De eerste Nederlandse AVG boete

De eerste echte ‘Nederlandse boete’ vanwege schending van de Algemene Verordening Gegevensbescherming (AVG) is een feit. Het HagaZiekenhuis heeft de beveiliging van patiëntgegevens volgens de Autoriteit Persoonsgegevens (AP) niet op orde.

€ 460.000,00 bedraagt de bestuurlijke boete die het HagaZiekenhuis om de oren krijgt van de AP. Daarnaast is een last onder dwangsom opgelegd. Als het HagaZiekenhuis de vereiste beveiliging niet vóór 2 oktober a.s. op orde heeft, verbeurt zij elke twee weken een dwangsom van € 100.000,00 met een maximum van € 300.000,00.

Al met al op zijn zachtst gezegd niet niks. Maar waar maakt het HagaZiekenhuis zich nu precies schuldig aan?

De aanleiding

Het begon allemaal met de melding van een datalek. Dit datalek had betrekking op onrechtmatige inzage in een patiëntendossier van een bekende Nederlander, Samantha de Jong (beter bekend als ‘Barbie’). Er kwamen vertrouwelijke gegevens in de publiciteit en dit datalek werd netjes door het HagaZiekenhuis gemeld bij de AP.

De AP heeft vervolgens zelf aanleiding gezien om verder onderzoek te verrichten binnen het HagaZiekenhuis naar de beveiliging van patiëntgegevens. De verplichting om persoonsgegevens – en dus patiëntgegevens – te beveiligen is neergelegd in artikel 32 van de AVG.

De definitie van passende beveiliging van persoonsgegevens

De omschrijving waar beveiliging van persoonsgegevens aan moet voldoen is enigszins ‘cryptisch’. In dit artikel is opgenomen dat de verwerkingsverantwoordelijke en verwerker ‘rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen…..’ In het tweede lid van dit artikel is opgenomen dat bij de beoordeling van het passende beveiligingsniveau met name rekening worden gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Vastgestelde normen voor beveiliging bij zorgaanbieders

Of er sprake is van een passend beveiligingsniveau is dus afhankelijk van nogal wat factoren, waarbij een goede risico-inventarisatie cruciaal is. Voor zorgaanbieders zoals het HagaZiekenhuis geldt op basis van regelgeving (het Besluit elektronische gegevensverwerking door zorgaanbieders) dat – om te bepalen of het beveiligingsniveau passend is – moet worden aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van informatiebeveiliging binnen de zorg. Dit is uitgewerkt in een tweetal NEN-normen, NEN 7510 en NEN 7513.

Tweefactor authenticatie

Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken (patiëntgegevens) moeten de identiteit van gebruikers vaststellen. Dit onder andere om te voorkomen dat iedere medewerker van een instelling gemakkelijk gegevens van patiënten kan inzien.  Dit moet worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden. Concreet houdt dit in dat de identiteit van de gebruiker om toegang te krijgen tot de gegevens bijvoorbeeld moet worden vastgesteld op basis van kennis (code of een wachtwoord) en bezit (personeelspas).

De AP heeft geconstateerd dat het HagaZiekenhuis hier niet aan voldeed. Gebruikers konden toegang krijgen enkel op basis van bezit (personeelspas) of kennis (code of wachtwoord). Aan het vereiste van tweefactor authenticatie werd dus niet voldaan. Daarnaast oordeelde de AP dat niet was voldaan aan het vereiste van het regelmatig beoordelen van logbestanden. Zorginstellingen moeten structureel bijhouden wie wanneer welk patiëntendossier heeft geraadpleegd en dit moet regelmatig worden gecontroleerd. De AP constateerde dat het Autorisatiebeleid van het HagaZiekenhuis slechts zag op controle van één dossier per twee maanden en oordeelde dat geen systematische consequente controle van de logging is.

Conclusie

Al met al werden de sancties dus opgelegd wegens overtreding van artikel 32 van de AVG, in samenhang met artikel 3 lid 3 van het Besluit elektronische gegevensverwerking door zorgaanbieders en het bepaalde in de NEN norm 7510. Het HagaZiekenhuis heeft niet voldaan aan het vereiste van twee factor authenticatie en het regelmatig beoordelen van logbestanden.

Moraal van het verhaal: zorg dat de beveiliging van de persoonsgegevens die jij / jouw onderneming verwerkt op orde is. Met name wanneer jouw onderneming een zorginstelling in de zin van de AVG is. Wil je hierover meer informatie? Neem gerust contact op met één van onze advocaten.