Het HagaZiekenhuis kreeg op 16 juli 2019 de eerste Nederlandse boete opgelegd op grond van de Algemene Verordening Gegevensbescherming (AVG). De boete bedraagt € 460.000. De Autoriteit Persoonsgegevens (AP) deed onderzoek bij het ziekenhuis nadat het ziekenhuis bij de AP melding had gedaan van een datalek. Medewerkers hadden onnodig het medisch dossier van een bekende Nederlander ingezien.
Een ziekenhuis moet alle technische en organisatorische beveiligingsmaatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Ook moet een ziekenhuis regelmatig controleren wie welk dossier raadpleegt, zodat het tijdig kan signaleren wanneer een onbevoegde een dossier raadpleegt en daartegen kan optreden. Daarnaast hoort bij een goede beveiliging van de patiëntgegevens authenticatie waarbij ten minste twee factoren betrokken worden. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.
Onderzoek AP: onvoldoende beveiligingsmaatregelen
Uit het onderzoek van de AP is naar voren gekomen dat het ziekenhuis onvoldoende beveiligingsmaatregelen had getroffen, de logbestanden werden niet regelmatig beoordeeld en evenmin verliep de twee-factor-authenticatie zoals voorgeschreven. Daarmee heeft het ziekenhuis onvoldoende “passende maatregelen” genomen, zoals op grond van de AVG verplicht is. Op het moment dat de boete werd opgelegd, voldeed het ziekenhuis, ondanks de bevindingen van de AP, nog steeds niet aan de AVG. Daarom heeft de AP naast de bestuurlijke boete een last onder dwangsom opgelegd. Wanneer het ziekenhuis de overtreding van de AVG niet binnen 15 weken beëindigt, volgt een dwangsom van € 100.000 voor elke twee weken dat de overtreding voortduurt, met een maximum van € 300.000.
Dit is de eerste AVG-boete die de AP uitdeelt. Reden voor het opleggen van de hoge boete is dat de AP “het een kwalijke zaak vindt dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft”. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis, aldus de voorzitter van de AP.
Eerste AVG-boete voor Portugees ziekenhuis
Als reactie op het boetebesluit heeft het HagaZiekenhuis laten weten dat er maatregelen zullen worden genomen om te zorgen dat het beveiligingsniveau tijdig binnen de door de AP gestelde termijn van 15 weken voldoet aan de eisen van de AP. Daarnaast heeft het ziekenhuis aangekondigd in beroep te zullen gaan tegen de hoogte van de opgelegde boete.
Het HagaZiekenhuis is overigens niet het eerste ziekenhuis in Europa dat geconfronteerd wordt met een AVG-boete. In Portugal legde de privacytoezichthouder aan een ziekenhuis een boete van € 400.000 op, eveneens omdat het de toegang tot de patiëntdata niet op orde had. Dat was de eerste significante boete die is uitgedeeld in Europa wegens schending van de AVG. Hier schreven we eerder een nieuwsbericht over. Nadien zijn diverse andere zaken gevolgd (zie onder meer ook ons nieuwsbericht over de intentie van de Engelse privacy toezichthouder om een boete van € 99 miljoen op te leggen aan de hotelketen Marriott).
Heeft u vragen over de verplichtingen op grond van de AVG in de zorgsector? Neem dan contact op met Elisabeth Thole, Özer Zivali of Corine Vernooij.