Blog

Eerste privacy-boete uitgedeeld door de AP

Afgelopen week werd de eerste boete uitgedeeld op grond van de AVG. De Autoriteit Persoonsgegevens (AP) heeft namelijk besloten de Stichting HagaZiekenhuis een bestuurlijke boete van 460.000 euro op te leggen. Ook legt de AP een last onder dwangsom op. Dat de AP deze bevoegdheid heeft (zie hier) wisten we al, maar de AP legt nu voor het eerst echt een boete op. Hoe is de AP nu tot dit besluit gekomen?

Waarom werd het HagaZiekenhuis onderzocht?

Terug naar het begin: waarom legde de AP een vergrootglas op het HagaZiekenhuis?

In april 2018 heeft het ziekenhuis een datalek gemeld bij de AP. Dit datalek betrof de onrechtmatige inzage in een patiëntendossier van Samantha de Jong (ook wel ‘Barbie’). Naar aanleiding van een brief van het HagaZiekenhuis – die het ziekenhuis op verzoek van de AP had verstuurd – besloot de AP om een onderzoek in gang te zetten (p. 4 van het besluit van de AP).

De beveiligingsverplichting – artikel 32 AVG

Om uit te leggen waarom het ziekenhuis een boete heeft gekregen, moeten we kijken naar de Algemene Verordening Gegevensbescherming.

In artikel 32 staat:

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (…).

De AP benadrukt dat gezondheidsgegevens vanwege de gevoeligheid tot een bijzondere categorie van persoonsgegevens behoren (p.11).

Aanvullende wetten en normen

Voor de zorg is de wet ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’ vastgesteld, die op haar beurt verwijst naar een ‘Besluit elektronische gegevensverwerking door zorgaanbieders’.

In dat besluit wordt verwezen naar verschillende normen met maatregelen die moeten worden getroffen om patiëntgegevens veilig te houden.

Uit de norm genaamd NEN 7510 volgt dat gezondsheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, de identiteit van gebruikers behoren vast te stellen door middel van tweefactor authenticatie.

Uit de norm genaamd NEN 7513 volgt dat de logging het mogelijk moet maken achteraf vast te stellen welke gebeurtenissen hebben plaatsgevonden in een patiëntendossier. Uit NEN 7510 volgt dat de logbestanden regelmatig moeten worden beoordeeld.

Deze normen worden als algemeen geaccepteerde beveiligingsstandaarden gezien, en voor een oordeel over passende beveiligingsmaatregelen sluit de AP daarom bij deze normen aan (p.11). Bovendien verwijst het Autorisatiebeleid van het ziekenhuis naar deze normen (p.13).

Normen geschonden – de redenen voor de boete

Naar het oordeel van de AP zijn deze normen geschonden. Zo ontbreekt de benodigde tweefactor authenticatie, omdat het inloggen met een code of wachtwoord in sommige gevallen voldoende is. Soms moet ook de personeelspas worden gebruikt, maar dat is niet altijd vereist (p. 12).

Ook de norm die ziet op het controleren van de logs wordt geschonden. De controles uit 2018 zijn namelijk alleen uitgevoerd naar aanleiding van klachten en verzoeken. Een proactieve controle uit 2019 voldeed ook niet aan de normen (p. 15).

Als gevolg daarvan zijn de steekproeven ‘onvoldoende om te kunnen spreken van een passend beveiligingsniveau dat ziet op het signaleren van onbevoegde toegang tot patiëntgegevens en het treffen van maatregelen naar aanleiding van onbevoegde toegang’, aldus de AP (p. 15).

uitlegHoe bepaalt de AP de hoogte van de boete?

Bij overtreding van artikel 32 kan de AP een boete opleggen tot € 10.000.000 of tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

Om de bevoegdheid nader in te vullen zijn er Boetebeleidsregels opgesteld. Boetes voor een schending van artikel 32 zijn ingedeeld in categorie II, waarvoor een bandbreedte tussen de 120.000 en 500.000 euro geldt. Ook geldt er een basisboete ter hoogte van 310.000 euro. De AP kan die boete bijstellen als de factoren uit artikel 7 daartoe aanleiding geven.

Factoren die leiden tot een boete van 460.000 euro

Volgens de AP draagt het feit dat het gaat om het vertrouwen van patiënten in de zorgvuldige omgang van medische gegevens bij aan de hoogte van de boete (p.19). Ook is van belang dat het volgens de AP op de weg van het ziekenhuis had gelegen de normen te implementeren toen het ziekenhuis begin 2018 het datalek constateerde (p.20).

Voorts is het ziekenhuis bijzonder nalatig geweest in het treffen van maatregelen, aldus de AP (p.21).

Dit leidt tot het oordeel dat de basisboete twee keer wordt verhoogd en uitkomt op een bedrag van 460.000 euro.

Dwangsom

Naast de boete legt de AP ook een dwangsom op, die inhoudt dat het ziekenhuis een boete moet betalen als zij de geconstateerde overtreding niet binnen vijftien weken beëindigt. Het gaat om een boete van 100.000 euro per iedere twee weken dat de overtreding niet is beëindigd na de gegeven termijn (p.24).

Reactie van het HagaZiekenhuis

Het ziekenhuis heeft gereageerd door aan te geven dat de interne beveiliging wordt aangescherpt en dat veel al op orde is.

Ook heeft het ziekenhuis bekend gemaakt dat ze actie zullen ondernemen tegen het besluit van de AP. Wordt vervolgd!

Gerelateerde berichten