Op 16 juli 2019 heeft de Autoriteit Persoonsgegevens (‘’AP’’) bekendgemaakt dat in Nederland de eerste boete onder de AVG is opgelegd. Het gaat om een boete van 460.000 euro voor het HagaZiekenhuis in Den Haag wegens onvoldoende beveiliging van patiëntendossiers. Met deze actie volgt de AP verschillende andere Europese privacytoezichthouders die al boetes hebben uitgedeeld.
Wat is er gebeurd?
In april 2018 heeft het HagaZiekenhuis zelf een datalek gemeld bij de AP vanwege onrechtmatige inzage door medewerkers in het patiëntendossier van een Nederlandse reality-soapster. Later onderzoek wees uit dat 197 medewerkers toegang hadden gehad tot het dossier van de BN’er, waarvan maar liefst 100 onrechtmatig.
Naar aanleiding van de melding heeft de AP een onderzoek ingesteld naar de interne beveiliging van patiëntendossiers van het ziekenhuis. De beveiliging schoot op twee onderdelen tekort. Volgens de eigen regels van het ziekenhuis die gelinkt zijn aan bepaalde NEN-beveiligingsstandaarden, zou voor de toegang tot een patiëntendossier een “tweefactor authenticatie” nodig zijn. De identiteit van de gebruiker wordt dan bijvoorbeeld vastgesteld op basis van een code of wachtwoord en daarnaast door gebruik van een personeelspas. Dit vereiste is echter niet in acht genomen. Daarnaast werd er door het ziekenhuis niet regelmatig gecontroleerd wie welk dossier raadpleegt.
Oordeel AP
De AP hecht veel waarde aan het feit dat er een vertrouwelijke relatie zou moeten bestaan tussen een zorgverlener en een patiënt. Dit geldt uiteraard ook binnen de muren van een ziekenhuis. Het AP is van mening dat het vertrouwen van patiënten in een zorgvuldige omvang met hun medische gegevens “in hoge mate is beschaamd” door de overtredingen van het HagaZiekenhuis.
Vanwege onder meer deze specifieke omstandigheden heeft de AP besloten de basisboete van 310.000 euro die op grond van de Boetebeleidsregels 2019 geldt, te verhogen tot het bedrag van 460.000 euro. Naast de boete is er bovendien een dwangsom opgelegd: indien de beveiliging niet voor 2 oktober 2019 verbeterd is, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000.
Compliance met AVG blijft belangrijk
De boete voor het HagaZiekenhuis laat opnieuw zien hoe belangrijk het is om aan de AVG te voldoen. Dat is geen kwestie van één keer alle vereiste documenten opstellen, maar het is een “ongoing process”. Beveiliging van persoonsgegevens zal bijvoorbeeld steeds moeten worden aangepast aan de huidige stand van de techniek en medewerkers moeten continu bewust worden gemaakt van de geldende regels, zodat procedures ook echt worden nageleefd. Wanneer bijzondere persoonsgegevens, zoals medische gegevens, worden verwerkt, zijn de eisen nog strenger.