Waarom zou de bloedgroep van rallyrijders in Hellendoorn vanwege de GDPR niet op hun rallyauto mogen staan?

Het bestuur van de Hellendoorn Rally kampt door de nieuwe privacywet GDPR / AVG opeens met een levensgroot dilemma, meldt RTV Oost. Mag de bloedgroep van rallyrijders voortaan nog wel op hun rallyauto vermeld staan?

Eerste gedachte, zoals bij iedereen denk ik, waarom zou dat niet mogen?

Tweede gedachte, als privacymanager, waarom zou dat niet mogen onder de privacywet?

Als ik mijn bloedgroep op mijn eigen auto wil zetten is er niemand die mij dat verbiedt. Dat moet ik zelf weten. Nergens staat in de wet dat ik mijn eigen persoonsgegevens niet zelf mag delen.

Waarom zou een rallyrijder daarom niet zelf zijn eigen bloedgroep op zijn eigen auto mogen plaatsen? Als het zijn eigen auto is, mag een rallyrijder dat zelf beslissen.

Het is iets anders als de rallycoureur in opdracht van iemand anders rijdt. Dan is de AVG wel van toepassing.

Bloedgroepgegevens vallen onder de GDPR-categorie bijzondere gegevens, die beschreven wordt in artikel 16 van de AVG.

Artikel 16 is conform de richtlijn geformuleerd als een verbod. Dit impliceert dat als hoofdregel geldt dat verwerking van gevoelige gegevens niet is toegestaan.

Het bestuur van de Hellendoornrally zou als organisatie wel een ontheffing van de regel kunnen vragen. Dan moet een beroep worden gedaan op zwaarwegend belang. Daar heeft het bestuur goede gegronde redenen voor.

Verwerking van bijzondere gegevens is volgens de GDPR slechts toegestaan indien dat noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen ter bescherming van de persoonlijke levenssfeer worden geboden en dat bij wet is bepaald of de Registratiekamer daarmee bij beschikking heeft ingestemd.

Volgens bestuurslid veiligheid Meijerink kan vermelding van de bloedgroep bij een ernsig ongeval met een rallyauto het verschil betekenen tussen leven en dood. Er is dan een vitaal belang.

“Uiteraard hebben artsen toegang tot de medische dossiers van de deelnemers, maar de hulpverlening kan inderdaad niet sneller dan wanneer de bloedgroep meteen op de auto te zien is”, zegt Meijerink bij RTV Oost.

Er is nog een reden waarom er eigenlijk geen dilemma zou hoeven te zijn.

De AVG bepaalt dat bijzondere gegevens alleen mogen worden verwerkt als daar expliciet toestemming voor gegeven is. Er mag geen druk uitgeoefend zijn. Het mag dus niet algemeen verplicht zijn.

Dat is bij de Hellendoorn Rally ook niet langer het geval, volgens Meijerink. “Dit is tegenwoordig niet meer verplicht, maar een aantal deelnemers doet dit nog wel.”

Het werkelijke dilemma in het nieuwbericht is dat er op voorhand vanuit wordt gegaan dat iets volgens de GDPR niet mag. Maar die veronderstelling is vaak – om in rallytermen te blijven – te kort door de bocht.

Sportclubs, verenigingen, scholen, bedrijven en allerhande instanties zijn niet gehinderd door enige kennis vanwege de torenhoge boetes die kunnen worden opgelegd als de dood om fouten te maken.

Het is goed dat iedereen stil staat bij de privacyregels.

Maar het is niet goed dat mensen zonder kennis van zaken verregaande conclusies trekken. Het is ook niet goed dat media de onrust vergroten door klakkeloos onprofessioneel onderbouwde veronderstellingen over te nemen zonder wederhoor bij professionele instanties.

In het geval van de Hellendoorn Rally geeft bestuurslid Meijerink zelf toe dat er nog geen deskundige hulp is ingeschakeld.

Volgens de woordvoerder wordt binnenkort contact opgenomen met de overkoepelende rallyorganisatie KNAF om te kijken naar een oplossing voor het probleem. “Tot nog toe hebben we het er alleen intern nog maar over gehad.”

De concluderende sturende vraag van RTV Oost “in hoeverre de nieuwe wetgeving dan ook zijn doel voorbij schiet omdat die juist cruciale vertraging in de hulpverlening kan veroorzaken?”, is dus voorbarig.

Meer actueel awareness nieuws

Groot medisch datalek schandaal in Duitsland. Miljoenen patientendossiers 300 ziekenhuizen op straat

Miljoenen patiëntgegevens van ruim 300 Duitse ziekenhuizen liggen door een datalek op straat, meldt de Duitse website Datenschutzbeauftragter.de.  Er wordt gevreesd voor een enorm datalek. Justitie is met een onderzoek begonnen.

De  patientgegevens zouden in handen zijn gekomen van activisten van het “Medileaks”-platform.

Volgens Duitse media zijn honderden ziekenhuizen bespioneerd door de activisten. Vermoed wordt dat gevoelige bijzondere persoonsgegevens illegaal gekopieerd en doorgegeven zijn.

Een speciale vereniging die verantwoordelijk is voor klinieken in voornamelijk het Rijnland informeerde ziekenhuizen medio april in een mailing over  “mogelijke gegevensdiefstal”.

Op 11 april werd de vereniging anoniem geïnformeerd dat het internetplatform “medileaks.cc” gevoelige gegevens bevat van meer dan 300 ziekenhuizen in Duitsland over een periode van tien jaar.

In de brief staat verder: “Volgens de exploitant, die zijn identiteit niet bekendmaakt en het internetdomein op de Australische Cocoseilanden heeft geregistreerd, bezit hij een derde van alle zogenoemde artikel 21 patientgegevens van ziekenhuizen in Duitsland van de afgelopen tien jaar.”

De Cocos-eilanden liggen in de Indische Oceaan en zijn een buitengebied van Australië.

Artikel 21 van de wetgeving over de financiering van Duitse ziekenhuizen (Krankenhausentgeltgesetzes  – KHEntgG) regelt de jaarlijks voorgeschreven overdracht van digitaal opgeslagen patientgegevens van ziekenhuizen aan het verantwoordelijke datacenter op federaal niveau.

De gegevensbestanden bevatten de informatie over het vorige kalenderjaar en moeten uiterlijk op 31 maart worden ingediend.

Duitse ziekenhuizen geven informatie over de omvang en structuur van het ziekenhuis en geeft inzicht in de financiën.

Er wordt echter ook gedetailleerde informatie over individuele patiënten en hun behandeling verstrekt.

Het datacenter heeft tot taak de informatie te verifiëren.

De geanonimiseerde gegevens worden ook opgenomen in de officiële statistieken, die onder meer bedoeld zijn om het federale ministerie van Volksgezondheid te helpen bij het nemen van beslissingen.

Medileaks is actief sinds begin 2018. Het platform exploiteert Medileaks “Data-analyse voor een eerlijker gezondheidssysteem”.

Het doel van Medileaks is om “de waarheid over Duitse ziekenhuizen” aan het licht te brengen.

Sinds het begin van het jaar zijn op de website talrijke verslagen gepubliceerd over vermeend wanbeheer in de gezondheidszorg, bijvoorbeeld over absenteïsme en personeelsverloop in ziekenhuizen, doktersalarissen en statistieken over sterfte en complicaties bij diverse operaties.

Ook gegevens van zorginstellingen zijn geanalyseerd.

Medileaks zorgt ervoor dat er geen patiëntgegevens of ziekenhuisgegevens worden gepubliceerd of doorgegeven aan journalisten, zegt het platform.

De gegevens van de ziekenhuizen zijn “veilig”, beweert Medileaks. “Wat niet zeker is, is het beleid van veel ziekenhuizen en ketens om economische efficiëntie boven het welzijn van de patiënt te stellen,” schrijven de activisten in hun blog.

De argumenten van Medileaks laten onverlet dat zij verantwoordelijk zijn voor diefstal van bijzondere persoonsgegevens, zoals patiëntgegevens in de nieuwe Europese privacywet GDPR genoemd worden. Zowel de actievoerders als de ziekenhuizen kunnen bijzonder zwaar bestraft worden voor het datalek dat er voor gezorgd heeft dat de patiëntgegevens van miljoenen Duitsers nu op straat liggen.

Bijzondere persoonsgegevens moeten door de verwerkingsverantwoordelijke ziekenhuizen extra goed beveiligd worden, volgens de GDPR. Nalatigheid kan bestraft worden met een boete van 4 procent van de jaaromzet van een ziekenhuis met een maximum van 20 miljoen Euro. In totaal kan dit de ziekenhuizen honderden miljoenen Euro’s kosten.

Daarnaast hebben de ziekenhuizen op basis van medische wetgeving te maken met geheimhoudingsplicht. Op basis van deze wetgeving kan de overheid ook boetes opleggen.

Naast financiële en persoonlijke gegevens van de klinieken kunnen namelijk ook gevoelige patiëntgegevens zoals leeftijd, geslacht en postcode in de op het platform opgenomen gegevens zijn opgenomen.

Justitie in Duitsland neemt de zaak hoog op. Een woordvoerder van het Keulse parket zegt dat de zaak wordt onderzocht. “Het parket heeft een klacht ontvangen. Welke gegevens zijn gestolen en hoe, zal nu worden bepaald.”

Justitie maakt bij het onderzoek gebruik van een team van internationaal ervaren IT forensisch experts van auditkantoor Ernst & Young.

Een woordvoerder van de Ziekenhuisvereniging Rijnland had de authenticiteit van de brief van Medileaks bevestigd. Volgens eigen verklaringen zijn 164 klinieken lid van de vereniging.

Meer actueel awareness nieuws