Dank aan de Digitale Dolle Mina’s

Aanleiding is het datalek bij Clinical Diagnostics. Met name vrouwen zijn hierdoor getroffen. De Digitale Dolle Mina’s richten de schijnwerper op de mensen van wie gegevens zijn buitgemaakt: zij zijn de primaire slachtoffers. Hun medische en persoonlijke data horen niet op straat te liggen. Dat is geen abstract probleem, maar iets met reële gevolgen: angst voor misbruik, reputatieschade, chantage-risico, en jarenlang gedoe met gegevens die eenmaal gekopieerd nooit meer ‘teruggehaald’ kunnen worden.

Dat er bij het bedrijf is ingebroken, is ernstig. Maar het maakt het bedrijf niet automatisch enkel slachtoffer. Het bedrijf schiet tekort en overtreedt wetgeving in letter en geest. Bijvoorbeeld door het incident eerst stil te houden, onvolledige of te late informatie te geven en geen duidelijk handelingsperspectief te bieden.

Hier ontstaat een tweede probleem: het ondermijnt vertrouwen en belemmert dat betrokkenen zichzelf kunnen beschermen. Wanneer bovendien delen van de buitgemaakte data zichtbaar circuleren, wijst dat erop dat gegevens niet effectief zijn versleuteld of onvoldoende zijn afgeschermd. Het staat hard in de AVG dat je dat wel dient te doen. Dan verschuift het beeld: het bedrijf is getroffen, maar draagt óók verantwoordelijkheid voor het onvoldoende beschermen van gegevens die aan zijn zorg waren toevertrouwd.

In de zorgsector ligt de lat bovendien expliciet hoger. De NEN 7510-norm (informatiebeveiliging in de zorg) vraagt om aantoonbare risicobeheersing, passende technische en organisatorische maatregelen en een beveiligingsniveau in verhouding tot de gevoeligheid van gegevens.

Je kunt dan denken aan strikte toegangsbeperking, logging en monitoring, segmentatie, actuele patching, robuuste back-up en herstelprocedures. Maar het herhaalt ook de verplichting uit de AVG van versleuteling in transit en in rust. Ook hoort daarbij: voorbereid zijn op incidenten, inclusief tijdige en transparante communicatie aan betrokkenen en bevoegde autoriteiten, zodat schade kan worden beperkt.

Die combinatie van plichten is geen formaliteit. Het gaat om zorgvuldigheid die voortkomt uit de aard van de data: gezondheidsinformatie is intiem en gevoelig. Juist daarom is ‘we zijn aangevallen’ geen afdoende verklaring als blijkt dat fundamentele basismaatregelen ontbraken of niet aantoonbaar werkten. Onderzoek door toezichthouders en eventuele strafrechtelijke en civielrechtelijke trajecten moeten duidelijk maken welke normen precies zijn geschonden. Maar moreel is de lijn helder: wie zorgdata beheert, draagt een bijzondere zorgplicht.

Wat doen de Digitale Dolle Mina’s hierin? Ze verleggen de focus naar waar die hoort: bij de mensen die geraakt zijn. Ze eisen luisterende communicatie: helder, tijdig, volledig, en met concrete ‘wat nu’-stappen (denk aan: welke gegevens zijn geraakt, welke risico’s dat geeft, welke maatregelen je zelf kunt nemen, en welke ondersteuning beschikbaar is).

Ze vragen om verantwoording: welke beveiliging was ingericht, wat werkte wel en niet, en welke verbeteringen volgen wanneer. En ze benadrukken dat herstel méér is dan een persbericht: het is het duurzaam verhogen van het beveiligingsniveau, het borgen van lessen, en het publiek afleggen van verantwoording.

De Dolle Mina’s van toen lieten zien dat verandering begint met duidelijke taal en zichtbare actie. De Digitale Dolle Mina’s doen dat nu opnieuw, in een context waar stilte en vaagheid de schade vergroten. Hun punt is eenvoudig en terecht: bij een datalek zijn de mensen van wie de gegevens zijn buitgemaakt de échte slachtoffers. Een organisatie kan tegelijk getroffen partij én veroorzaker zijn: zeker als basisnormen niet op orde waren en communicatie tekortschiet.

Als we die realiteit serieus nemen, volgt de route vooruit vanzelf: volledige transparantie, herstel van vertrouwen door aantoonbare verbeteringen en naleving van de hogere zorgnormen die in deze sector gelden. Niet als excuus na afloop, maar als standaard vóórdat het misgaat. Dat is de les van de Dolle Mina’s toen en nu. 

De oorspronkelijke Dolle Mina's zijn overigens ook weer actief.