HagaZiekenhuis krijgt boete van EUR 460.000 wegens gebrekkige interne beveiliging

Wanneer u als patiënt een ziekenhuis bezoekt voor een behandeling moet u erop kunnen vertrouwen dat er vertrouwelijk met uw persoonsgegevens wordt omgegaan. Zo moeten er bijvoorbeeld maatregelen zijn genomen zodat alleen medewerkers die uw persoonsgegevens nodig hebben voor de zorgverlening of behandeling in uw persoonlijke (medische) dossier kunnen kijken. In het geval dat er toch sprake is van het lekken van uw persoonlijke gegevens, bijvoorbeeld omdat er toch mensen onbevoegd in uw persoonlijke (medische) dossier hebben gekeken, wilt u dat het ziekenhuis dat aan u meldt. En dat is ook nodig op basis van de Algemene Verordening Gegevensbescherming (de Europese privacywetgeving, vaak afgekort als AVG).

Vorig jaar heeft het HagaZiekenhuis een melding van een datalek bij de Autoriteit Persoonsgegevens (AP) gedaan (de toezichthouder op het gebied van persoonsgegevens). Uit intern onderzoek door het HagaZiekenhuis volgde dat ongeveer 100 medewerkers zichzelf onbevoegd toegang hadden gehad gegeven tot het patiëntendossier van een bekende Nederland. Ook de bekende Nederlander is op de hoogte gesteld van het datalek. Het HagaZiekenhuis beloofde toen onder meer de beveiligingsmaatregelen te gaan verbeteren. Naar aanleiding hiervan heeft de AP besloten om nader onderzoek te doen naar onder andere de beveiligingsmaatregelen van het HagaZiekenhuis. Daarbij heeft de AP getoetst of die beveiligingsmaatregelen ‘passend’ zijn, zoals de AVG voorschrijft. Daarbij zijn de  beveiligingsmaatregelen getoetst aan de zogenoemde NEN 7510 en 7513 nomen (normen voor informatiebeveiliging). Er is aansluiting gezocht bij die normen omdat deze specifiek voor de gezondheidszorg zijn opgesteld en omdat op basis van de wet deze normen in veel gevallen verplicht moeten worden nageleefd door de gezondheidszorg.

In de NEN 7510 norm staat bijvoorbeeld dat gezondheidsinformatiesystemen moeten worden beveiligd door middel van toegangscontrole waarbij ten minste twee factoren gebruikt worden (bijvoorbeeld het invoeren van een wachtwoord en het scannen van een personeelspas). In NEN 7513 staat dat daarnaast dat alle acties op een persoonlijke (medische) dossier (zoals inzage) moeten worden vastgelegd (ook wel: gelogd). De log-bestanden moeten vervolgens regelmatig en zorgvuldig, dus niet steekproefsgewijs, worden gecontroleerd op opvallende en ongebruikelijke afwijkingen.

Ondanks dat het HagaZiekenhuis dus had beloofd om betere beveiligingsmaatregelen te treffen, had het de beveiliging nog steeds niet op orde tijdens de controle van de AP. De AP heeft daarom besloten om aan het HagaZiekenhuis een boete op te leggen van EUR 460.000.

De gezondheidszorg is een sector die extra aandacht krijgt van de AP. Dat blijkt ook weer uit deze boete aan het HagaZiekenhuis. In de zorgsector moet voldaan worden aan strenge beveiligingsmaatregelen. Dat geldt niet alleen voor grote zorgverleners zoals ziekenhuizen. Ook de wat kleinere zorgverleners, zoals huisartsen, fysiotherapeuten of tandartsen moeten aan deze wetgeving voldoen.

Wilt u weten of u wel voldoet aan de AVG en de bijbehorende (beveiligings)normen? Neemt u dan gerust contact met ons op voor advies.

‍