top of page

Barbie en bedrijfscultuur: datalekken als integriteitsprobleem



Datalekken en privacy zijn onderwerpen die iedereen in een organisatie aangaan. Zoveel is voor velen inmiddels duidelijk. In hoeverre privacy verweven is met de hoofdbezigheden van een organisatie, wordt pijnlijk duidelijk in de zaak rond het onbevoegd inzien van het medische dossier van reality-ster Samantha de Jong, beter bekend als ‘Barbie’.


Klokkenluiders van Publeaks meldden aan EenVandaag dat tientallen medewerkers van het Haga-ziekenhuis in Den Haag inzage gehad hebben in het medische dossier van mevrouw De Jong, terwijl zij daartoe niet bevoegd waren. Dit is nog eens extra pijnlijk omdat mevrouw De Jong werd opgenomen na een poging tot suïcide. Het personeel had toegang tot het dossier via het informatiesysteem Chipsoft. Na vragen heeft het ziekenhuis een melding gemaakt bij de Autoriteit Persoonsgegevens.


Natuurlijk rijst de vraag of de toegang via Chipsoft niet beter geregeld had kunnen worden. Het is onvoorstelbaar dat gevoelige persoonsgegevens zoals medische dossiers kennelijk door onbevoegden kan worden geraadpleegd. Technisch gezien moet het niet moeilijk zijn om toegangsrechten op een behoorlijke manier in te richten. Het feit dat dit niet is gebeurd, geeft al te denken over hoeveel waarde het Haga-ziekenhuis kennelijk hecht aan de privacy van zijn patiënten. En hier zit eigenlijk de echte crux.


Aan privacy zit een morele kant, die niet snel kan worden opgekalefaterd met wat technisch lapwerk. Privacy is namelijk een integriteitsissue, dat direct raakt aan de cultuur van een organisatie. Wanneer een ziekenhuis personeel in dienst heeft dat er geen been in ziet om het medisch dossier in te zien van een patiënt uit hoofde van niets anders dan vulgaire nieuwsgierigheid, is er iets grondig mis in de bedrijfscultuur. Dit beeld wordt nog eens bevestigd door het feit dat het ziekenhuis pas melding maakte van het datalek nadat het vragen via de pers had gekregen. Op deze manier wordt in elk geval de schijn gewekt dat een melding niet had plaatsgevonden als het datalek niet bij de pers bekend was gemaakt.


Moraal van dit verhaal is dat de AVG organisaties ook oproept om verder te kijken dan techniek en regeltjes. De echte winst is vooral te behalen in een cultuuromslag. Het is nodig dat er binnen organisaties een cultuur ontstaat waarin medewerkers het beschermen van privacy normaal en waardevol vinden.


Dit betekent niet alleen dat medewerkers beter moeten weten dan in gegevens te neuzen waar zij niets mee te maken hebben. Het betekent vooral ook dat melden veilig moet kunnen binnen een organisatie. Hiermee bedoel ik dat melden niet wordt bestraft van hogerhand of op de werkvloer als deloyaal of een soort verraad wordt beschouwd.


Het is tegelijkertijd ook van belang dat organisaties laten zien dat melden zin heeft. Dit betekent dat melden consequenties moet hebben. Er moet iets gedaan worden met meldingen. In het geval van personeel dat zich opzettelijk schuldig maakt aan inbreuken op de privacy, zijn sancties zeker op zijn plaats. Dit geldt helemaal voor sectoren met toegang tot extreem gevoelige persoonsgegevens zoals de zorg.


De AP kan in dezen ook een bijdrage leveren. De toezichthouder kan door forse boetes laten zien dat privacy geen papieren recht is, en dat de straffeloosheid van de afgelopen jaren nu toch echt ten einde is.


Uitgelichte berichten
Recente berichten
Archief
Zoeken op tags
Er zijn nog geen tags.
Volg ons
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page