Pas op met het uitbesteden van projecten waarbij persoonsgegevens een rol spelen. Twee ziekenhuizen zijn tot de ontdekking gekomen dat het bedrijf dat zij hadden ingehuurd om patiëntendossiers in te scannen anders te werk is gegaan dan de bedoeling was. Het ingehuurde bedrijf liet de patiëntendossiers namelijk door gedetineerden ‘scanklaar’ maken.
De meldplicht datalekken dwingt organisaties er alles aan te doen om te voorkomen dat persoonsgegevens van werknemers of klanten op straat komen te liggen. Maar ook een externe partij waarmee uw organisatie samenwerkt, kan data lekken of te maken krijgen met lekken door cybercrime. Daar is uw organisatie dan voor verantwoordelijk. Daar weten het Isala ziekenhuis in Zwolle en het Amphia Ziekenhuis in Breda alles van. Beide ziekenhuizen hadden het inscannen van patiëntendossiers uitbesteed aan het bedrijf Iguana. Buiten hun weten om besloot Iguana echter om het ‘scanklaar’ maken van de patiëntendossiers uit te besteden aan een gevangenis in Leuven. Een groep gedetineerden werd ingezet om bijvoorbeeld de nietjes uit de dossiers te verwijderen. Het daadwerkelijke scannen deed Iguana weliswaar zelf, maar door het uitbesteden, waren de persoonsgegevens kwetsbaar voor verlies. Iguana heeft zich wel aan strenge eisen gehouden, waardoor er volgens eigen zeggen geen sprake is van een datalek.
Wees dus voorzichtig met uitbesteden van taken die met persoonsgegevens te maken hebben en onthoud dat de ondernemingsraad (OR) een belangrijke rol speelt bij privacy van werknemers: elke bedrijfsregeling die te maken heeft met het verwerken van gegevens van in de organisatie werkzame personen is namelijk instemmingsplichtig. Dat betekent dat het opstellen of wijzigen van zo’n regeling zonder toestemming van de OR niet zomaar kan. Dat staat in artikel 27 van de Wet op de ondernemingsraden (WOR). Dat geldt overigens ook voor bedrijfsregelingen op het gebied van ziekteverzuim. Om vergelijkbare situaties als met Iguana te voorkomen, is het daarom van belang om de ondernemingsraad bij dit soort kwesties te betrekken.
Meer informatie over datalekken vindt u in de toolbox Zo gaat u om met datalekken in 5 stappen.