icon

Autoriteit Persoonsgegevens legt eerste boete op onder AVG

Het is zover: bijna dertien maanden na de invoering van de Algemene verordening gegevensbescherming heeft de Autoriteit Persoonsgegevens de eerste boete uitgedeeld. En niet naar aanleiding van zomaar een zaak: de boete is opgelegd aan het HagaZiekenhuis in verband met “Barbiegate”. U herinnert het zich nog wel: het medische dossier van tv-persoonlijkheid Samantha de Jong, beter bekend als Barbie, was door tientallen medewerkers van het ziekenhuis ingezien. Niet alleen door haar behandelend artsen, maar ook door verpleegkundigen en artsen van andere afdelingen, die geen andere reden voor inzage hadden dan ordinaire nieuwsgierigheid. Het boetebesluit is op 18 juni jl. al genomen, maar vandaag pas openbaar gemaakt.

De boete van € 460.000 is niet zozeer opgelegd vanwege de inzage door onbevoegden, maar vanwege de gebrekkige beveiliging van persoonsgegevens in het ziekenhuis. De inzagen vormden echter wel de aanleiding voor een onderzoek van de Autoriteit Persoonsgegevens. Daaruit is vervolgens gebleken dat de beveiliging niet voldeed aan de eisen van artikel 32 van de AVG. Dat artikel verlangt kort gezegd dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen neemt. Voor de invulling van die maatregelen sluit de Autoriteit aan bij de zogenaamde NEN7510-norm, een standaard voor beveiliging van persoonsgegevens in de zorg.

Op basis van de norm concludeert de Autoriteit dat het ziekenhuis, om een herhaling van Barbiegate te voorkomen, ervoor moet zorgen dat toegang tot het ziekenhuisinformatiesysteem (ZIS, dus de elektronische patiëntendossiers) uitsluitend mogelijk is met behulp van tweefactor-authenticatie. Dat houdt in dat medewerkers naast het invoeren van een wachtwoord bijvoorbeeld een handeling op hun telefoon moeten verrichten. Verder moet het ziekenhuis regelmatig de logbestanden van het ZIS controleren op onrechtmatige toegang of onrechtmatig gebruik van patiëntgegevens. Deze maatregelen moeten binnen vijftien weken na het boetebesluit zijn doorgevoerd, op straffe van een dwangsom van € 100.000 per twee weken dat het ziekenhuis de maatregelen niet heeft genomen.

Van een direct betrokkene heb ik begrepen dat er inmiddels maatregelen zijn getroffen. Zo is het niet langer mogelijk om in te loggen met alleen een pasje, maar dienen medewerkers nu ook een pincode in te toetsen. Op deze manier wordt voldaan aan de eis van tweefactor-authenticatie. Ook vraagt het ziekenhuis vaker na waarom medewerkers bepaalde dossiers hebben ingezien. Vanuit het oogpunt van gegevensbescherming goede maatregelen, maar het is de vraag of ze passen bij de dagelijkse praktijk van drukke zorgverleners. Artsen zijn op een dag vaak bij de behandeling van vele tientallen patiënten betrokken – mag je dan verlangen dat ze een week of maand later nog precies weten waarom ze een bepaald dossier hebben ingezien?

De Autoriteit Persoonsgegevens zal het HagaZiekenhuis niet zomaar hebben uitgekozen voor de eerste boete. Toen Barbiegate vorig jaar april in het nieuws kwam, was er veel media-aandacht. Een vervolg op de kwestie staat garant voor hernieuwde aandacht, zoals al blijkt uit de vele artikelen die nu al over de boete zijn gepubliceerd. In dat licht een goede keuze – gegevensbescherming staat weer in de schijnwerpers – maar een onwenselijk gevolg van deze boete kan zijn dat organisaties terughoudender worden in het melden van datalekken. De Autoriteit doet onderzoeken zoals in het Haga doorgaans naar aanleiding van zulke meldingen. De toch wel forse boete kan met name zorginstellingen ervan weerhouden om beveiligingsproblemen te melden – zij kunnen hun geld vaak wel beter besteden. Een boete voor een commercieel bedrijf (ik noem een Facebook) had wat dat betreft meer voor de hand gelegen. Daar valt bovendien meer te halen, zoals blijkt uit de boete van € 205 miljoen die de Britse gegevensbeschermingsautoriteit aan British Airways heeft opgelegd.

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Autoriteit Persoonsgegevens legt eerste boete op onder AVG

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief