkamer wijst erop dat persoonsgegevens betreffende de gezondheid (en de doorgifte hiervan) voldoende beveiligd moeten worden en dat de gegevens daarom en onder andere voldoende sterk versleuteld moeten verzonden worden van de computer van de gebruiker naar de server die een website met een formulier aanbiedt. Dit kan gebeuren door gebruik te maken van een beveiligingscertificaat.

    Een vraag die niet onbelangrijk is, is de vraag aan wie de DPO moet rapporteren. Uit de verordening blijkt dat de functionaris voor gegevensbescherming rechtstreeks verslag moet kunnen uitbrengen aan de hoogste leidinggevende.* De Geschillenkamer sluit niet uit dat dit de algemeen directeur kan zijn binnen een ziekenhuis. Bovendien wijst de Geschillenkamer er nog op dat de verantwoordingsplicht zoals neergelegd in artikel 5.2 AVG met zich meebrengt dat de verwerkingsverantwoordelijke kan aantonen dat hij voldoet aan de plichten zoals omschreven in de AVG.

    *Zie www.gegevensbescherimngsautoriteit.be Beslissing Geschillenkamer GBA 117/2021


    Emma Van de Voorde