In juli 2019 kreeg het HagaZiekenhuis een forse boete van 460.000 euro opgelegd van de Autoriteit Persoonsgegevens (AP) omdat het de beveiliging van patiëntdossiers niet op orde had. De rechtbank Den Haag heeft het beroep van het ziekenhuis tegen de boete gegrond verklaard en de boete gematigd tot een bedrag van 350.000 euro.
Als gevolg van een incident waarbij tientallen medewerkers van het HagaZiekenhuis onrechtmatig het dossier van een bekende Nederlander hadden ingezien, meldde het ziekenhuis in april 2018 een datalek bij de AP. Naar aanleiding van die melding deed de AP onderzoek naar de toegang tot patiëntgegevens in de digitale patiëntendossiers van het ziekenhuis. Uit het onderzoek bleek dat het HagaZiekenhuis de interne beveiliging van patiëntendossiers niet op orde had, waardoor medewerkers toegang hadden tot patiëntendossiers waartoe zij geen toegang nodig hadden.
De AP concludeerde dat het HagaZiekenhuis was tekortgeschoten in haar beveiligingsplicht onder de Algemene Verordening Gegevensbescherming (AVG) omdat het ziekenhuis geen gebruik maakte van tweefactor authenticatie en de “logging” van de toegang tot de patiëntendossiers niet vaak genoeg door het ziekenhuis werd gecontroleerd.
De AP kwam op grond van haar boetebeleid op een basisboetebedrag van 310.000. Gelet op de ernst van de voortdurende overtreding en de nalatige aard van de inbreuk, zag de AP daarnaast aanleiding om het basisbedrag met 150.000 euro te verhogen. In het beroep tegen de boete heeft het HagaZiekenhuis zich met succes verzet tegen deze verhoging. De Rechtbank Den Haag gaat mee met het standpunt van het HagaZiekenhuis dat de verhoging van het basisboeteverdrag tot een onevenredig boetebedrag leidt.
Voor de afweging of de verhoging evenredig was, weegt de Rechtbank mee dat het ziekenhuis wel andere maatregelen had genomen om het onrechtmatig inzien van patiëntendossiers te voorkomen. Zo kwamen extra waarschuwingen in beeld wanneer een medewerker een dossier opende en had het ziekenhuis een e-learningcursus verplicht gesteld voor alle medewerkers die toegang hebben tot het elektronische patiëntendossier.
Voorts acht de Rechtbank van belang dat het HagaZiekenhuis in de bezwaarfase bij de AP al aanvullende beveiligingsmaatregelen had getroffen. Zo was een tweefactor authenticatie ingevoerd en was de logging controle versterkt. De rechtbank ziet de bereidwilligheid van het HagaZiekenhuis om de problematiek in de organisatie aan te pakken als aanleiding om de verweten nalatigheid van het ziekenhuis te nuanceren. De AP heeft hier, volgens de rechtbank, onterecht geen gewicht aan toegekend. De rechtbank beloont zodoende het goede gedrag van het HagaZiekenhuis en matigt de boete tot een bedrag van 350.000 euro.
Vragen? Neem dan contact op met Rosalie Brand.