Het HagaZiekenhuis heeft vandaag de eerste Nederlandse geldboete onder de AVG ontvangen omdat zij onvoldoende passende maatregelen heeft getroffen om patiëntendossiers intern te beveiligen. Het is de eerste boete die de Autoriteit Persoonsgegevens (AP) uitdeelt op basis van de AVG.
Onderzoek door AP
De AP besloot afgelopen jaar een onderzoek te starten toen bleek dat medische gegevens van Samantha de Jong (ook wel bekend als Barbie) in de publiciteit terecht kwamen. Daaruit bleek dat maar liefst 85 medewerkers van het ziekenhuis onnodig en ongeoorloofd haar medisch dossier hebben geraadpleegd.
De Autoriteit Persoonsgegevens heeft daarna opvolgend onderzoek verricht naar de vraag of de maatregelen die het HagaZiekenhuis heeft getroffen om te waarborgen dat persoonsgegevens in het digitale patiëntdossier niet worden ingezien door onbevoegde medewerkers, passend zijn als bedoeld in de AVG (artikel 32, eerste lid, aanhef, AVG). Voorts heeft de AP het beleid van het HagaZiekenhuis ten aanzien van het signaleren en melden van datalekken onderzocht (artikel 33 en 34 AVG).
De AP komt in het vandaag gepubliceerde rapport tot de conclusie dat het HagaZiekenhuis onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van logging’. Het HagaZiekenhuis heeft daarmee haar verplichtingen uit de AVG geschonden.
Boete én last onder dwangsom
De AP legt het HagaZiekenhuis voor het onvoldoende beveiligen een forse boete van € 460.000,-- op. Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren legt de AP vandaag niet alleen een boete, maar ook een last onder dwangsom op aan het HagaZiekenhuis. Het HagaZiekenhuis heeft uiterlijk tot 2 oktober 2019 de tijd de beveilig te verbeteren. Blijft verbetering uit, moet het ziekenhuis elke twee weken € 100.000,-- betalen, met een maximum van € 300.000,--.
Tot slot
Tegen het besluit van de AP staan nog rechtsmiddelen open. Hoe het ook zij, met deze eerste Nederlandse boete onder de AVG trekt de AP direct een duidelijke (en ferme) streep in het zand: de AP neemt het handhaven en borgen van de privacy van patiënten in de Nederlandse ziekenhuizen serieus.
Heeft u vragen over de beveiliging van persoonsgegevens of een andere vraag over privacyrecht? Neem dan gerust contact op met mij of een van mijn collega’s uit het privacyteam.
