Twee open afvalcontainers met daarin tientallen ordners met administratie, waaronder privégegevens van patiënten en medewerkers van Rierink Tandartsen, zijn door zijn opvolger, Glansryck Tandheelkunde, pal tegenover het Edese gemeentehuis aan de straat gezet.
De Edese Vos werd er op zondagochtend over getipt: bij Villa de Sterrenberg aan de Bergstraat 2, tegenover het gemeentehuis, zouden containers buiten staan met daarin de administratie van tandarts Jan-Bart Rierink.
De Vos nam een kijkje en trof inderdaad een administratie aan. Deze besloeg de periode dat de praktijk actief was tot 2016 en omvatte contracten, jaarrekeningen, facturen van toeleveranciers, declaraties van patiënten met hun NAW-gegevens, overzichten met hun geboortedata en patiëntnummers, belastingaanslagen, salarisstroken, arbeidsovereenkomsten, kopies van de identiteitsbewijzen van medewerkers van de praktijk, hun BSN en burgerlijke staat. Hiermee is de privacy van enkele duizenden Edenaren gecompromitteerd.
Overname: van Rierink naar Glansryck
Villa de Sterrenberg, het voormalige gemeentehuis van Ede, was in gebruik als praktijk van tandarts Jan-Bart Rierink. In december 2022 moest Rierink vanwege “ingrijpende persoonlijke omstandigheden” (ziekte), waardoor hij zijn praktijk niet meer goed kon voortzetten, faillissement aanvragen. Curator Annelies Mulder van Certus Advocaten onderzocht de mogelijkheden voor een doorstart en bereikte een overeenkomst met een partij die de inboedel en het patiëntenbestand overnam en dit overdroeg aan TMS Tandartsen.
De gemeente Ede, eigenaar van het pand, gunde de doorstarter een tijdelijke huurovereenkomst tot 1 juli, waarna deze zou moeten verhuizen naar een nieuwe praktijktuimte. Deze werd gevonden aan de Achterdoelen 96-102, waar de praktijk op 5 juli onder een nieuwe naam van start ging: Glansryck Tandheelkunde met als tandarts en eigenaar Lars Eijsbouts.
Onderscheidende en moderne praktijk
Om dit heuglijke feit wereldkundig te maken kocht de nieuwe tandarts meteen een advertorial in Ede Stad. Hierin meldt het PR-bureau van Glansryck dat de praktijk “hypermodern” is en “alles doet voor een stralende lach.” “Kwaliteit is voor ons het allerbelangrijkste en daar hebben we in geïnvesteerd. Het gevoel dat wij de mensen willen behandelen zoals we zelf ook behandeld zouden willen worden, speelt hierbij een grote rol. Hiermee zijn wij onderscheidend in de gemeente Ede. Wij zijn misschien zelfs wel één van de modernste praktijken in het land.”
In de wervende advertorial laat de tandarts weten dat er ruimte is voor nieuwe patiënten en medewerkers. Op de voorpagina van de website staat prominent te lezen: “Uw gegevens worden vertrouwelijk behandeld.” Toch is die vertrouwelijkheid en zorgvuldigheid niet in acht genomen toen de oude praktijk werd ontruimd. Want de privacy van de patiënten van Rierink, die Glansryck overnam, belandden op straat. Iedereen kon erbij.
“Wij doen alles voor een stralende lach. Wij behandelen onze patiënten zoals we zelf behandeld zouden willen worden.”
De Edese Vos zag dit met lede ogen aan en tipte op maandagochtend meteen de curator, die met gezwinde spoed de containers weer naar binnen liet rijden en verzegelen.
Als ik de praktijk van Glansryck bel, blijkt dat tandarts Eijsbouts op vakantie is. De receptioniste laat weten dat hij de Edese Vos niet te woord kan staan. Veel animo om op te helderen hoe dit kon gebeuren is er niet. Als ik het een dag later nogmaals probeer, reageert de receptioniste bot. “Ik heb helemaal geen zin in dit gesprek. Dus ik ga de telefoon er nu opleggen.” De verbinding wordt abrupt verbroken.
Melding bij de Autoriteit Persoonsgegevens
Curator Annelies Mulder laat weten dat met de doorstarter een schriftelijke overeenkomst is gesloten dat de administratie van Rierink moet worden bewaard en beschikbaar moet blijven voor de afwikkeling van het faillissement. In deze overeenkomst staat ook expliciet vermeld dat de administratie privacygevoelige informatie bevat. Voor verwijdering binnen de wettelijke bewaartermijn van 7 jaar is toestemming van de curator nodig. Als een (oudere) administratie wordt verwijderd, kan deze niet gewoon bij het oud papier worden gezet, maar moet (uiteraard) een datalek worden voorkomen. Dat kan door een administratie beveiligd te vernietigen.
Containerservice Donkelaar, het bedrijf dat de containers leverde, bevestigt dit. “Bij administraties en archieven kunnen klanten een afgesloten rolcontainer aanvragen die dan persoonlijk wordt uitgereden en meteen in de shredderwagen gaat. De open containers zijn daar niet voor bedoeld. Als we die ontvangen belandt zo’n administratie gewoon bij het oud papier.”
Heeft dit nog consequenties? “We gaan nu de procedures volgen die voor dit soort situaties gelden,” zegt Mulder. “De gegevens worden geïnventariseerd en het stappenplan van de Autoriteit Persoonsgegevens wordt gevolgd.” Bedrijven hebben de wettelijke plicht om een datalek binnen 72 uur te melden bij de AP. Glansryck is dus in verzuim. Gedupeerde patiënten van Rierink/Glansryck kunnen als belanghebbende zelf ook melding te doen bij de Autoriteit Persoonsgegevens en een klacht indienen bij de praktijk.
NASCHRIFT: Na publicatie van dit artikel belde tandarts Eijsbouts vanaf zijn vakantieadres. Zijn reactie is verwerkt in een vervolgartikel.
Wauw, jemig, dan heb je als praktiserend arts toch echt de privacywetgeving niet helemaal goed begrepen… Sowieso bijzonder: ik ben/was patient bij Rierink tandartsen. Had wel bericht gekregen dat ze waren overgenomen, en zat nog te wachten op een nieuwe datum van een afspraak die verzet moest worden vanwege de ziekte van Rierink… Die nieuwe datum kwam niet, wel in april een herinnering aan de halfjaarlijkse controle (nog geen gehoor aan gegeven). Ik lees dus nu via jullie bericht dat ze in een nieuwe locatie zitten! Goeie communicatie dan… Of zou dat komen omdat ze mijn dossier lekker in die kliko gegooid hebben… Ik ga denk ik maar op zoek naar een nieuwe tandarts…