Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (“AVG”) van kracht. De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder die onafhankelijk toezicht houdt op naleving van de AVG. Als toezichthouder is de Autoriteit Persoonsgegevens bij geconstateerde overtreding van de AVG bevoegd om verschillende sancties, waaronder een boete van maximaal € 20 miljoen of 4% van de totale wereldwijde jaaromzet, op te leggen. Ondanks dat de AVG al ruim een jaar geleden in werking is getreden, waren tot deze maand ons geen zaken bekend waarin de Autoriteit Persoonsgegevens een (hoge) boete aan een zorginstelling heeft opgelegd. Het HagaZiekenhuis heeft echter de twijfelachtige primeur de ban te hebben gebroken. Mr. Mariëlle Stroes vertelt u er graag meer over.
Aanleiding
Als patiënten een ziekenhuis bezoeken voor een behandeling, dan moeten zij erop kunnen vertrouwen dat er vertrouwelijk met hun (gevoelige) persoonsgegevens wordt omgegaan en dat er maatregelen zijn genomen om te voorkomen dat medewerkers, die geen behandelrelatie hebben met de patiënt of die de gegevens niet nodig hebben voor de beheersmatige afwikkeling van de zorgverlening of behandeling, onbevoegd in het persoonlijke (medische) dossier kijken. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. En ook indien de betreffende patiënt een BN’er is.
Begin april 2018 kwam naar buiten dat tientallen medewerkers van het HagaZiekenhuis in Den Haag ongeoorloofd het dossier hebben bekeken van een BN’er. Volgend op dit bericht heeft het HagaZiekenhuis na eigen onderzoek een melding bij de Autoriteit Persoonsgegevens gedaan. Na vragen van de Autoriteit Persoonsgegevens heeft het HagaZiekenhuis beterschap (lees: beveiligingsmaatregelen) beloofd.
De Autoriteit Persoonsgegevens heeft in oktober 2018, naar aanleiding van bovenstaande melding, een nader onderzoek ingesteld naar de interne beveiliging van patiëntendossiers van het HagaZiekenhuis. De Autoriteit Persoonsgegevens heeft daarbij de volgende aspecten onderzocht:
- authenticatie;
- autorisaties;
- de logging;
- de controle van de logging; en
- de bewustwording van medewerkers.
Ook heeft zij onderzoek gedaan naar de procedures rond het melden van datalekken. Dit teneinde de navolgende hoofdvraag te beantwoorden:
“Zijn de maatregelen die het HagaZiekenhuis heeft getroffen, teneinde te waarborgen dat persoonsgegevens in het digitale patiëntdossier niet worden ingezien door onbevoegde medewerkers, ‘passend’ als bedoeld in artikel 32 van de AVG?”
Beveiliging patiëntgegevens
Het HagaZiekenhuis maakt gebruik van het programma HiX van Chipsoft om de medische dossiers bij te houden (ook wel bekend als het Elektronisch Patiëntendossier, hierna: “EPD”). Het EPD maakt het mogelijk voor specialisten de gegevens van patiënten op elke plek in het ziekenhuis op te zoeken. Door middel van het bekijken van de logs kan worden gekeken welke medewerkers het EPD hebben ingezien.
De Autoriteit Persoonsgegevens licht toe dat een ziekenhuis alle organisatorische en technische maatregelen dient te treffen om te zorgen dat patiëntgegevens veilig zijn. Zo dient een zorgaanbieder op grond van het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ overeenkomstig NEN normen 750 en 7512 te handelen.
Het HagaZiekenhuis krijgt een boete van maar liefst € 460.000,-!
Uit het rapport dat door de Autoriteit Persoonsgegevens is opgesteld naar aanleiding van voornoemd nader onderzoek blijkt dat het HagaZiekenhuis onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Meer concreet: het HagaZiekenhuis voldoet nog steeds niet voldoende aan het vereiste van tweefactor authenticatie en het regelmatig beoordelen van logbestanden.
Het HagaZiekenhuis handelt hierdoor in strijd met artikel 32, eerste lid, aanhef, van de AVG. Reden waarom de Autoriteit Persoonsgegevens heeft besloten een bestuurlijke boete van maar liefst € 460.000,- op te leggen aan het HagaZiekenhuis. Om ervoor te zorgen dat het HagaZiekenhuis de geconstateerde (voortdurende) overtreding zo spoedig mogelijk verhelpt, legt de Autoriteit Persoonsgegevens tevens een last onder dwangsom op van € 100.000,- voor iedere twee weken na 2 oktober 2019 (tot een maximumbedrag van in totaal € 300.000,- dat het HagaZiekenhuis de geconstateerde overtreding niet beëindigt.
Tegen het besluit van de Autoriteit Persoonsgegevens staan de rechtsmiddelen bezwaar en beroep open. Het is inmiddels bekend dat het HagaZiekenhuis bezwaar heeft aangetekend, omdat zij de boete te hoog vindt.
Conclusie
Het uitdelen van de boete door de Autoriteit Persoonsgegevens aan het HagaZiekenhuis illustreert dat de Autoriteit Persoonsgegevens de bescherming van persoonsgegevens in patiëntendossiers van zeer groot belang acht. De Autoriteit Persoonsgegevens deinst er niet (langer) voor terug om zware sancties op te leggen aan zorginstellingen die niet voldoen aan de AVG. Zorginstellingen dienen daarop, nu meer dan ooit, bedacht te zijn en (voor zover nodig) tijdig passende maatregelen, bijvoorbeeld ten aanzien van de controle van logging, te treffen.
Heeft u vragen of wilt u weten of u voldoet aan de AVG, neem dan gerust contact op met Thuis Partners advocaten.
Dit is een bijdrage van mr. Mariëlle Stroes (mstroes@thuispartners.nl).