Nieuws & blogs

11 aug 2015

Privacy persoonsgegevens niet gewaarborgd na installatie Windows 10


Bron: Zorgvisie | Willem Balfoort

Wie Windows 10 installeert, geeft standaard toestemming om allerlei privacygevoelige gegevens naar Microsoft te verzenden. Dit houdt een aanzienlijk risico in voor zorgprofessionals en -bestuurders.

Categorie: Archief
Ingezonden door: Martijn

 

 

Microsoft is begonnen met de grootscheepse uitrol van Windows 10. Gebruikers van Windows 7, 8 en 8.1 kunnen hun huidige versie van Windows zelfs gratis upgraden naar de nieuwste versie van het veelgebruikte besturingssysteem van Microsoft. Over het algemeen wordt Windows 10 gezien als een vooruitgang ten opzichte van eerdere Windowsversies. Er bestaat echter een aanzienlijk probleem met Windows 10: de privacy van haar gebruikers lijkt in het gedrang te komen. En dit vormt een risico voor zorginstellingen.

Wetgeving

Zoals bekend zijn zorginstellingen gebonden aan strikte wetgeving als het gaat om het verzamelen, opslaan en doorgeven van (medische) persoonsgegevens. Onder meer de Wet bescherming persoonsgegevens (Wbp) en de Wet op de geneeskundige behandelingsovereenkomst (WGBO) bepalen dat medische gegevens alleen onder strikte voorwaarden verwerkt mogen worden. Op grond van de WGBO mogen in beginsel alleen "degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener" toegang tot het medisch dossier verkrijgen.

Privacy patiënt

Wie echter Windows 10 installeert, geeft standaard toestemming om allerlei privacygevoelige gegevens naar Microsoft te verzenden.

Zorginstellingen en zorgprofessionals die Windows 10 gebruiken, lopen een reëel risico dat ze hierdoor handelen in strijd met de geldende wetgeving. Want het zijn niet alleen 'onschuldige' data die Microsoft verzamelt. Veel van de data zijn uitermate privacygevoelig. Niet alleen contact- en agendagegevens, maar ook surfgedrag, Wi-Fi-wachtwoorden, locatiegegevens en zelfs potentieel alle 'typing and inking data' (oftewel: alles dat getypt of anderszins in de computer ingevoerd wordt) worden standaard naar Microsoft verzonden. Bovendien worden foutrapporten, in voorkomende gevallen inclusief op de computer opgeslagen documenten van de gebruiker, automatisch verzonden. Hierbij komt nog dat Microsoft een Amerikaans bedrijf is. Volgens de Wbp mogen persoonsgegevens niet naar landen buiten de EU verzonden worden. Dit geldt temeer voor medische gegevens.

Kortom: Microsoft krijgt toegang tot een zeer grote hoeveelheid informatie. Voor een zorginstelling is het onvermijdelijk dat hiermee ook (grote hoeveelheden) medische gegevens aan Microsoft verstrekt worden. Dat hiermee de privacy van de patiënt ernstig wordt aangetast, mag duidelijk zijn.

Hoge boete

Op dit moment is nog niet geheel duidelijk welke gegevens Microsoft daadwerkelijk zal verzamelen en wat Microsoft met deze gegevens gaat doen. Zorginstellingen zullen er echter rekening mee moeten houden dat medische gegevens – in strijd met de wet – bij Microsoft zullen belanden. Dit is niet alleen beroepsethisch, maar ook vanuit een bestuurdersperspectief onwenselijk. Alleen al omdat de boetebevoegdheid van toezichthouder College Bescherming van Persoonsgegevens in de nabije toekomst zeer waarschijnlijk wordt uitgebreid. Waar op dit moment de maximumboete stond op € 4.500 wordt dit € 810.000 (!) per overtreding.
Zorginstellingen en zorgprofessionals zouden in deze fase dan ook terughoudend moeten zijn met een update naar Windows 10. Mocht besloten worden tot een update, dan is het in ieder geval zaak niet voor de standaardinstallatie te kiezen. Kies voor de handmatige installatie en vink alle privacygerelateerde opties uit, zodat Microsoft geen toegang verkrijgt tot medische gegevens.

Auteur Willem Balfoort is advocaat Privacy- en IT-recht bij de Clercq Advocaten Notarissen