Digitaliseren uitbesteden kan datalek betekenen

19 mei 2016 Door redactie

Pas op met het uitbesteden van projecten waarbij persoonsgegevens een rol spelen. Twee ziekenhuizen zijn tot de ontdekking gekomen dat het bedrijf dat zij hadden ingehuurd om patiëntendossiers in te scannen anders te werk is gegaan dan de bedoeling was. Het ingehuurde bedrijf liet de patiëntendossiers namelijk door gedetineerden ‘scanklaar’ maken.

De meldplicht datalekken dwingt organisaties er alles aan te doen om te voorkomen dat persoonsgegevens van werknemers of klanten op straat komen te liggen. Maar ook een externe partij waarmee uw organisatie samenwerkt, kan data lekken of te maken krijgen met lekken door cybercrime. Daar is uw organisatie dan voor verantwoordelijk. Daar weten het Isala ziekenhuis in Zwolle en het Amphia Ziekenhuis in Breda alles van. Beide ziekenhuizen hadden het inscannen van patiëntendossiers uitbesteed aan het bedrijf Iguana. Buiten hun weten om besloot Iguana echter om het ‘scanklaar’ maken van de patiëntendossiers uit te besteden aan een gevangenis in Leuven. Een groep gedetineerden werd ingezet om  bijvoorbeeld de nietjes uit de dossiers te verwijderen. Het daadwerkelijke scannen deed Iguana weliswaar zelf, maar door het uitbesteden, waren de persoonsgegevens kwetsbaar voor verlies. Iguana heeft zich wel aan strenge eisen gehouden, waardoor er volgens eigen zeggen geen sprake is van een datalek.

Instemmingsrecht ondernemingsraad bij privacygegevens

Wees dus voorzichtig met uitbesteden van taken die met persoonsgegevens te maken hebben en onthoud dat de ondernemingsraad (OR) een belangrijke rol speelt bij privacy van werknemers: elke bedrijfsregeling die te maken heeft met het verwerken van gegevens van in de organisatie werkzame personen is namelijk instemmingsplichtig. Dat betekent dat het opstellen of wijzigen van zo’n regeling zonder toestemming van de OR niet zomaar kan. Dat staat in artikel 27 van de Wet op de ondernemingsraden (WOR). Dat geldt overigens ook voor bedrijfsregelingen op het gebied van ziekteverzuim. Om vergelijkbare situaties als met Iguana te voorkomen, is het daarom van belang om de ondernemingsraad bij dit soort kwesties te betrekken.  

Bijlagen bij dit bericht

Gerelateerd aan dit nieuwsartikel

Laatst toegevoegd

Meest gelezen

E-learningcursussen

  • Professionele personeelsadministratie
    • Videocollege 14 minuten

    Zelfs als u maar één naam op uw loonlijst heeft staan, bent u verplicht een personeelsadministratie bij te houden. Daar komt best veel bij kijken. Veel ondernemers weten...

  • AVG: een introductie
    • Videocollege 14 minuten

    De AVG is vanaf 25 mei 2018 van toepassing en iedere organisatie moet hieraan voldoen. Onderschat niet de aanpassingen die uw organisatie hiervoor moet doen, want het zal een grote...

  • AVG: het sollicitatieproces
    • Videocollege 11 minuten

    Door de AVG gelden er per 25 mei 2018 nieuwe en aangescherpte privacyregels en dat heeft ook invloed op het sollicitatieproces. Deze e-learningcursus gaat dieper in op de nieuwe regels...

Heeft u een vraag over Datalekken?

Bouke van Kleef

Innovatiecoaches, trainers, adviseurs, huisstijlspecialisten en programmeurs

AVK
Adviseur is nu beschikbaar