Nog een ziekenhuis beboet door de Autoriteit Persoonsgegevens

op 11/02/21 in IT- & Privacyrecht,

De Autoriteit Persoonsgegevens (AP) legt het Amsterdamse ziekenhuis OLVG een bestuurlijke boete op van EUR 440.000. Naast het Haga ziekenhuis krijgt nu ook het Amsterdamse ziekenhuis een boete omdat er te weinig maatregelen zijn genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. De AP is een onderzoek gestart bij het ziekenhuis na een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het ziekenhuis zelf.

De AP concludeert dat het Amsterdamse ziekenhuis een tweetal overtredingen heeft begaan:

  1. Het ziekenhuis had bij moeten houden en regelmatig moeten controleren wie welk dossier raadpleegt. Zodat het ziekenhuis tijdig had kunnen signaleren wanneer iemand een dossier raadpleegt terwijl dat niet had gemogen en daartegen maatregelen kunnen nemen. Het ziekenhuis controleerde niet vaak genoeg op deze onbevoegde toegang; en
  2. Bij een goede beveiliging behoort tenminste gebruik te worden gemaakt van een twee-factor-authenticatie. Hier maakte het Amsterdamse ziekenhuis geen gebruik van binnen het ziekenhuis, als werknemers thuis moesten inloggen werd hier wel gebruik van gemaakt.

Deze overtredingen hebben plaatsgevonden vanaf 25 mei 2018 tot tenminste 22 mei 2019. Deze boete is dan ook opgelegd onder de AVG en de boetebeleidsregels van de Autoriteit Persoonsgegevens van 2019. Voornoemde overtredingen zijn vergelijkbaar met de overtredingen die zijn geconstateerd bij het Haga ziekenhuis.

Het OLVG heeft inmiddels diverse verbeteringen doorgevoerd en zal niet in beroep of bezwaar gaan tegen de boete van de AP.

Het boetebesluit van de AP maakt eens te meer duidelijk dat de bescherming van medische (persoons)gegevens door de AP van groot belang wordt geacht. Toch blijkt uit de onderzoeken die bij het OLVG en het Haga ziekenhuis zijn gedaan dat de bescherming (nog altijd) te wensen over laat. Zo staat de zorg in de top 3 van sectoren waar de meeste datalekken plaatsvinden. Dit besluit van de AP is een extra waarschuwing voor alle partijen die zich bezig houden met de verwerking van medische persoonsgegevens. Een gewaarschuwd mens telt voor twee, dus als u twijfelt of u de juiste maatregelen heeft genomen neem dan contact op met een van onze IT-& Privacyrecht advocaten.

REAGEREN OF VRAGEN?