Uit een analyse van de Consumentenbond volgt dat het onduidelijk is wie aansprakelijk is als patiëntgegevens uit het Elektronisch Patiënt Dossier (EPD) in verkeerde handen vallen, en dat onduidelijk is waar mensen in zo’n geval kunnen aankloppen.
In de media (zie bijvoorbeeld Webwereld) wordt meteen geroepen dat de Consumentenbond hard uithaalt en dat de bond zelfs zou vinden dat de privacy slecht beschermd is. Dat haal ik persoonlijk niet direct uit het persbericht van de Consumentenbond.
Dat wel een gevoelige snaar wordt geraakt, moge duidelijk zijn. Er is al veel twijfel over de beveiliging van het EPD, en daar komt nu nog bij dat onduidelijk is bij wie je moet aankloppen als jouw gegevens bij de verkeerde instantie(s) terecht komen.
Vanuit de Wet Bescherming Persoonsgegevens bezien lijkt het antwoord op de bevindingen van de Consumentenbond overigens makkelijk: het is namelijk de verantwoordelijke (degene die zeg maar doel en middelen van de verwerking bepaalt) die aangesproken kan worden, of onder omstandigheden de bewerker (degene die kort gezegd in opdracht van de verantwoordelijke gegevens verwerkt).
In de praktijk kunnen er echter meerdere verantwoordelijken en bewerkers zijn, en dat is nu precies het (terechte) punt van de Consumentenbond. Het “kastje naar de muur” scenario doemt op.
De bond pleit in ieder geval voor risicoaansprakelijkheid voor bedrijven en overheden, zodat zij altijd aansprakelijk zijn. Daarnaast wil de bond dat er snel een laagdrempelig loket komt voor individuele klachtafhandeling.
Deze risico aansprakelijkheid gaat wellicht weer wat ver, maar dat de
verantwoordelijke(n) moet kunnen worden aangesproken, lijkt mij evident.