Het HagaZiekenhuis krijgt een boete van 460.000 euro omdat zij de interne beveiliging van patiëntendossiers niet op orde heeft. De Autoriteit Persoonsgegevens (AP) deed onderzoek naar de toegang van patiëntgegevens in de digitale patiëntendossiers na de melding van een datalek door het ziekenhuis.
Door Bibi Santpoort
In april 2018 deed het HagaZiekenhuis in Den Haag een melding van een datalek aan de AP. Tientallen medewerkers van het ziekenhuis bekeken zonder hiervoor enige toestemming te hebben het patiëntendossier van een bekende Nederlander.
Onderzoek
De AP deed naar aanleiding van deze informatie onderzoek naar de interne beveiliging binnen het ziekenhuis. Uit het onderzoek kwam naar voren dat in de onderzochte periode 197 medewerkers, waarvan honderd onrechtmatig, het patiëntendossier hadden ingezien. Het ziekenhuis had onvoldoende beveiligingsmaatregelen genomen om te zorgen dat patiëntgegevens veilig zijn.
Voorzitter van de AP, Aleid Wolfsen sprak: ‘De AP vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent.’
AVG
Het HagaZiekenhuis controleerde niet regelmatig wie welk dossier raadpleegde en kon hierdoor niet op tijd maatregelen nemen tegen medewerkers die het dossier onbevoegd inzagen. Ook de beveiliging was niet voldoende, hiervoor is authenticatie met ten minste twee factoren nodig, bijvoorbeeld een code en een personeelspas. Door deze nalatigheden schendt het ziekenhuis art. 32, eerste lid, aanhef, van de Algemene Verordening Gegevensbescherming, die bepaalt dat de verwerkingsverantwoordelijke (het ziekenhuis) passende technische en organisatorische maatregelen moet treffen om een op het risico voor betrokkene afgestemd beveiligingsniveau te waarborgen.
Boete
Naast de boete van 460.000 euro legt de AP het ziekenhuis ook een last onder dwangsom op. Als de beveiliging niet vóór 2 oktober 2019 verbeterd is, moet het ziekenhuis elke twee weken honderdduizend euro betalen, met een maximum van driehonderdduizend euro. Tegen het besluit van de AP staan nog rechtsmiddelen open.