30/07/2019 - Onlangs heeft de toezichthouder de eerste boete op grond van de Algemene Verordening Gegevensbescherming (AVG) uitgedeeld aan een Haags ziekenhuis. Aanleiding voor deze boete was een datalek waarbij medische gegevens van een bekende Nederlander door tientallen onbevoegde medewerkers van het ziekenhuis waren ingezien. In deze blog wordt nader ingegaan op het procesverloop, het boetebesluit en de lessen die daaruit zijn te trekken.
Aanleiding en procesverloop
Begin april 2018 werd via een klokkenluider bekend gemaakt dat tientallen onbevoegde medewerkers van het Haagse ziekenhuis het medische dossier van realityster Barbie hadden ingezien. Kort daarna deed het ziekenhuis een officiële melding van het datalek bij de toezichthouder, de Autoriteit Persoonsgegevens (AP). Nadat de AP eind april een schriftelijk verzoek om informatie heeft ingediend bij het ziekenhuis, heeft zij begin oktober kenbaar gemaakt een nader onderzoek te zijn gestart. Op 31 oktober 2018 heeft de AP een aangekondigd onderzoek ter plaatse (OTP) uitgevoerd. Na de informatie van het OTP te hebben geverifieerd bij het ziekenhuis heeft de AP in januari 2019 de resultaten van het onderzoek vastgelegd in een rapport met voorlopige bevindingen. Nadat het ziekenhuis hierop heeft mogen reageren heeft de AP op 4 april 2019 bij brief kenbaar gemaakt voornemens te zijn een bestuurlijke boete en/of een last onder dwangsom op te leggen op grond van artikel 32 AVG, dat ziet op het treffen van passende beveiligingsmaatregelen voor de bescherming van persoonsgegevens. Nadat het ziekenhuis haar zienswijze hierop mocht indienen, heeft de AP op 18 juni 2019 het boetebesluit gepresenteerd.
Boete en Last Onder Dwangsom
Uit het onderzoek van de AP is gebleken dat het ziekenhuis haar interne beveiliging van patiëntendossiers niet op orde heeft. De AP legt daarom een boete op van €460.000,-. Om het ziekenhuis te dwingen de beveiliging te verbeteren, legt de AP tegelijkertijd een last onder dwangsom op. Wanneer het ziekenhuis de beveiliging niet voor 2 oktober 2019 heeft verbeterd, moet het ziekenhuis iedere twee weken een bedrag van €100.000,- betalen, met een maximum van €300.000,-. Het ziekenhuis heeft aangegeven maatregelen te treffen.
De voorzitter van de AP, Aleid Wolfsen, stelt in een nieuwsbericht van 16 juli 2019 dat de AP het ‘een kwalijke zaak’ vindt dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. De relatie tussen zorgverlener en patiënt zou volgens hen volstrekt vertrouwelijk moeten zijn, ongeacht wie je bent. Daarom is ‘een ferme boete’ passend.
Bij het bepalen van de hoogte van de boete gaat de AP uit van de basisboete van €310.000,-. Vervolgens verhoogt de AP de boete, aangezien:
- het bijzondere persoonsgegevens betreft;
- de vertrouwelijke relatie tussen behandelaar en patiënt wordt geschonden;
- de directie reeds op de hoogte was van voorgestelde maatregelen maar te weinig actie ondernam;
- De overtreding al lange tijd plaatsvindt.
→ Lees meer over de Boetebeleidsregels van de AP.
Lessen
Opvallend aan het boetebesluit is dat de AP blijkbaar veel waarde hecht aan informatiebeveiliging. Artikel 32 AVG stelt dat organisaties ‘passende technische en organisatorische maatregelen’ moeten treffen ter bescherming van persoonsgegevens. De AVG laat in het midden welke concrete maatregelen dat zijn; organisaties moeten per geval bepalen wat ‘passend’ is, met het oog op:
- de huidige stand van de techniek;
- de uitvoeringskosten van de verschillende maatregelen;
- de aard, omvang en context van de gegevensverwerking;
- de doeleinden van de verwerking; en
- de kans en impact van de verschillende privacyrisico’s die met de verwerking gepaard gaan.
Als aanvulling op de AVG geldt voor patiëntendossiers de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’. Aldus die wet worden er bij AMvB nadere regels gesteld met betrekking tot functionele, technische en organisatorische beveiligingsmaatregelen van een elektronisch patiëntendossier. Het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ is zo’n AMvB. Deze schrijft onder meer de beveiligingsnormen NEN7510 en NEN7513 voor, ten aanzien van gegevensverwerkingen in een patiëntendossier.
De AP oordeelt dat er sprake is van een overtreding van artikel 32 AVG, meer specifiek met betrekking tot:
- autorisaties: de controle op en logging van toegang tot de patiëntgegevens (NEN7513) is onvoldoende;
- 2-Factor Authenticatie: het ziekenhuis past slechts enkelvoudige authenticatie voor, terwijl tweevoudig vereist is (NEN7510-2).
Conclusie
De AP heeft eerder aangegeven dat er dit jaar echt boetes zouden volgen, en zo blijkt. De AP heeft in haar handhavingsbesluiten veel aandacht voor beveiligingsmaatregelen. De kans op datalekken is door het treffen van passende maatregelen aanzienlijk te beperken, maar nooit volledig uit te sluiten. In dit geval heeft het ziekenhuis, naar het oordeel van de AP, ernstig nalatig gehandeld, waardoor de boete werd verhoogd. Het is belangrijk om een procedure voor datalekken ook daadwerkelijk uit te voeren, op tijd mitigerende maatregelen te treffen en de impact op de privacy zoveel mogelijk te beperken.
Omdat de AP nu een onderzoek heeft ingesteld naar aanleiding van een gemeld datalek bestaat de kans dat organisaties minder datalekken gaan melden uit angst voor onderzoek. Voor het Haagse ziekenhuis staan momenteel nog algemene rechtsmiddelen open, zoals bezwaar en beroep. Daarnaast zal het ziekenhuis hard moeten werken aan haar interne beveiliging.
Wilt u weten aan welke regels uw organisatie moet voldoen en welke maatregelen u kunt treffen voor een goede beveiliging van persoonsgegevens? Neem dan contact met ons op!
