29 juli 2019
Eerste AVG-boete in Nederland voor ziekenhuis: Onnodige inzage patiënt-dossier

Eerste AVG-boete in Nederland voor ziekenhuis: Onnodige inzage patiënt-dossier

Door Lisa Angun Lobert, advocaat ondernemings- en privacyrecht

De Autoriteit Persoonsgegevens (AP) heeft een Haags ziekenhuis een boete van €460.000 opgelegd op grond van de Algemene Verordening Persoonsgegevens (AVG). De AP deed onderzoek nadat het ziekenhuis zelf melding had gedaan van een datalek.
 
Uit het onderzoek bleek dat vele medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.
 
Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. De AVG bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken. Regelmatige controle dient derhalve plaats te vinden om vast te stellen wie welk dossier raadpleegt. Daarnaast wijst de AP erop dat bij een goede beveiliging een authenticatie hoort waarbij ten minste twee factoren worden betrokken. Dit betekent dat de identiteit van een gebruiker op twee manieren wordt gecontroleerd voordat hij toegang krijgt tot een patiëntendossier, bijvoorbeeld met een code of een wachtwoord in combinatie met een personeelspas of pincode.

Onderzoek AP: Interne beveiliging niet op orde
De AP constateerde dat het ziekenhuis niet voldeed aan haar eigen beveiligingseisen. De logbestanden werden niet regelmatig beoordeeld en evenmin verliep de twee-factor-authenticatie correct. Volgens de AP was er geen sprake van een “passend beveiligingsniveau” zoals dat op grond van de AVG verplicht is.
 
De AP vindt het een “kwalijke” zaak dat een ziekenhuis de interne beveiliging van patiëntdossiers niet op orde heeft. Hierbij hoort volgens de AP dan ook een ferme boete. “De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn, ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent”, aldus de AP.
 
Om het ziekenhuis te dwingen de beveiliging van de patiëntdossiers te verbeteren legt de AP naast de bestuurlijke boete van €460.000 ook een last onder dwangsom op. Als het ziekenhuis de beveiliging niet voor 2 oktober 2019 op orde heeft, moet het ziekenhuis elke twee weken dat de overtreding voortduurt een dwangsom van €100.000 betalen, met een maximum van € 300.000.
 
Het ziekenhuis legt zich niet neer bij de uitspraak van de AP en gaat in beroep.
 
Heeft u vragen over de manier waarop uw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Astrid van Noort of Lisa Angun Lobert van onze Privacy Desk.