Het HagaZiekenhuis heeft de Nederlandse primeur. Vanmorgen heeft de Autoriteit Persoonsgegevens (AP) de eerste AVG-boete à €460.000,- opgelegd aan het ziekenhuis in Den Haag voor onvoldoende interne beveiliging. Heeft het Haga voor 2 oktober 2019 de beveiliging nog niet op orde? Dan verbeurt het ziekenhuis een last onder dwangsom van €100.000,- per twee weken, tot maximaal €300.000,-.
Beveiliging patiëntendossiers niet op orde
De boete is het resultaat van een onderzoek dat de privacytoezichthouder instelde nadat zo’n 100 Haga-medewerkers onbevoegd het dossier van een BN’er hadden ingezien en er melding werd gedaan van het datalek. Naar aanleiding van het onderzoek bleek de beveiliging op meerdere punten lek te zijn, terwijl het Haga gehouden is passende maatregelen te nemen om persoonsgegevens te beveiligen. Dat geldt temeer voor bijzondere persoonsgegevens zoals het patiëntendossier. De AP concludeert dat het ziekenhuis onder meer niet conform haar eigen autorisatiebeleid heeft gehandeld en dat logbestanden om onbevoegde inzage te achterhalen, niet voldoende worden gemonitord. Daarmee overtreedt het ziekenhuis zowel de AVG, als relevante zorgwetgeving, en de NEN 7510-2-norm.
De AP is daarom bevoegd een boete op te leggen uit de tweede categorie, namelijk ter hoogte van maximaal € 10.000.000,- of 2% van de omzet. Op grond van haar nieuwe boetebeleid, en rekening houdend met de ernst van de overtreding en de nalatige aard van de inbreuk, komt de toezichthouder uit op een boete ter hoogte van € 460.000,-.
Maatregelen
Het opleggen van een boete is niet de enige sanctie die de AP in haar repertoire heeft. Het ziekenhuis dient uiteraard haar beveiliging op orde te brengen, en wel voor 2 oktober 2019. Lukt dat niet, dan verbeurt zij een dwangsom van €100.000,- per twee weken dat de overtreding voortduurt, met een maximum van €300.000,-. Onder te nemen maatregelen verstaat de AP:
- dat regelmatig gecontroleerd moet worden wie welk dossier raadpleegt. Zo kan onbevoegde kennisname tijdig gesignaleerd worden. Steekproefsgewijze en/of controle op basis van klachten is niet voldoende;
- het toepassen van twee-factor-authenticatie, door toegang alleen te verschaffen met bijvoorbeeld een wachtwoord of code én een personeelspas in plaats van één van beide.
Het HagaZiekenhuis heeft overigens niet de Europese primeur. Vorig jaar ontving een Portugees ziekenhuis reeds een AVG-boete van € 400.000,- voor grove schendingen van de AVG, waaronder eveneens het niet op orde hebben van autorisaties. Sindsdien worden er regelmatig privacy-boetes opgelegd.
