440.000 euro boete voor Amsterdams ziekenhuis wegens schending privacy van patiënten

Het OLVG, een Amsterdams stadsziekenhuis, heeft van de Autoriteit Persoonsgegevens (AP) een boete van 440.000 euro gekregen wegens het schenden van de privacy van patiënten. Hoe in het ziekenhuis werd omgegaan met patiëntendossiers liet te wensen over, hetgeen naar het oordeel van de AP een overtreding van de Algemene Verordening Gegevensbescherming (AVG) opleverde.

Door Sophie Karatzas

Het onderzoek van de AP werd gestart naar aanleiding van meerdere signalen dat iets schortte aan de manier waarop het ziekenhuis met de privacy van de patiënten omging. Naast een tip van een burger werden ook twee meldingen van een datalek gedaan. Daarnaast ontstond in februari 2019 enige ophef in de media, nadat was gebleken dat een studente die in het ziekenhuis werkzaam was als polikliniekassistente zomaar medische dossiers kon inkijken, waaronder die van haar eigen vriendinnen en bekende Nederlanders.

Na haar onderzoek concludeerde de AP dan ook dat het OLVG van 2018 tot 2020 onvoldoende maatregelen heeft getroffen om de toegang tot patiëntendossiers door onbevoegde werknemers te voorkomen. Niet alleen waren de computersystemen van het ziekenhuis onvoldoende beschermd, ook werd in die periode niet genoeg gecontroleerd welke medewerker welk medisch dossier bekeek. Zodoende handelde het ziekenhuis niet in lijn met de AVG. Meer specifiek werd artikel 32 lid 1 van de verordening overtreden.

Twee overtredingen

Blijkens het boetebesluit van de AP heeft het OLVG twee overtredingen begaan. Ten eerste was er onvoldoende controle door het ziekenhuis op de login-activiteit van zijn medewerkers. Normaliter zou het ziekenhuis de logbestanden regelmatig moeten raadplegen om te controleren welke medewerker welk patiëntendossier bekijkt, maar dit werd niet gedaan. Actief toezicht houden op de logbestanden zou er echter in hebben geresulteerd dat het ziekenhuis ervan op de hoogte was wanneer een medewerker onbevoegd toegang verschafte tot een medisch dossier. Het ziekenhuis zou dan tijdig en adequaat op dergelijke acties kunnen reageren.

Ten tweede konden medewerkers van het ziekenhuis zonder tweestapsverificatie inloggen in de computersystemen wanneer zij zich in het ziekenhuis bevonden. Inloggen geschiedde met enkel een gebruikersnaam en wachtwoord en medewerkers hoefden daarbij geen gebruik te maken van een personeelspas. Het gebruik van een tweestapsverificatie zou echter als een wenselijke extra beveiligingscontrole hebben gefungeerd voor het vaststellen van de identiteit van degene die toegang probeert te krijgen tot een bepaald medisch dossier.

Toelichting AP

De vicevoorzitter van de AP, Monique Verdier, heeft de keuze om een boete op te leggen nader toegelicht. “Je moet er toch niet aan denken dat mensen, die daar helemaal niets te zoeken hebben, zomaar in de aantekeningen van de dokter over jou en jouw ziekte kunnen rondneuzen. Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen”, vertelt Verdier. Ook wijst ze op het gevaar van identiteitsfraude en phishing, nu een medisch dossier ook het adres, telefoonnummer en burgerservicenummer van de patiënt in kwestie bevat.

Reactie OLVG

De voorzitter van de Raad van Bestuur van het ziekenhuis reageert teleurgesteld op de boete, maar in bezwaar of beroep tegen het besluit van de AP gaat het ziekenhuis niet. “Gegevens in een ziekenhuis moeten veilig en beschermd zijn. We hadden niet alles goed op orde. We zijn echter teleurgesteld dat we niet de kans hebben gekregen om eerst de geconstateerde tekortkomingen op te lossen, alvorens een boete opgelegd te krijgen. Daarnaast vinden we de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog. Geld dat we nu niet kunnen besteden aan datgene waar ons geld het hardste nodig is: voor de zorg voor onze patiënten”, aldus voorzitter Maurice van den Bosch.

Volgens de AP heeft het OLVG inmiddels de noodzakelijke maatregelen getroffen om een correcte omgang en toegang tot patiëntendossiers te waarborgen.