Autoriteit Persoonsgegevens legt HagaZiekenhuis eerste ‘AVG-boete’ op

De Autoriteit Persoonsgegevens (AP) heeft op 16 juli jl. de eerste Nederlandse “AVG-boete” opgelegd aan het HagaZiekenhuis in Den Haag naar aanleiding van een onderzoek naar een gemeld datalek. Het boetebedrag behelst € 460.000,–. Als extra stok achter de deur heeft de AP het ziekenhuis een last onder dwangsom van max. € 300.000,– opgelegd opdat het ziekenhuis hun interne beveiliging zo snel mogelijk volledig in orde zal maken.

In dit artikel zetten wij voor u uiteen wat de beweegredenen van de toezichthouder waren om de boete op te leggen, bespreken wij de eisen waaraan een beveiligingssysteem binnen een zorginstelling minimaal dient te voldoen en staan we kort stil bij de redelijkheid van en de eventuele gevolgen van dit boetebesluit.

Ter achtergrond

Vorig jaar april heeft het HagaZiekenhuis een datalek gemeld bij de AP: uit een steekproef kwam naar voren dat een kleine honderd medewerkers van het ziekenhuis onrechtmatig inzage hadden gehad in het medisch dossier van een bekende Nederlander. Naar aanleiding van de melding en een intern rapport van het HagaZiekenhuis is de AP een onderzoek gestart naar de beveiligingsmaatregelen van het ziekenhuis, meer specifiek: de manier waarop toegang wordt verleend tot patiëntgegevens in de digitale patiëntendossiers.

In maart 2019 heeft de AP een definitief onderzoeksrapport vastgesteld en aan het ziekenhuis verstuurd. Hierin werd geconcludeerd dat het beveiligingssysteem van patiëntendossiers niet voldoet aan de vereisten van de Algemene verordening gegevensbescherming (AVG). Hierop volgde in april van dit jaar een aankondiging van de AP aan het ziekenhuis dat het voornemens was om het HagaZiekenhuis een bestuurlijke boete en/of een last onder dwangsom op te leggen.

De boete die de AP op 16 juli jl. aan het HagaZiekenhuis heeft opgelegd komt in die zin niet helemaal als een verrassing: aan de opgelegde boete ging een onderzoekstraject van ruim een jaar vooraf en de boete is bovendien 3 maanden van tevoren aangekondigd.

Fikse boete wegens onvoldoende beveiligingsmaatregelen

Niet alleen is uit onderzoek van de AP gebleken dat het beveiligingssysteem van patiëntendossiers binnen het HagaZiekenhuis niet in orde is. Ook zou het ziekenhuis onvoldoende maatregelen hebben getroffen om dit probleem tijdig op te lossen. Voornaamste reden voor het opleggen van de fikse boete is dat het ziekenhuis vanaf januari 2018 tot heden nalaat om de logbestanden regelmatig te controleren en omdat zij zogenaamde “twee-factor-authenticatie” niet gebruikt.

De verplichting voor zorgorganisaties om “passende technische en organisatorische beveiligingsmaatregelen” te nemen om patiëntgegevens veilig te houden volgt uit de AVG. Hoe hier precies invulling aan moet worden gegeven volgt vervolgens uit de algemeen geaccepteerde beveiligingsnormen voor informatiebeveiliging in de zorgsector: NEN-normen 7510 en 7513.

Tweefactor authenticatie
Voor het verwerken van gezondheidsgegevens volgt uit NEN 7510 dat informatiesystemen binnen zorgorganisaties de identiteit van gebruikers behoren vast te stellen. De identiteit van gebruikers moet door middel van authenticatie worden vastgesteld aan de hand van minstens 2 middelen (bijvoorbeeld door in te loggen middels een personeelspas en door daarna een wachtwoord of code in te voeren in het gezondheidsinformatiesysteem).

Controle op logging
Logging voorziet in de mogelijkheid om vast te leggen wat voor gebeurtenissen zich in een patiëntdossier hebben voorgedaan. NEN 7513 schrijft voor dat zorgorganisaties ten aanzien van patiëntdossiers logbestanden moeten bijhouden, bewaren en regelmatig controleren van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Meer specifiek moet in de logbestanden minimaal het volgende worden bijgehouden:

      • de gebeurtenis die heeft plaatsgevonden;
      • de datum en het tijdstip van de gebeurtenis;
      • op welke cliënt de gebeurtenis betrekking had;
      • wie de gebruikers was; en
      • wie de verantwoordelijke gebruiker was namens wie de gebruiker optrad.

Door niet te voldoen aan de vereiste regelmatige controle van logbestanden en door evenmin te voldoen aan de twee-factor authenticatie heeft het HagaZiekenhuis onvoldoende “passende maatregelen” genomen, zoals op grond van art. 32 van de AVG en de vermelde NEN-normen verplicht is.

Boete redelijk gelet op alle omstandigheden?

De AP heeft besloten het HagaZiekenhuis de eerste AVG-boete op te leggen van maar liefst € 460.000,–. De voorzitter van de AP verklaarde onder meer het een kwalijke zaak te vinden dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde te heeft en dat een fikse boete daarvoor gepast is.

In gevallen waarin sprake is van een overtreding van artikel 32, eerste lid van de AVG, is de AP bevoegd om een bestuurlijke boete op te leggen tot maximaal € 10.000.000,– of tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar. Ter vaststelling van de hoogte van boetes hanteert de AP de Boetebeleidsregels 2019. In de Boetebeleidsregels zijn overtredingen ingedeeld in drie categorieën met daaraan gekoppeld een bestuurlijke basisboetes.

In de categorie van overtredingen waar desbetreffend ziekenhuis onder valt, geldt een boetebandbreedte van €120.000, – tot maximaal €500.000, –. Aan de overtreding van het HagaZiekenhuis is een basisboete van € 310.000, – gekoppeld. Opvallend is dan ook dat het HagaZiekenhuis een hogere boete dan dit basisbedrag opgelegd heeft gekregen. De AP heeft de bevoegdheid om een basisboete te verlagen of verhogen afhankelijk van omstandigheden. In dit geval heeft de AP besloten de basisboete te verhogen met €150.000, – vanwege de ernst van de voortdurende overtreding alsmede door de nalatige aard van de inbreuk.

Aangezien het ziekenhuis ten tijde van de door de AP opgelegde boete nog steeds niet voldeed aan de beveiligingseisen van de AVG heeft de AP naast de bestuurlijke boete een last onder dwangsom opgelegd. Mocht het ziekenhuis haar informatiebeveiliging niet voor 2 oktober in orde hebben, dan moet het elke twee weken het door de AP aangekondigde bedrag van €100.000,– euro aan dwangsommen betalen, met een maximum van € 300.000,– .

Laatste stand van zaken

Het Hagaziekenhuis heeft laten weten maatregelen te zullen nemen opdat de informatiebeveiliging van het ziekenhuis voldoet aan de AVG. Het ziekenhuis heeft bovendien aangegeven binnen de door de AP bepaalde begunstigingstermijn van 15 weken dit in orde te zullen maken. De AP heeft bij het vaststellen van deze termijn rekening gehouden met de planning ten aanzien van voorgenomen maatregelen door het HagaZiekenhuis. In april jl. heeft het ziekenhuis de AP hiervan door middel van zienswijzen op de hoogte gesteld.

Wat betreft de hoogte van de opgelegde boete, heeft het ziekenhuis laten weten deze buitensporig hoog te vinden en daartegen in beroep te zullen gaan.

Middels het boetebesluit aan het HagaZiekenhuis heeft de AP een duidelijk signaal afgegeven: zorg dat uw zorgorganisatie voldoet aan de vereiste beveiligingsmaatregelen! Houd er bovendien rekening mee dat u op grond van de AVG een verantwoordingsplicht heeft op basis waarvan u onder meer moet kunnen aantonen dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens van uw patiënten te beveiligen.

Wilt u meer weten over verplichtingen waaraan uw zorginstelling dient te voldoen op grond van de AVG of wilt u bijvoorbeeld weten of uw zorgorganisatie (voldoende) “AVG-compliant” is? Neem dan contact op met Hester de Vries of Michèle van Lopik.

Comments are closed.