Eerste AVG-boete opgelegd aan het HagaZiekenhuis

Recentelijk is in Nederland de allereerste boete op grond van de Algemene Verordening Gegevensbescherming (AVG) uitgedeeld. Het HagaZiekenhuis in Den Haag had de interne beveiliging van patiëntendossiers niet op orde en daarom kreeg zij een boete van maar liefst 460.000 euro.

23 jul. 2019

Wat ging hieraan vooraf?

Het HagaZiekenhuis heeft in 2018 bij de Autoriteit Persoonsgegevens (AP) melding gedaan van een datalek dat bij haar had plaatsgevonden. Diverse medewerkers van het ziekenhuis hadden zich onbevoegd (en onnodig) toegang verschaft tot het patiëntendossier van bekende Nederlander ‘Barbie’, een reality-ster. Naar aanleiding van dit datalek heeft de AP nader onderzoek gedaan naar de (interne) beveiliging van persoonsgegevens bij het HagaZiekenhuis.

Beveiliging persoonsgegevens

Op grond van de AVG en een aantal andere specifieke regelingen die gelden in de zorg, is het HagaZiekenhuis verplicht om persoonsgegevens door middel van technische en organisatorische maatregelen op passende wijze te beveiligen. De gevoeligheid van de persoonsgegevens die in ziekenhuissystemen worden verwerkt – zoals gezondheidsgegevens – brengt met zich mee dat de beveiliging daarvan aan hoge eisen dient te voldoen. Deze beveiligingsplicht wordt nader ingekleurd in zorgspecifieke regelingen als de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders. Zo moet er in het ziekenhuissysteem in ieder geval gebruik gemaakt worden van tweefactor-authenticatie. Ook moet structureel worden bijgehouden wie wanneer in welk patiëntendossier heeft gekeken (logging).

Onderzoek Autoriteit Persoonsgegevens

Uit het onderzoek van de AP kwam als snel naar voren dat het personeel van het HagaZiekenhuis op het ziekenhuissysteem kon inloggen met slechts een gebruikersnaam en wachtwoord. De noodzakelijke tweede beveiligingsfactor ontbrak. Het HagaZiekenhuis controleerde daarnaast steekproefgewijs de loggingen van patiëntendossiers. Er was geen sprake van een structurele controle van de logbestanden. De AP oordeelt dan ook dat de door het HagaZiekenhuis getroffen beveiligingsmaatregelen niet voldoen aan de eisen die de AVG en de zorgspecifieke regelingen hieraan stellen.

Sanctie

Gezien de ernst van deze overtreding door het HagaZiekenhuis legt de autoriteit een boete op van maar liefst 460.000 euro. Daarnaast heeft het HagaZiekenhuis vijftien weken de tijd gekregen om de overtreding te beëindigen. Lukt dat niet? Dan dient het HagaZiekenhuis – naast de boete – een last onder dwangsom te betalen van 100.000 euro voor iedere twee weken dat zij te laat is om deze overtreding te beëindigen, met een maximum van 300.000 euro.

Eerdere boetes

Deze casus betreft de eerste boete die in Nederland onder de AVG is opgelegd. Het is echter niet de eerste boete voor overtreding van de privacywetgeving. Nog niet zo lang geleden kreeg taxidienst Uber al een boete op grond van overtreding van de – inmiddels door de AVG vervangen – Wet bescherming persoonsgegevens. Ook daarover schreven wij destijds een blog.

De Autoriteit Persoonsgegevens handhaaft steeds vaker. Dat doet zij onder meer aan de hand van haar eigen boeteregels die recentelijk zijn gepubliceerd. Ook de eerste civielrechtelijke veroordeling tot het vergoeden van schade, gebaseerd op schending van de AVG, is inmiddels uitgesproken door de rechtbank Overijssel. Wilt u meer informatie? Neem gerust contact met ons op!