Op 16 juli jl. heeft de Autoriteit Persoonsgegevens (AP) bekend gemaakt dat zij een bestuurlijke boete van €460.000,- en een last onder dwangsom van maximaal €300.000,- heeft opgelegd het HagaZiekenhuis.
Aanleiding
De aanleiding van het besluit van de AP is een op 4 april 2018 door het HagaZiekenhuis gemeld datalek. Dit datalek bestond uit de onrechtmatige inzage in een patiëntendossier van een bekende Nederlander. Van de 197 inzagen door medewerkers van het HagaZiekenhuis in het dossier, waren er 100 onrechtmatig. De melding en omstandigheden van dit datalek waren voor de AP voldoende reden om een nader onderzoek en een onderzoek ter plaatse (OTP) in te stellen.
Conclusie van het onderzoek
Op grond van het nadere onderzoek en het OTP is de AP tot de conclusie gekomen dat het HagaZiekenhuis onvoldoende passende maatregelen heeft getroffen om de persoonsgegevens die zij verwerkt, te beschermen en dat zij derhalve artikel 32 van de Avg heeft overtreden.
Passende maatregelen
Op grond van artikel 32 Avg moeten verwerkingsverantwoordelijken en verwerkers zorgen dat zij ‘passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen’. Van belang hierbij is dat de genomen maatregelen rekening houden met de aard van de persoonsgegevens. In het geval van het HagaZiekenhuis was er sprake van bijzondere persoonsgegevens, zodat er strengere eisen aan de beveiliging worden gesteld.
Aan de hand van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wab-vpz), het daarop gebaseerde Besluit elektronische gegevensverwerking door zorgaanbieders en twee NEN-normen worden de passende maatregelen nader ingevuld.
Overtreding
Het eerste punt dat het HagaZiekenhuis wordt verweten, is dat het HagaZiekenhuis niet uitsluitend gebruik maakt van tweefactor authenticatie zoals voorgeschreven door NEN7510. Blijkens het onderzoek kunnen de systemen van het HagaZiekenhuis en dan met name het ziekenhuisinformatiesysteem worden benaderd met gebruikmaking van een identiteitspas waarmee kan worden ingelogd op een compute , alsook met gebruikmaking van alleen een gebruikersnaam en wachtwoord (éénfactor authenticatie).
Daarnaast is iedere zorginstelling op grond van NEN7513 gehouden om structureel bij te houden wie, wanneer, welk patiëntendossier heeft geraadpleegd. Deze ‘logging’ moet regelmatig worden gecontroleerd. Hoewel het HagaZiekenhuis overeenkomstig NEN7513 de toegang tot patiëntendossiers zou hebben bijgehouden, heeft het HagaZiekenhuis nagelaten de loggegevens systematisch en consequent te controleren. Uit de door de AP verrichte onderzoeken is gebleken dat het HagaZiekenhuis de loggegevens steekproefsgewijs controleerde, hetgeen niet voldoende is om te spreken van een passende maatregel.
Bepaling van de boete
Het HagaZiekenhuis heeft in ieder geval sinds 1 januari 2018 geen passende beveiligingsmaatregelen getroffen die zien op tweefactor authenticatie en het regelmatig beoordelen van logbestanden. Bovendien heeft het ziekenhuisinformatiesysteem niet de ingebouwde verplichting – maar uitsluitend de mogelijkheid – om met tweefactor authenticatie in te loggen en zij controleert de logging niet regelmatig. De overtreding duurt daarmee op structurele wijze voor een lange periode voort. Gelet hierop, alsmede de grote omvang van het aantal betrokken patiënten die zijn opgenomen in het ziekenhuisinformatiesysteem en het type persoonsgegevens, is naar het oordeel van de AP sprake van een situatie waarin het vertrouwen in hoge mate is beschaamd. Dit acht de AP ernstig.
Opmerkelijk
De AP merkt op dat het HagaZiekenhuis weliswaar de NEN 7510 en NEN 7513 normen als uitgangspunt in haar beveiligingsbeleid hanteert, maar deze niet verder heeft uitgewerkt. Ook bevat het Privacyreglement dat als basis dient voor de Privacyverklaring slechts bepalingen op hoofdlijnen. Deze bepalingen zijn uitsluitend een herhaling van de wettelijke normen, zonder deze concreet in te vullen. Daarnaast valt op dat de AP het ziekenhuis verwijt dat in het ziekenhuisinformatiesysteem tweefactor authenticatie niet wordt afgedwongen. Met andere woorden, er is geen privacy by design toegepast.
Bij haar oordeel dat het HagaZiekenhuis bijzonder nalatig is geweest in het treffen van passende beveiligingsmaatregelen, neemt de AP mede in aanmerking de reactie van het HagaZiekenhuis dat zij geen tijd beschikbaar had voor het treffen van een beveiligingsmaatregel die ziet op het regelmatig controleren van logbestanden. Het HagaZiekenhuis kan de overtreding van de Avg echter niet legitimeren door een tekort aan middelen te claimen, aldus de AP.
Conclusie
Met het opleggen van deze boete op grond van de Avg bevestigt de AP het belang van de bescherming van persoonsgegevens en lijkt zij (eindelijk) te hebben bewezen geen tandeloze tijger te zijn. Om boetes te voorkomen, moeten organisaties en instellingen die persoonsgegevens verwerken in ieder geval inzichtelijk hebben welke verwerkingen zij verrichten en wat de risico’s van deze verwerkingen zijn. Op basis van deze risicoschatting moeten passende maatregelen zijn getroffen, die op verzoek van de AP moeten kunnen worden aangetoond.