Praktijkgebieden: Privacy
Het is zover: bijna dertien maanden na de invoering van de Algemene verordening gegevensbescherming heeft de Autoriteit Persoonsgegevens de eerste boete uitgedeeld. En niet naar aanleiding van zomaar een zaak: de boete is opgelegd aan het HagaZiekenhuis in verband met “Barbiegate”. U herinnert het zich nog wel: het medische dossier van tv-persoonlijkheid Samantha de Jong, beter bekend als Barbie, was door tientallen medewerkers van het ziekenhuis ingezien. Niet alleen door haar behandelend artsen, maar ook door verpleegkundigen en artsen van andere afdelingen, die geen andere reden voor inzage hadden dan ordinaire nieuwsgierigheid. Het boetebesluit is op 18 juni jl. al genomen, maar vandaag pas openbaar gemaakt.
De boete van € 460.000 is niet zozeer opgelegd vanwege de inzage door onbevoegden, maar vanwege de gebrekkige beveiliging van persoonsgegevens in het ziekenhuis. De inzagen vormden echter wel de aanleiding voor een onderzoek van de Autoriteit Persoonsgegevens. Daaruit is vervolgens gebleken dat de beveiliging niet voldeed aan de eisen van artikel 32 van de AVG. Dat artikel verlangt kort gezegd dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen neemt. Voor de invulling van die maatregelen sluit de Autoriteit aan bij de zogenaamde NEN7510-norm, een standaard voor beveiliging van persoonsgegevens in de zorg.
Op basis van de norm concludeert de Autoriteit dat het ziekenhuis, om een herhaling van Barbiegate te voorkomen, ervoor moet zorgen dat toegang tot het ziekenhuisinformatiesysteem (ZIS, dus de elektronische patiëntendossiers) uitsluitend mogelijk is met behulp van tweefactor-authenticatie. Dat houdt in dat medewerkers naast het invoeren van een wachtwoord bijvoorbeeld een handeling op hun telefoon moeten verrichten. Verder moet het ziekenhuis regelmatig de logbestanden van het ZIS controleren op onrechtmatige toegang of onrechtmatig gebruik van patiëntgegevens. Deze maatregelen moeten binnen vijftien weken na het boetebesluit zijn doorgevoerd, op straffe van een dwangsom van € 100.000 per twee weken dat het ziekenhuis de maatregelen niet heeft genomen.
Van een direct betrokkene heb ik begrepen dat er inmiddels maatregelen zijn getroffen. Zo is het niet langer mogelijk om in te loggen met alleen een pasje, maar dienen medewerkers nu ook een pincode in te toetsen. Op deze manier wordt voldaan aan de eis van tweefactor-authenticatie. Ook vraagt het ziekenhuis vaker na waarom medewerkers bepaalde dossiers hebben ingezien. Vanuit het oogpunt van gegevensbescherming goede maatregelen, maar het is de vraag of ze passen bij de dagelijkse praktijk van drukke zorgverleners. Artsen zijn op een dag vaak bij de behandeling van vele tientallen patiënten betrokken – mag je dan verlangen dat ze een week of maand later nog precies weten waarom ze een bepaald dossier hebben ingezien?
De Autoriteit Persoonsgegevens zal het HagaZiekenhuis niet zomaar hebben uitgekozen voor de eerste boete. Toen Barbiegate vorig jaar april in het nieuws kwam, was er veel media-aandacht. Een vervolg op de kwestie staat garant voor hernieuwde aandacht, zoals al blijkt uit de vele artikelen die nu al over de boete zijn gepubliceerd. In dat licht een goede keuze – gegevensbescherming staat weer in de schijnwerpers – maar een onwenselijk gevolg van deze boete kan zijn dat organisaties terughoudender worden in het melden van datalekken. De Autoriteit doet onderzoeken zoals in het Haga doorgaans naar aanleiding van zulke meldingen. De toch wel forse boete kan met name zorginstellingen ervan weerhouden om beveiligingsproblemen te melden – zij kunnen hun geld vaak wel beter besteden. Een boete voor een commercieel bedrijf (ik noem een Facebook) had wat dat betreft meer voor de hand gelegen. Daar valt bovendien meer te halen, zoals blijkt uit de boete van € 205 miljoen die de Britse gegevensbeschermingsautoriteit aan British Airways heeft opgelegd.
Door het leggen van conservatoir (derden) beslag worden vermogensbestanddelen van een wederpartij per direct bevroren. Er kan geen overdracht meer plaatsvinden en in bepaalde gevallen kunnen vermogensbestanddelen zelfs elders in bewaring worden gegeven. Deze actie kan druk zetten op de wederpartij waardoor een snelle oplossing kan worden bereikt.
Beslaglegging moet wel altijd worden gevolgd door een bodem of arbitrage procedure, tenzij eerder een buitengerechtelijke oplossing wordt bereikt.
Onterecht leggen van beslag moet worden voorkomen; het kan leiden tot een schadevergoedingsactie.
Wij onderzoeken graag of dit rechtsmiddel in uw situatie tot een spoedige oplossing kan leiden.
Snel een uitspraak nodig van de rechter over een bepaalde urgente situatie? In dat geval is een kort geding een oplossing voor uw situatie. De rechter geeft een voorlopig oordeel waaraan partijen zich al dan niet op straffe van een dwangsom dienen te houden.
Wij denken graag mee over de voor uw situatie passende juridische oplossing.
Dit is in het civiele en bestuurlijke recht de procedure die (al dan niet na hoger beroep) leidt tot een definitieve beslechting van het geschil. Anders dan in een kort geding ligt de nadruk hier veel meer op een schriftelijke uitwisseling van processtukken.
Wij onderzoeken graag of dit de aangewezen procedure is voor uw geschil.
Een partij die zich beroept op de rechtsgevolgen van de door haar gestelde feiten of rechten moet deze bewijzen. Voorafgaand aan iedere gewenste procedure moet derhalve de bewijspositie worden bekeken.
Soms is het bewijs nog niet voldoende in handen van de cliënt. In dat geval is nadere actie gewenst. Te denken valt dan bijvoorbeeld aan het instellen van een (voorlopig) getuigenverhoor of het afdwingen van het verkrijgen van inzage in bepaalde documenten die zich bij de wederpartij bevinden (exhibitieplicht).
Wij zoeken graag met u naar de mogelijkheden om uw bewijsprobleem op te lossen.
Soms ontstaat er in een onderneming een intern geschil tussen aandeelhouders of tussen het bestuur en (enkele) aandeelhouders. Dit kan bijvoorbeeld gaan over de te volgen strategie van de onderneming. In dat geval kan aan de Ondernemingskamer, een speciaal daarvoor geëquipeerde afdeling van het Hof Amsterdam -- bij ons kantoor om de hoek -- een onderzoek naar de gang van zaken binnen de onderneming worden gevraagd. Zo'n onderzoek kan worden voorafgegaan door het vragen van voorlopige voorzieningen, zoals het schorsen van een bestuurder voor de duur van de procedure of het tijdelijk ontnemen van het stemrecht van een aandeelhouder.
Wij denken graag mee over de voor uw situatie passende oplossing.